Intégrer VirusTotal v3 à Google SecOps
Version de l'intégration : 37.0
Ce document explique comment intégrer VirusTotal v3 à Google Security Operations (Google SecOps).
Cas d'utilisation
L'intégration VirusTotal v3 utilise les fonctionnalités Google SecOps pour prendre en charge les cas d'utilisation suivants :
Analyse de fichiers : envoyez un hachage ou un fichier à VirusTotal pour analyse et récupérez les résultats d'analyse de plusieurs moteurs antivirus afin de déterminer si l'élément envoyé est malveillant.
Analyse d'URL : exécutez une URL dans la base de données VirusTotal pour identifier les sites Web ou les pages d'hameçonnage potentiellement malveillants.
Analyse des adresses IP : examinez une adresse IP et identifiez sa réputation ainsi que toute activité malveillante associée.
Analyse de domaine : analysez un nom de domaine et identifiez sa réputation ainsi que toute activité malveillante associée, comme l'hameçonnage ou la distribution de logiciels malveillants.
Retrochasse : parcourez les données historiques de VirusTotal pour rechercher des fichiers, des URL, des adresses IP ou des domaines qui ont déjà été signalés comme malveillants.
Enrichissement automatique : enrichissez automatiquement les données des incidents avec des renseignements sur les menaces.
Enquête sur l'hameçonnage : analysez les e-mails et pièces jointes suspects en les envoyant à VirusTotal pour analyse.
Analyse des logiciels malveillants : importez des échantillons de logiciels malveillants dans VirusTotal pour une analyse dynamique et statique, et obtenez des informations sur le comportement et l'impact potentiel des échantillons.
Avant de commencer
Avant de configurer l'intégration dans la plate-forme Google SecOps, vérifiez que vous disposez des éléments suivants :
API VirusTotal Premium : pour fonctionner correctement, cette intégration nécessite un abonnement à l'API VirusTotal Premium.
Pour en savoir plus sur les différences entre les niveaux d'API, consultez API publique et API Premium.
Clé API : vous devez configurer une clé API VirusTotal avant de configurer l'instance d'intégration dans Google SecOps.
Configurer la clé API VirusTotal
Avant de configurer l'intégration VirusTotal v3 dans Google SecOps, vous devez obtenir et copier votre clé API :
Connectez-vous au portail VirusTotal.
Accédez à Paramètres du compte, puis sous votre nom d'utilisateur ou votre profil, cliquez sur Clé API.
Copiez la clé API générée. Utilisez cette clé pour renseigner le paramètre d'intégration
API Key.
Paramètres d'intégration
L'intégration VirusTotal v3 nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
API Key |
Obligatoire. Clé API VirusTotal. |
Verify SSL |
Facultatif. Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur VirusTotal v3. Cette option est activée par défaut. |
Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Vous pourrez apporter des modifications ultérieurement, si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour savoir comment configurer et prendre en charge plusieurs instances, consultez Prise en charge de plusieurs instances.
Actions
Pour en savoir plus sur les actions, consultez Répondre aux actions en attente depuis Votre bureau et Effectuer une action manuelle.
Ajouter un commentaire à une entité
Utilisez l'action Ajouter un commentaire à une entité pour ajouter un commentaire aux entités dans VirusTotal.
Cette action s'exécute sur les entités Google SecOps suivantes :
DomainFile HashHostnameIP AddressURL
Entrées d'action
L'action Ajouter un commentaire à l'entité nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Comment |
Obligatoire. Commentaire à ajouter aux entités. |
Sorties d'action
L'action Ajouter un commentaire à l'entité fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
Les exemples suivants montrent les résultats JSON reçus lors de l'utilisation de l'action Ajouter un commentaire à l'entité :
{
"Status": "Done"
}
{
"Status": "Not done"
}
Messages de sortie
L'action Ajouter un commentaire à l'entité peut renvoyer les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Add Comment To Entity". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Ajouter un commentaire à l'entité :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Ajouter un vote à une entité
Utilisez l'action Ajouter un vote à une entité pour ajouter un vote aux entités dans VirusTotal.
Cette action s'exécute sur les entités Google SecOps suivantes :
DomainFile HashHostnameIP AddressURL
Entrées d'action
L'action Ajouter un vote à une entité nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Vote |
Obligatoire. Vote à attribuer à la réputation de l'entité. Les valeurs possibles sont les suivantes :
|
Sorties d'action
L'action Ajouter un vote à l'entité fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Ajouter un vote à l'entité :
{
"Status": "Done"
}
{
"Status": "Not done"
}
Messages de sortie
L'action Add Vote To Entity peut renvoyer les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Add Vote To Entity". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Ajouter un vote à l'entité :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Télécharger le fichier
Utilisez l'action Download File (Télécharger le fichier) pour télécharger un fichier depuis VirusTotal.
Cette action s'exécute sur l'entité File Hash de Google SecOps.
Entrées d'action
L'action Télécharger le fichier nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Download Folder Path |
Obligatoire. Chemin d'accès au dossier dans lequel l'action enregistre les fichiers téléchargés. |
Overwrite |
Facultatif. Si cette option est sélectionnée, l'action remplace tout fichier existant portant le même nom que le nouveau fichier téléchargé. Cette option est activée par défaut. |
Sorties d'action
L'action Télécharger le fichier fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Télécharger le fichier :
{
"absolute_file_paths": ["file_path_1","file_path_2"]
}
Messages de sortie
L'action Télécharger le fichier peut renvoyer les messages de résultat suivants :
| Message de sortie | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Download File". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Hachage d'enrichissement
Utilisez l'action Enrichir le hachage pour enrichir les hachages avec des informations provenant de VirusTotal.
Cette action s'exécute sur l'entité File Hash de Google SecOps.
