Integre o VirusTotal v3 com o Google SecOps
Versão de integração: 37.0
Este documento explica como integrar o VirusTotal v3 com o Google Security Operations (Google SecOps).
Exemplos de utilização
A integração do VirusTotal v3 usa as capacidades do Google SecOps para suportar os seguintes exemplos de utilização:
Análise de ficheiros: envie um hash de ficheiro ou um ficheiro para análise ao VirusTotal e obtenha resultados da análise de vários motores antivírus para determinar se o item enviado é malicioso.
Análise de URLs: execute um URL na base de dados do VirusTotal para identificar Websites ou páginas de phishing potencialmente maliciosos.
Análise de endereços IP: investigue um endereço IP e identifique a respetiva reputação e qualquer atividade maliciosa associada.
Análise de domínios: analise um nome de domínio e identifique a respetiva reputação e qualquer atividade maliciosa associada, como phishing ou distribuição de software malicioso.
Retrohunting: analise os dados do histórico do VirusTotal para pesquisar ficheiros, URLs, IPs ou domínios que foram anteriormente denunciados como maliciosos.
Enriquecimento automático: enriqueça automaticamente os dados de incidentes com informações sobre ameaças.
Investigação de phishing: analise emails e anexos suspeitos enviando-os para o VirusTotal para análise.
Análise de software malicioso: carregue amostras de software malicioso para o VirusTotal para análise dinâmica e estática e obtenha estatísticas sobre o comportamento e o potencial impacto das amostras.
Antes de começar
Antes de configurar a integração na plataforma Google SecOps, verifique se tem o seguinte:
API VirusTotal Premium: para funcionar corretamente, esta integração requer uma subscrição da API VirusTotal Premium.
Para mais informações sobre as diferenças entre os níveis da API, consulte o artigo API pública vs. API Premium.
Chave da API: tem de configurar uma chave da API VirusTotal antes de configurar a instância de integração no Google SecOps.
Configure a chave da API VirusTotal
Antes de configurar a integração do VirusTotal v3 no Google SecOps, tem de obter e copiar a chave da API:
Inicie sessão no portal do VirusTotal.
Aceda às definições da conta e, abaixo do nome de utilizador ou do perfil, clique em Chave da API.
Copie a chave da API gerada. Use esta chave para preencher o
API Keyparâmetro de integração.
Parâmetros de integração
A integração do VirusTotal v3 requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
API Key |
Obrigatório. A chave da API VirusTotal. |
Verify SSL |
Opcional. Se estiver selecionada, a integração valida o certificado SSL quando se liga ao servidor VirusTotal v3. Ativada por predefinição. |
Para ver instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configurar integrações.
Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de procedimentos. Para mais informações sobre como configurar e suportar várias instâncias, consulte o artigo Suporte de várias instâncias.
Ações
Para mais informações sobre ações, consulte os artigos Responda a ações pendentes da sua mesa de trabalho e Realize uma ação manual.
Adicionar comentário à entidade
Use a ação Add Comment To Entity para adicionar um comentário a entidades no VirusTotal.
Esta ação é executada nas seguintes entidades do Google SecOps:
DomainFile HashHostnameIP AddressURL
Dados de ações
A ação Add Comment To Entity requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Comment |
Obrigatório. O comentário a adicionar às entidades. |
Resultados da ação
A ação Adicionar comentário à entidade fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
Os exemplos seguintes mostram as saídas de resultados JSON recebidas quando usa a ação Add Comment To Entity:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Mensagens de saída
A ação Add Comment To Entity pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Add Comment To Entity". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Add Comment To Entity:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Adicionar voto à entidade
Use a ação Add Vote To Entity para adicionar um voto a entidades no VirusTotal.
Esta ação é executada nas seguintes entidades do Google SecOps:
DomainFile HashHostnameIP AddressURL
Dados de ações
A ação Add Vote To Entity requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Vote |
Obrigatório. O voto a atribuir à reputação da entidade. Os valores possíveis são os seguintes:
|
Resultados da ação
A ação Add Vote To Entity fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Add Vote To Entity:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Mensagens de saída
A ação Add Vote To Entity pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Add Vote To Entity". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Add Vote To Entity:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Transferir ficheiro
Use a ação Transferir ficheiro para transferir um ficheiro do VirusTotal.