Entrées d'action
L'action Enrichir le hachage nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Engine Threshold |
Facultatif. Nombre minimal de moteurs qui doivent signaler une entité comme malveillante ou suspecte pour qu'elle soit considérée comme suspecte. Si vous configurez |
Engine Percentage Threshold |
Facultatif. Pourcentage minimal (de Si vous configurez Si vous configurez à la fois |
Engine Whitelist |
Facultatif. Liste de noms de moteurs séparés par une virgule pour l'action à prendre en compte lors de la détermination du caractère malveillant d'un hachage. Le calcul exclut les moteurs qui ne fournissent aucune information sur les entités. Si aucune valeur n'est fournie, l'action utilise tous les moteurs disponibles. |
Resubmit Hash |
Facultatif. Si cette option est sélectionnée, l'action renvoie le hachage pour analyse au lieu d'utiliser les résultats existants. Désactivé par défaut |
Resubmit After (Days) |
Facultatif. Nombre minimal de jours qui doivent s'écouler depuis la dernière analyse avant que le hachage ne soit renvoyé. Ce paramètre ne s'applique que si vous sélectionnez le paramètre La valeur par défaut est |
Retrieve Comments |
Facultatif. Si cette option est sélectionnée, l'action récupère les commentaires associés au hachage depuis VirusTotal. Cette option est activée par défaut. |
Retrieve Sigma Analysis |
Facultatif. Si cette option est sélectionnée, l'action récupère les résultats de l'analyse Sigma pour le hachage. Cette option est sélectionnée par défaut. |
Sandbox |
Facultatif. Liste d'environnements de bac à sable séparés par une virgule à utiliser pour l'analyse du comportement. Si vous ne définissez pas de valeur, l'action utilise la valeur par défaut. La valeur par défaut est |
Retrieve Sandbox Analysis |
Facultatif. Si cette option est sélectionnée, l'action récupère les résultats de l'analyse du bac à sable pour le hachage et crée une section distincte dans la sortie JSON pour chaque bac à sable spécifié. Cette option est sélectionnée par défaut. |
Create Insight |
Facultatif. Si cette option est sélectionnée, l'action génère un insight de sécurité contenant les informations d'analyse du hachage. Cette option est activée par défaut. |
Only Suspicious Entity Insight |
Facultatif. Si cette option est sélectionnée, l'action ne génère des insights que pour les hachages identifiés comme suspects en fonction des paramètres de seuil configurés. Ce paramètre ne s'applique que si Désactivé par défaut |
Max Comments To Return |
Facultatif. Nombre maximal de commentaires que l'action récupère à chaque exécution. La valeur par défaut est |
Widget Theme |
Facultatif. Thème à utiliser pour le widget VirusTotal. Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Fetch Widget |
Facultatif. Si cette option est sélectionnée, l'action récupère et inclut le widget de résumé visuel associé au hachage dans la sortie du mur des cas. Cette option est activée par défaut. |
Fetch MITRE Details |
Facultatif. Si cette option est sélectionnée, l'action récupère les techniques et tactiques MITRE ATT&CK qui sont liées au hachage. Désactivé par défaut |
Lowest MITRE Technique Severity |
Facultatif. Niveau de gravité minimal d'une technique MITRE ATT&CK à inclure dans les résultats. L'action traite la gravité Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Sorties d'action
L'action Enrichir le hachage fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Disponible |
| Tableau du mur des cas | Disponible |
| Table d'enrichissement des entités | Disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Lien vers le mur des cas
L'action Enrich Hash peut fournir le lien suivant pour chaque entité enrichie :
Nom : Lien vers le rapport
Valeur : URL
Tableau du mur des cas
L'action Enrichir le hachage peut fournir le tableau suivant pour chaque entité enrichie :
Nom de la table : ENTITY_ID
Colonnes du tableau :
- Nom
- Catégorie
- Méthode
- Résultat
L'action Enrichir le hachage peut fournir le tableau suivant pour chaque entité comportant des commentaires :
Nom de la table : Comments: ENTITY_ID
Colonnes du tableau :
- Date
- Commentaire
- Votes pour utilisation abusive
- Votes négatifs
- Votes positifs
- ID
L'action Enrichir le hachage peut fournir le tableau suivant pour chaque entité contenant les résultats de l'analyse Sigma :
Nom de la table : Analyse Sigma : ENTITY_ID
Colonnes du tableau :
- ID
- Gravité
- Source
- Title
- Description
- Contexte du match
Table d'enrichissement des entités
Le tableau suivant liste les champs enrichis à l'aide de l'action Enrichir le hachage :
| Nom du champ d'enrichissement | Applicabilité |
|---|---|
VT3_id |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_magic |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_md5 |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_sha1 |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_sha256 |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_ssdeep |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_tlsh |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_vhash |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_meaningful_name |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_magic |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_harmless_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_malicious_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_suspicious_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_undetected_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_reputation |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_tags |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_malicious_vote_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_harmless_vote_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_report_link |
S'applique lorsqu'il est disponible dans le résultat JSON. |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Enrichir le hachage :
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}]
}
Messages de sortie
L'action Enrichir le hachage peut renvoyer les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Enrich Hash". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Enrichir le hachage :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Enrichir un IOC
Utilisez l'action Enrichir les IOC pour enrichir les indicateurs de compromission (IOC) à l'aide des informations de VirusTotal.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Enrichir l'IOC nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
IOC Type |
Facultatif. Type d'IoC à enrichir. La valeur par défaut est Les valeurs possibles sont les suivantes :
|
IOCs |
Obligatoire. Liste d'IoC à enrichir, séparés par une virgule. |
Widget Theme |
Facultatif. Thème à utiliser pour le widget VirusTotal. Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Fetch Widget |
Facultatif. Si cette option est sélectionnée, l'action récupère et inclut le widget de résumé visuel associé à l'IoC dans la sortie du mur des cas. Cette option est activée par défaut. |
Sorties d'action
L'action Enrichir l'IOC fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Disponible |
| Tableau du mur des cas | Disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Lien vers le mur des cas
L'action Enrichir l'IOC peut fournir le lien suivant pour chaque entité enrichie :
Nom : Lien vers le rapport
Valeur : URL
Tableau du mur des cas
L'action Enrichir l'IOC peut fournir le tableau suivant pour chaque entité enrichie :
Nom de la table : IOC_ID
Colonnes du tableau :
- Nom
- Catégorie
- Méthode
- Résultat
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Enrichir l'IOC :
{
"ioc": {
"identifier": "203.0.113.1",
"details": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"report_link": "{generated report link}",
"widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
}
}
}
Messages de sortie
L'action Enrichir l'IOC peut renvoyer les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Enrich IOC". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie des résultats du script lorsque vous utilisez l'action Enrichir l'IOC :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Enrichir l'adresse IP
Utilisez l'action Enrichir l'adresse IP pour enrichir les adresses IP à l'aide des informations de VirusTotal.
Cette action s'exécute sur l'entité IP Address de Google SecOps.
Entrées d'action
L'action Enrichir l'adresse IP nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Engine Threshold |
Facultatif. Nombre minimal de moteurs qui doivent signaler une entité comme malveillante ou suspecte pour qu'elle soit considérée comme suspecte. Si vous configurez |
Engine Percentage Threshold |
Facultatif. Pourcentage minimal (de Si vous configurez Si vous configurez à la fois |
Engine Whitelist |
Facultatif. Liste de noms de moteurs séparés par une virgule pour l'action à prendre en compte lors de la détermination du caractère malveillant d'un hachage. Le calcul exclut les moteurs qui ne fournissent aucune information sur les entités. Si aucune valeur n'est fournie, l'action utilise tous les moteurs disponibles. |
Retrieve Comments |
Facultatif. Si cette option est sélectionnée, l'action récupère les commentaires associés à l'adresse IP depuis VirusTotal. Cette option est activée par défaut. |
Create Insight |
Facultatif. Si cette option est sélectionnée, l'action génère un insight de sécurité contenant les informations d'analyse de l'adresse IP. Cette option est activée par défaut. |
Only Suspicious Entity Insight |
Facultatif. Si cette option est sélectionnée, l'action ne génère des insights que pour les adresses IP identifiées comme suspectes en fonction des paramètres de seuil configurés. Ce paramètre ne s'applique que si Désactivé par défaut |
Max Comments To Return |
Facultatif. Nombre maximal de commentaires que l'action récupère à chaque exécution. La valeur par défaut est |
Widget Theme |
Facultatif. Thème à utiliser pour le widget VirusTotal. Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Fetch Widget |
Facultatif. Si cette option est sélectionnée, l'action récupère et inclut le widget de résumé visuel associé à l'adresse IP dans la sortie du mur des demandes. Cette option est activée par défaut. |
Sorties d'action
L'action Enrichir l'adresse IP fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Disponible |
| Tableau du mur des cas | Disponible |
| Table d'enrichissement des entités | Disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Lien vers le mur des cas
L'action Enrichir l'adresse IP peut fournir le lien suivant pour chaque entité enrichie :
Nom : Lien vers le rapport
Valeur : URL
Tableau du mur des cas
L'action Enrichir l'adresse IP peut fournir le tableau suivant pour chaque entité enrichie :
Nom de la table : ENTITY_ID
Colonnes du tableau :
- Nom
- Catégorie
- Méthode
- Résultat
L'action Enrichir l'adresse IP peut fournir le tableau suivant pour chaque entité comportant des commentaires :
Nom de la table : Comments: ENTITY_ID
Colonnes du tableau :
- Date
- Commentaire
- Votes pour utilisation abusive
- Votes négatifs
- Votes positifs
- ID
Table d'enrichissement des entités
Le tableau suivant liste les champs enrichis à l'aide de l'action Enrichir l'adresse IP :
| Nom du champ d'enrichissement | Applicabilité |
|---|---|
VT3_id |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_owner |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_asn |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_continent |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_country |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_harmless_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_malicious_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_suspicious_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_undetected_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_certificate_valid_not_after |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_certificate_valid_not_before |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_reputation |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_tags |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_malicious_vote_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_harmless_vote_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_report_link |
S'applique lorsqu'il est disponible dans le résultat JSON. |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Enrichir l'adresse IP :
{
"data": {
"attributes": {
"as_owner": "Example",
"asn": 50673,
"continent": "EU",
"country": "NL",
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "ExampleLabs",
"method": "blacklist",
"result": "clean"
},
"example.com URL checker": {
"category": "harmless",
"engine_name": "example.com URL checker",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 81,
"malicious": 5,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_https_certificate": {
"cert_signature": {
"signature": "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",
"signature_algorithm": "sha256RSA"
},
"extensions": {
"1.3.6.1.4.1.11129.2.4.2": "0481f200f00075007d3ef2f88fff88556824c2c0ca9e5289792bc50e78097f2e",
"CA": true,
"authority_key_identifier": {
"keyid": "KEY_ID"
},
"ca_information_access": {
"CA Issuers": "http://example.RSADomainValidationSecureServerCA.crt",
"OCSP": "http://example.com"
},
"certificate_policies": [
"1.3.6.1.4.1.6449.1.2.2.7",
"2.23.140.1.2.1"
],
"extended_key_usage": [
"serverAuth",
"clientAuth"
],
"key_usage": [
"ff"
],
"subject_alternative_name": [
"example-panel.xyz",
"www.example-panel.xyz"
],
"subject_key_identifier": "4f6429eaccd761eca91d9120b004f9d962453fef",
"tags": []
},
"issuer": {
"C": "US",
"CN": "Example RSA Domain Validation Secure Server CA",
"L": "Mountain View",
"O": "Example Ltd.",
},
"public_key": {
"algorithm": "RSA",
"rsa": {
"exponent": "010001",
"key_size": 2048,
"modulus": "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"
}
},
"serial_number": "248562d360bcc919bb97883f0dfc609d",
"signature_algorithm": "sha256RSA",
"size": 1472,
"subject": {
"CN": "example-panel.xyz"
},
"tags": [],
"thumbprint": "f9aae62cc9262302e45d94fcc512d65529ea1b31",
"thumbprint_sha256": "406ac0efb0ef67de743b1ab0f4e0352564a7d5ebbd71e3a883c067acc3563016",
"validity": {
"not_after": "2021-08-06 23:59:59",
"not_before": "2020-08-06 00:00:00"
},
"version": "V3"
},
"last_https_certificate_date": 1605415789,
"last_modification_date": 1605430702,
"network": "203.0.113.0/24",
"regional_internet_registry": "EXAMPLE",
"reputation": -95,
"tags": [],
"total_votes": {
"harmless": 0,
"malicious": 10
},
"whois": "NetRange: 203.0.113.0 - 203.0.113.255\nCIDR: 203.0.113.0/24\nNetName: EXAMPLE-5\nNetHandle: NET-203-0-113-0-1\nParent: ()\nNetType: Allocated to EXAMPLE\nOrig",
"whois_date": 1603912270
},
"id": "203.0.113.1",
"links": {
"self": "https://www.virustotal.com/api/v3/ip_addresses/203.0.113.1"
},
"type": "ip_address"
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Messages de sortie
L'action Enrichir l'adresse IP peut renvoyer les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
|
|
L'action a réussi. |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Enrichir l'adresse IP :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
URL d'enrichissement
Utilisez l'action Enrichir l'URL pour enrichir une URL à l'aide des informations de VirusTotal.
Cette action s'exécute sur l'entité URL de Google SecOps.
Entrées d'action
L'action Enrichir l'URL nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Engine Threshold |
Facultatif. Nombre minimal de moteurs qui doivent signaler une entité comme malveillante ou suspecte pour qu'elle soit considérée comme suspecte. Si vous configurez |
Engine Percentage Threshold |
Facultatif. Pourcentage minimal (de Si vous configurez Si vous configurez à la fois |
Engine Whitelist |
Facultatif. Liste de noms de moteurs séparés par une virgule pour l'action à prendre en compte lors de la détermination du caractère malveillant d'un hachage. Le calcul exclut les moteurs qui ne fournissent aucune information sur les entités. Si aucune valeur n'est fournie, l'action utilise tous les moteurs disponibles. |
Resubmit URL |
Facultatif. Si cette option est sélectionnée, l'action renvoie l'URL pour analyse au lieu d'utiliser les résultats existants. Désactivé par défaut |
Resubmit After (Days) |
Facultatif. Nombre minimal de jours qui doivent s'écouler depuis la dernière analyse avant que le hachage ne soit renvoyé. Ce paramètre ne s'applique que si vous sélectionnez le paramètre La valeur par défaut est |
Retrieve Comments |
Facultatif. Si cette option est sélectionnée, l'action récupère les commentaires associés à l'URL depuis VirusTotal. Cette option est activée par défaut. |
Create Insight |
Facultatif. Si cette option est sélectionnée, l'action génère un insight de sécurité contenant les informations d'analyse de l'URL. Cette option est activée par défaut. |
Only Suspicious Entity Insight |
Facultatif. Si cette option est sélectionnée, l'action ne génère des insights que pour les URL identifiées comme suspectes en fonction des paramètres de seuil configurés. Ce paramètre ne s'applique que si Désactivé par défaut |
Max Comments To Return |
Facultatif. Nombre maximal de commentaires que l'action récupère à chaque exécution. La valeur par défaut est |
Widget Theme |
Facultatif. Thème à utiliser pour le widget VirusTotal. Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Fetch Widget |
Facultatif. Si cette option est sélectionnée, l'action récupère et inclut le widget de résumé visuel associé à l'URL dans la sortie du mur des cas. Cette option est activée par défaut. |
Sorties d'action
L'action Enrichir l'URL fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Disponible |
| Tableau du mur des cas | Disponible |
| Table d'enrichissement des entités | Disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Lien vers le mur des cas
L'action Enrichir l'URL peut fournir le lien suivant pour chaque entité enrichie :
Nom : Lien vers le rapport
Valeur : URL
Tableau du mur des cas
L'action Enrichir l'URL peut fournir le tableau suivant pour chaque entité enrichie :
Nom de la table : ENTITY_ID
Colonnes du tableau :
- Nom
- Catégorie
- Méthode
- Résultat
L'action Enrichir l'URL peut fournir le tableau suivant pour chaque entité comportant des commentaires :
Nom de la table : Comments: ENTITY_ID
Colonnes du tableau :
- Date
- Commentaire
- Votes pour utilisation abusive
- Votes négatifs
- Votes positifs
- ID
Table d'enrichissement des entités
Le tableau suivant répertorie les champs enrichis à l'aide de l'action Enrichir l'URL :
| Nom du champ d'enrichissement | Applicabilité |
|---|---|
VT3_id |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_title |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_last_http_response_code |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_last_http_response_content_length |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_threat_names |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_harmless_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_malicious_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_suspicious_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_undetected_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_reputation |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_tags |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_malicious_vote_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_harmless_vote_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_report_link |
S'applique lorsqu'il est disponible dans le résultat JSON. |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Enrichir l'URL :
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"AEXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Messages de sortie
L'action Enrichir l'URL peut renvoyer les messages de résultat suivants :
| Message de sortie | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Enrich URL". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Enrichir l'URL :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Obtenir les détails du domaine
Utilisez l'action Obtenir les détails du domaine pour récupérer des informations détaillées sur le domaine à l'aide des informations de VirusTotal.
Cette action s'exécute sur les entités Google SecOps suivantes :
DomainHostnameURL
Entrées d'action
L'action Obtenir les détails du domaine nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Engine Threshold |
Facultatif. Nombre minimal de moteurs qui doivent signaler une entité comme malveillante ou suspecte pour qu'elle soit considérée comme suspecte. Si vous configurez |
Engine Percentage Threshold |
Facultatif. Pourcentage minimal (de Si vous configurez Si vous configurez à la fois |
Engine Whitelist |
Facultatif. Liste de noms de moteurs séparés par une virgule pour l'action à prendre en compte lors de la détermination du caractère malveillant d'un hachage. Le calcul exclut les moteurs qui ne fournissent aucune information sur les entités. Si aucune valeur n'est fournie, l'action utilise tous les moteurs disponibles. |
Retrieve Comments |
Facultatif. Si cette option est sélectionnée, l'action récupère les commentaires associés au domaine à partir de VirusTotal. Cette option est activée par défaut. |
Create Insight |
Facultatif. Si cette option est sélectionnée, l'action génère un insight de sécurité contenant les informations d'analyse pour le domaine. Cette option est activée par défaut. |
Only Suspicious Entity Insight |
Facultatif. Si cette option est sélectionnée, l'action ne génère des insights que pour les entités identifiées comme suspectes en fonction des paramètres de seuil configurés. Ce paramètre ne s'applique que si Désactivé par défaut |
Max Comments To Return |
Facultatif. Nombre maximal de commentaires que l'action récupère pour le domaine à chaque exécution. La valeur par défaut est |
Widget Theme |
Facultatif. Thème à utiliser pour le widget VirusTotal. Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Fetch Widget |
Facultatif. Si cette option est sélectionnée, l'action récupère et inclut le widget de résumé visuel associé au domaine dans la sortie du mur des cas. Cette option est activée par défaut. |
Sorties d'action
L'action Obtenir les détails du domaine fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Disponible |
| Tableau du mur des cas | Disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Lien vers le mur des cas
L'action Obtenir les détails du domaine peut fournir le lien suivant pour chaque entité enrichie :
Nom : Lien vers le rapport
Valeur : URL
Tableau du mur des cas
L'action Obtenir les détails du domaine peut fournir le tableau suivant pour chaque entité enrichie :
Nom de la table : ENTITY_ID
Colonnes du tableau :
- Nom
- Catégorie
- Méthode
- Résultat
L'action Obtenir les détails du domaine peut fournir le tableau suivant pour chaque entité comportant des commentaires :
Nom de la table : Comments: ENTITY_ID
Colonnes du tableau :
- Date
- Commentaire
- Votes pour utilisation abusive
- Votes négatifs
- Votes positifs
- ID
Résultat JSON
L'exemple suivant montre le résultat JSON obtenu lors de l'utilisation de l'action Obtenir les détails du domaine :
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Messages de sortie
L'action Obtenir les détails du domaine peut renvoyer les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Get Domain Details". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Get Domain Details (Obtenir les détails du domaine) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Obtenir les détails du graphique
Utilisez l'action Get Graph Details (Obtenir les détails du graphique) pour obtenir des informations détaillées sur les graphiques dans VirusTotal.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Obtenir les détails du graphique nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Graph ID |
Obligatoire. Liste d'ID de graphiques (séparés par une virgule) pour lesquels récupérer des informations. |
Max Links To Return |
Facultatif. Nombre maximal de liens à renvoyer pour chaque graphique. La valeur par défaut est |
Sorties d'action
L'action Obtenir les détails du graphique fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Tableau du mur des cas
L'action Obtenir les détails du graphique peut fournir le tableau suivant pour chaque entité enrichie :
Nom de la table : Liens du graphique ENTITY_ID
Colonnes du tableau :
- Source
- Cible
- Type de connexion
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Obtenir les détails du graphique :
{
"data": {
"attributes": {
"comments_count": 0,
"creation_date": 1603219837,
"graph_data": {
"description": "Example LLC",
"version": "api-5.0.0"
},
"last_modified_date": 1603219837,
"links": [
{
"connection_type": "last_serving_ip_address",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "last_serving_ip_address",
"source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "network_location",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "network_location",
"source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "communicating_files",
"source": "203.0.113.3",
"target": "relationships_communicating_files_20301133"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
}
],
"nodes": [
{
"entity_attributes": {
"has_detections": false
},
"entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 0,
"text": "",
"type": "url",
"x": 51.22276722115952,
"y": 65.7811310194184
},
{
"entity_attributes": {},
"entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 1,
"text": "",
"type": "relationship",
"x": 25.415664700492094,
"y": 37.66636498768037
},
{
"entity_attributes": {
"country": "US"
},
"entity_id": "203.0.113.3",
"fx": -19.03611541222395,
"fy": 24.958500220062717,
"index": 2,
"text": "",
"type": "ip_address",
"x": -19.03611541222395,
"y": 24.958500220062717
},
{
"entity_attributes": {},
"entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 3,
"text": "",
"type": "relationship",
"x": 14.37403861978968,
"y": 56.85562691824892
},
{
"entity_attributes": {},
"entity_id": "relationships_communicating_files_20301133",
"index": 4,
"text": "",
"type": "relationship",
"x": -51.78097726144755,
"y": 10.087893225996158
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
"index": 5,
"text": "",
"type": "file",
"x": -79.11606194776019,
"y": -18.475026322309112
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
"index": 6,
"text": "",
"type": "file",
"x": -64.80938048199627,
"y": 46.75892061191275
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
"index": 7,
"text": "",
"type": "file",
"x": -43.54064004476819,
"y": -28.547923020662786
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
"index": 8,
"text": "",
"type": "file",
"x": -15.529860440278318,
"y": -2.068209789825876
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
"index": 9,
"text": "",
"type": "file",
"x": -42.55971948293377,
"y": 46.937155845680415
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "html"
},
"entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
"index": 10,
"text": "",
"type": "file",
"x": -62.447976875107706,
"y": -28.172418384729067
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
"index": 11,
"text": "",
"type": "file",
"x": -89.0326649183805,
"y": -2.2638551448322484
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
"index": 12,
"text": "",
"type": "file",
"x": -26.35260716195174,
"y": -20.25669077264115
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
"index": 13,
"text": "",
"type": "file",
"x": -82.1415994911387,
"y": 34.89636762607467
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "ENTITY_ID",
"index": 14,
"text": "",
"type": "file",
"x": -90.87738694680043,
"y": 16.374462198116138
}
],
"private": false,
"views_count": 30
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
}
}
Messages de sortie
L'action Obtenir les détails du graphique peut renvoyer les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Get Graph Details". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant liste la valeur de la sortie du résultat du script lorsque vous utilisez l'action Get Graph Details (Obtenir les détails du graphique) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Obtenir les domaines associés
Utilisez l'action Get Related Domains (Obtenir les domaines associés) pour obtenir les domaines associés aux entités fournies à partir de VirusTotal.
Cette action s'exécute sur les entités Google SecOps suivantes :
DomainFile HashHostnameIP AddressURL
Entrées d'action
L'action Obtenir les domaines associés nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Results |
Facultatif. Structure utilisée pour agréger et regrouper les résultats JSON renvoyés. Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Max Domains To Return |
Facultatif. Nombre maximal de domaines à renvoyer. Si vous sélectionnez Si vous sélectionnez La valeur par défaut est |
Sorties d'action
L'action Obtenir les domaines associés fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Get Related Domains (Obtenir les domaines associés) :
{
"domain": ["example.com"]
}
Messages de sortie
L'action Get Related Domains (Obtenir les domaines associés) peut renvoyer les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Get Related Domains". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir les domaines associés :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Obtenir les hachages associés
Utilisez l'action Obtenir les hachages associés pour obtenir les hachages associés aux entités fournies à partir de VirusTotal.
Cette action s'exécute sur les entités Google SecOps suivantes :
DomainFile HashHostnameIP AddressURL
Entrées d'action
L'action Obtenir les hachages associés nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Results |
Facultatif. Structure utilisée pour agréger et regrouper les résultats JSON renvoyés. Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Max Hashes To Return |
Facultatif. Nombre maximal de hachages de fichiers à renvoyer. Si vous sélectionnez Si vous sélectionnez La valeur par défaut est |
Sorties d'action
L'action Obtenir les hachages associés fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Get Related Hashes (Obtenir les hachages associés) :
{
"sha256_hashes": ["http://example.com"]
}
Messages de sortie
L'action Obtenir les hachages associés peut renvoyer les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Get Related Hashes". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir les hachages associés :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Obtenir les adresses IP associées
Utilisez l'action Get Related IPs (Obtenir les adresses IP associées) pour obtenir les adresses IP associées aux entités fournies à partir de VirusTotal.
Cette action s'exécute sur les entités Google SecOps suivantes :
DomainFile HashHostnameURL
Entrées d'action
L'action Obtenir les adresses IP associées nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Results |
Facultatif. Structure utilisée pour agréger et regrouper les résultats JSON renvoyés. Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Max IPs To Return |
Facultatif. Nombre maximal d'adresses IP à renvoyer. Si vous sélectionnez Si vous sélectionnez La valeur par défaut est |
Sorties d'action
L'action Obtenir les adresses IP associées fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Get Related IPs (Obtenir les adresses IP associées) :
{
"ips": ["203.0.113.1"]
}
Messages de sortie
L'action Obtenir les adresses IP associées peut renvoyer les messages de résultat suivants :
| Message de sortie | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Get Related IPs". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir les adresses IP associées :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Obtenir les URL associées
Utilisez l'action Obtenir les URL associées pour obtenir les URL associées aux entités fournies à partir de VirusTotal.
Cette action s'exécute sur les entités Google SecOps suivantes :
DomainFile HashHostnameIP AddressURL
Entrées d'action
L'action Obtenir les URL associées nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Results |
Facultatif. Structure utilisée pour agréger et regrouper les résultats JSON renvoyés. Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Max URLs To Return |
Facultatif. Nombre maximal d'URL à renvoyer. Si vous sélectionnez Si vous sélectionnez La valeur par défaut est |
Sorties d'action
L'action Obtenir les URL associées fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON obtenu lors de l'utilisation de l'action Obtenir les URL associées :
{
"urls": ["http://example.com"]
}
Messages de sortie
L'action Obtenir les URL associées peut renvoyer les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Get Related URLs". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir les URL associées :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Ping
Utilisez l'action Ping pour tester la connectivité à VirusTotal.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
Aucune.
Sorties d'action
L'action Ping fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
L'action Ping peut renvoyer les messages de résultat suivants :
| Message de sortie | Description du message |
|---|---|
|
L'action a réussi. |
Failed to connect to the VirusTotal server! Error is
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Ping :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Rechercher des graphiques d'entités
Utilisez l'action Search Entity Graphs (Rechercher des graphiques d'entités) pour rechercher des graphiques basés sur les entités de VirusTotal.
Cette action s'exécute sur les entités Google SecOps suivantes :
DomainFile HashHostnameIP AddressThreat ActorURLUser
Entrées d'action
L'action Search Entity Graphs (Rechercher des graphiques d'entités) nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Sort Field |
Facultatif. Champ utilisé pour ordonner et séquencer les graphiques VirusTotal renvoyés. Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Max Graphs To Return |
Facultatif. Nombre maximal de graphiques à renvoyer. La valeur par défaut est |
Sorties d'action
L'action Rechercher des graphiques d'entités fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Rechercher des graphiques d'entités :
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
Messages de sortie
L'action Rechercher des graphiques d'entités peut renvoyer les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Search Entity Graphs". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Rechercher des graphiques
Utilisez l'action Search Graphs (Rechercher des graphiques) pour rechercher des graphiques en fonction de filtres personnalisés dans VirusTotal.
Cette action ne s'applique pas aux entités Google SecOps.
| Paramètre | Description |
|---|---|
Query |
Obligatoire. Filtre de requête pour le graphique. Pour en savoir plus sur les requêtes, consultez Créer des requêtes et Modificateurs liés aux graphiques. |
Sort Field |
Facultatif. Champ utilisé pour ordonner et séquencer les graphiques VirusTotal renvoyés. Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Max Graphs To Return |
Facultatif. Nombre maximal de graphiques à renvoyer. La valeur par défaut est |
Créer des requêtes
Pour affiner les résultats de recherche à partir de graphiques, créez des requêtes contenant des modificateurs liés aux graphiques. Pour améliorer la recherche, vous pouvez combiner des modificateurs avec les opérateurs AND, OR et NOT.
Les champs de date et numériques acceptent les suffixes plus (+) ou moins (-). Un suffixe "plus" correspond aux valeurs supérieures à la valeur fournie. Un suffixe moins correspond aux valeurs inférieures à la valeur fournie. Sans suffixe, la requête renvoie des correspondances exactes.
Pour définir des plages, vous pouvez utiliser le même modificateur plusieurs fois dans une requête. Par exemple, pour rechercher les graphiques créés entre le 15/11/2018 et le 20/11/2018, utilisez la requête suivante :
creation_date:2018-11-15+ creation_date:2018-11-20-
Pour les dates ou les mois qui commencent par 0, supprimez le caractère 0 dans la requête.
Par exemple, formatez la date 2018-11-01 en 2018-11-1.
Modificateurs liés aux graphiques
Le tableau suivant répertorie les modificateurs que vous pouvez utiliser pour créer la requête de recherche :
| Modificateur | Description | Exemple |
|---|---|---|
Id |
Filtre par identifiant de graphique. | id:g675a2fd4c8834e288af |
Name |
Filtre par nom de graphique. | name:Example-name |
Owner |
Filtre les graphiques appartenant à l'utilisateur. | owner:example_user |
Group |
Filtre les graphiques appartenant à un groupe. | group:example |
Visible_to_user |
Filtre les graphiques visibles par l'utilisateur. | visible_to_user:example_user |
Visible_to_group |
Filtre les graphiques visibles par le groupe. | visible_to_group:example |
Private |
Filtre par graphiques privés. | private:true, private:false |
Creation_date |
Filtre les données par date de création du graphique. | creation_date:2018-11-15 |
last_modified_date |
Filtre en fonction de la date de la dernière modification du graphique. | last_modified_date:2018-11-20 |
Total_nodes |
Filtre les graphiques contenant un nombre spécifique de nœuds. | total_nodes:100 |
Comments_count |
Filtre en fonction du nombre de commentaires dans le graphique. | comments_count:10+ |
Views_count |
Filtre le nombre de vues du graphique. | views_count:1000+ |
Label |
Filtre les graphiques contenant des nœuds avec un libellé spécifique. | label:Kill switch |
File |
Filtre les graphiques contenant le fichier spécifique. | file:131f95c51cc819465fa17 |
Domain |
Filtre les graphiques contenant le domaine spécifique. | domain:example.com |
Ip_address |
Filtre les graphiques qui contiennent l'adresse IP spécifique. | ip_address:203.0.113.1 |
Url |
Filtre les graphiques qui contiennent l'URL spécifique. | url:https://example.com/example/ |
Actor |
Filtre les graphiques contenant l'acteur spécifique. | actor:example actor |
Victim |
Filtre les graphiques contenant la victime spécifique. | victim:example_user |
Email |
Filtre les graphiques contenant l'adresse e-mail spécifique. | email:user@example.com |
Department |
Filtre les graphiques contenant le service spécifique. | department:engineers |
Sorties d'action
L'action Search Graphs (Rechercher des graphiques) fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Search Graphs :
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
Messages de sortie
L'action Rechercher des graphiques peut renvoyer les messages de sortie suivants :
| Message de sortie | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Search Graphs". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie des résultats du script lorsque vous utilisez l'action Rechercher des graphiques :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Rechercher des IOC
Utilisez l'action Rechercher des IoC pour rechercher des IoC dans l'ensemble de données VirusTotal.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Rechercher des IOC nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Query |
Obligatoire. Chaîne de requête utilisée pour filtrer et rechercher des IOC dans l'ensemble de données. Pour configurer la requête, suivez la syntaxe de requête applicable à l'interface utilisateur VirusTotal Intelligence. La valeur par défaut est |
Create Entities |
Facultatif. Si cette option est sélectionnée, l'action crée des entités pour les IOC renvoyés. Cette action n'enrichit pas les entités. Désactivé par défaut |
Order By |
Obligatoire. Champ utilisé pour déterminer le critère de tri principal des résultats renvoyés. Les types d'entités peuvent avoir des champs d'ordre différents. Pour savoir comment rechercher des fichiers dans VirusTotal, consultez Recherche avancée dans le corpus. Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Sort Order |
Facultatif. Ordre de tri des résultats. Les valeurs possibles sont les suivantes :
Si vous sélectionnez La valeur par défaut est |
Max IOCs To Return |
Facultatif. Nombre maximal d'IoC à renvoyer. La valeur maximale est de La valeur par défaut est |
Sorties d'action
L'action Rechercher des IOC fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Tableau du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Rechercher des IOC :
{
"data": [
{
"attributes": {
"type_description": "Email",
"tlsh": "T1B4D31F04BE452B3093E7238E064E6FDBAFCC135F6611F1C60881AAD6C5C77A2E57D689",
"exiftool": {
"MIMEType": "text/plain",
"FileType": "TXT",
"WordCount": "2668",
"LineCount": "1820",
"MIMEEncoding": "us-ascii",
"FileTypeExtension": "txt",
"Newlines": "Windows CRLF"
},
"type_tags": [
"internet",
"email"
],
"threat_severity": {
"threat_severity_level": "SEVERITY_HIGH",
"threat_severity_data": {
"num_gav_detections": 3,
"has_vulnerabilities": true,
"popular_threat_category": "trojan",
"type_tag": "email",
"has_embedded_ips_with_detections": true
},
"last_analysis_date": "1698050597",
"version": 2,
"level_description": "Severity HIGH because it was considered trojan. Other contributing factors were that it has known exploits, it contains embedded IPs with detections and it could not be run in sandboxes."
},
"names": [
"Re Example.eml"
],
"last_modification_date": 1698057197,
"type_tag": "email",
"times_submitted": 1,
"total_votes": {
"harmless": 0,
"malicious": 0
},
"size": 132299,
"popular_threat_classification": {
"suggested_threat_label": "obfsobjdat/malformed",
"popular_threat_name": [
{
"count": 8,
"value": "obfsobjdat"
},
{
"count": 2,
"value": "malformed"
}
]
},
"last_submission_date": 1698049979,
"last_analysis_results": {
"Bkav": {
"category": "undetected",
"engine_name": "Example1",
"engine_version": "2.0.0.1",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
"Lionic": {
"category": "undetected",
"engine_name": "Example2",
"engine_version": "7.5",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
},
"downloadable": true,
"trid": [
{
"file_type": "file seems to be plain text/ASCII",
"probability": 0
}
],
"sha256": "2d9df36964fe2e477e6e0f7a73391e4d4b2eeb0995dd488b431c4abfb4c27dbf",
"type_extension": "eml",
"tags": [
"exploit",
"cve-2018-0802",
"cve-2018-0798",
"email",
"cve-2017-11882"
],
"last_analysis_date": 1698049979,
"unique_sources": 1,
"first_submission_date": 1698049979,
"ssdeep": "768:MedEkBNnx8ueVV+fitChi9KbpK0fixbRwHbcElIK944tCVQOgzdsSuom+cWmsCGY:Meo+fitC0mKuixYxlI1OO1cSPo0gptA",
"md5": "bdfe36052e0c083869505ef4fd77e865",
"sha1": "3a350de97009efe517ceffcea406534bb1ab800c",
"magic": "SMTP mail, ASCII text, with CRLF line terminators",
"last_analysis_stats": {
"harmless": 0,
"type-unsupported": 16,
"suspicious": 0,
"confirmed-timeout": 0,
"timeout": 0,
"failure": 0,
"malicious": 28,
"undetected": 32
},
"meaningful_name": "Re Example.eml",
"reputation": 0
},
"type": "file",
"id": "ID",
"links": {
"self": "URL"
}
},
]
}
Messages de sortie
L'action Rechercher des IOC peut renvoyer les messages de résultat suivants :
| Message de sortie | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Search IOCs". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Rechercher des IOC :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Envoyer le fichier
Utilisez l'action Submit File (Envoyer un fichier) pour envoyer un fichier et renvoyer les résultats de VirusTotal.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Envoyer le fichier nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
File Paths |
Obligatoire. Liste des chemins d'accès absolus des fichiers à envoyer sur le serveur local ou distant, séparés par une virgule. Si vous configurez |
Engine Threshold |
Facultatif. Nombre minimal de moteurs devant signaler un fichier comme malveillant ou suspect pour qu'il soit considéré comme suspect. Si vous configurez |
Engine Percentage Threshold |
Facultatif. Pourcentage minimal (de Si vous configurez Si vous configurez à la fois |
Engine Whitelist |
Facultatif. Liste de noms de moteurs séparés par une virgule pour l'action à prendre en compte lors de la détermination du caractère malveillant d'un hachage. Le calcul exclut les moteurs qui ne fournissent aucune information sur les entités. Si aucune valeur n'est fournie, l'action utilise tous les moteurs disponibles. |
Retrieve Comments |
Facultatif. Si cette option est sélectionnée, l'action récupère les commentaires associés au fichier depuis VirusTotal. Les commentaires ne sont pas récupérés lorsque Cette option est activée par défaut. |
Retrieve Sigma Analysis |
Facultatif. Si cette option est sélectionnée, l'action récupère les résultats de l'analyse Sigma pour le fichier. Cette option est activée par défaut. |
Max Comments To Return |
Facultatif. Nombre maximal de commentaires que l'action récupère à chaque exécution. La valeur par défaut est |
Linux Server Address |
Facultatif. Emplacement réseau (adresse IP ou nom d'hôte) des fichiers sources sur le serveur Linux distant. |
Linux Username |
Facultatif. Nom d'utilisateur pour l'authentification auprès du serveur Linux distant. |
Linux Password |
Facultatif. Mot de passe d'authentification pour le serveur Linux distant. |
Private Submission |
Facultatif. Si cette option est sélectionnée, l'action envoie le fichier de manière privée. Pour envoyer le fichier de manière privée, vous devez disposer d'un accès VirusTotal Premium. Désactivé par défaut |
Fetch MITRE Details |
Facultatif. Si cette option est sélectionnée, l'action récupère les techniques et tactiques MITRE ATT&CK associées au hachage. Désactivé par défaut |
Lowest MITRE Technique Severity |
Facultatif. Niveau de gravité minimal d'une technique MITRE ATT&CK à inclure dans les résultats. L'action traite Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Retrieve AI Summary |
Facultatif. Si cette option est sélectionnée, l'action récupère un résumé du fichier généré par l'IA. Cette option n'est disponible que pour les envois privés. Ce paramètre est expérimental. Désactivé par défaut |
Sorties d'action
L'action Envoyer le fichier fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Disponible |
| Tableau du mur des cas | Disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Lien vers le mur des cas
L'action Envoyer le fichier peut renvoyer les liens suivants :
Nom : Lien vers le rapport : PATH
Valeur : URL
Tableau du mur des cas
L'action Envoyer le fichier peut fournir le tableau suivant pour chaque fichier envoyé :
Nom de la table : Résultats : PATH
Colonnes du tableau :
- Nom
- Catégorie
- Méthode
- Résultat
L'action Envoyer le fichier peut fournir le tableau suivant pour chaque fichier envoyé comportant des commentaires :
Nom de la table : Comments: PATH
Colonnes du tableau :
- Date
- Commentaire
- Votes pour utilisation abusive
- Votes négatifs
- Votes positifs
- ID
L'action Envoyer le fichier peut fournir le tableau suivant pour chaque entité dont les résultats d'analyse Sigma sont disponibles :
Nom de la table : Analyse Sigma : ENTITY_ID
Colonnes du tableau :
- ID
- Gravité
- Source
- Title
- Description
- Contexte du match
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Envoyer le fichier :
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Messages de sortie
L'action Envoyer le fichier peut renvoyer les messages de résultat suivants :
| Message de sortie | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Submit File". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Envoyer le fichier :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
true ou false |
Connecteurs
Pour savoir comment configurer des connecteurs dans Google SecOps, consultez Ingérer vos données (connecteurs).
VirusTotal – Connecteur Livehunt
Utilisez le connecteur VirusTotal – Livehunt pour extraire des informations sur les notifications VirusTotal Livehunt et les fichiers associés.
Règles du connecteur
Le connecteur VirusTotal – Livehunt est compatible avec les proxys.
Entrées du connecteur
Le connecteur VirusTotal – Livehunt nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
API Key |
Obligatoire. Clé API VirusTotal. |
Engine Percentage Threshold To Fetch |
Obligatoire. Seuil de pourcentage minimal des moteurs de sécurité (de La valeur par défaut est |
Engine Whitelist |
Facultatif. Liste de noms de moteurs séparés par une virgule pour l'action à prendre en compte lors de la détermination du caractère malveillant d'un hachage. Le calcul exclut les moteurs qui ne fournissent aucune information sur les entités. Si aucune valeur n'est fournie, l'action utilise tous les moteurs disponibles. |
Environment Field Name |
Facultatif. Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ "environment" (environnement) est manquant, le connecteur utilise la valeur par défaut. La valeur par défaut est |
Environment Regex Pattern |
Facultatif. Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Utilisez la valeur par défaut Si le modèle d'expression régulière est nul ou vide, ou si la valeur de l'environnement est nulle, l'environnement par défaut est sélectionné. |
Event Field Name |
Obligatoire. Nom du champ qui détermine le nom (sous-type) de l'événement. La valeur par défaut est |
Max Hours Backwards |
Facultatif. Nombre d'heures de période à analyser pour récupérer les alertes. Ce paramètre peut s'appliquer à l'itération initiale du connecteur après l'avoir activé pour la première fois, ou à la valeur de remplacement pour un code temporel de connecteur expiré. La valeur par défaut est |
Max Notifications To Fetch |
Facultatif. Nombre maximal de notifications à traiter à chaque exécution du connecteur. La valeur par défaut est |
Product Field Name |
Obligatoire. Nom du champ dans lequel le nom du produit est stocké. Le nom du produit a principalement un impact sur le mappage. Pour simplifier et améliorer le processus de mappage du connecteur, la valeur par défaut est résolue en une valeur de remplacement référencée à partir du code. Toute entrée non valide pour ce paramètre est résolue en une valeur de remplacement par défaut. La valeur par défaut est |
Proxy Password |
Facultatif. Mot de passe pour l'authentification du serveur proxy. |
Proxy Server Address |
Facultatif. Adresse du serveur proxy à utiliser. |
Proxy Username |
Facultatif. Nom d'utilisateur pour l'authentification du serveur proxy. |
PythonProcessTimeout |
Obligatoire. Délai avant expiration, en secondes, du processus Python qui exécute le script actuel. La valeur par défaut est |
Use dynamic list as a blacklist |
Facultatif. Si cette option est sélectionnée, le connecteur utilise la liste dynamique comme liste de blocage. Désactivé par défaut |
Verify SSL |
Facultatif. Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion au serveur VirusTotal. Cette option est activée par défaut. |
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.