Esta ação é executada na entidade File Hash do Google SecOps.
Dados de ações
A ação Transferir ficheiro requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Download Folder Path |
Obrigatório. O caminho para a pasta onde a ação guarda os ficheiros transferidos. |
Overwrite |
Opcional. Se esta opção for selecionada, a ação substitui qualquer ficheiro existente com o mesmo nome que o novo ficheiro transferido. Ativada por predefinição. |
Resultados da ação
A ação Transferir ficheiro fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Transferir ficheiro:
{
"absolute_file_paths": ["file_path_1","file_path_2"]
}
Mensagens de saída
A ação Transferir ficheiro pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Download File". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Hash de enriquecimento
Use a ação Enrich Hash para enriquecer hashes com informações do VirusTotal.
Esta ação é executada na entidade File Hash do Google SecOps.
Dados de ações
A ação Enrich Hash requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Engine Threshold |
Opcional. O número mínimo de motores que têm de denunciar uma entidade como maliciosa ou suspeita para que seja considerada suspeita. Se configurar |
Engine Percentage Threshold |
Opcional. A percentagem mínima (de Se configurar Se configurar |
Engine Whitelist |
Opcional. Uma lista de nomes de motores separados por vírgulas para a ação a considerar ao determinar se um hash é malicioso. O cálculo exclui os motores que não fornecem informações de entidades. Se não for indicado nenhum valor, a ação usa todos os motores disponíveis. |
Resubmit Hash |
Opcional. Se selecionada, a ação volta a enviar o hash para análise em vez de usar os resultados existentes. Desativada por predefinição. |
Resubmit After (Days) |
Opcional. O número mínimo de dias que têm de decorrer desde a última análise antes de o hash ser reenviado. Este parâmetro só se aplica se selecionar o parâmetro O valor predefinido é |
Retrieve Comments |
Opcional. Se selecionada, a ação obtém comentários associados ao hash do VirusTotal. Ativada por predefinição. |
Retrieve Sigma Analysis |
Opcional. Se selecionada, a ação obtém os resultados da análise Sigma para o hash. Selecionado por predefinição. |
Sandbox |
Opcional. Uma lista separada por vírgulas de ambientes de sandbox a usar para análise de comportamento. Se não definir um valor, a ação usa o valor predefinido. O valor predefinido é |
Retrieve Sandbox Analysis |
Opcional. Se selecionada, a ação obtém os resultados da análise da sandbox para o hash e cria uma secção separada na saída JSON para cada sandbox especificada. Selecionado por predefinição. |
Create Insight |
Opcional. Se selecionada, a ação gera uma estatística de segurança que contém as informações de análise para o hash. Ativada por predefinição. |
Only Suspicious Entity Insight |
Opcional. Se selecionada, a ação gera estatísticas apenas para hashes identificados como suspeitos com base nos parâmetros de limite configurados. Este parâmetro só se aplica se Desativada por predefinição. |
Max Comments To Return |
Opcional. O número máximo de comentários que a ação obtém durante cada execução. O valor predefinido é |
Widget Theme |
Opcional. O tema a usar para o widget VirusTotal. Os valores possíveis são os seguintes:
O valor predefinido é |
Fetch Widget |
Opcional. Se selecionada, a ação obtém e inclui o widget de resumo visual relacionado com o hash no resultado da Case Wall. Ativada por predefinição. |
Fetch MITRE Details |
Opcional. Se selecionada, a ação obtém técnicas e táticas do MITRE ATT&CK relacionadas com o hash. Desativada por predefinição. |
Lowest MITRE Technique Severity |
Opcional. O nível de gravidade mínimo para uma técnica MITRE ATT&CK a incluir nos resultados. A ação trata a gravidade Os valores possíveis são os seguintes:
O valor predefinido é |
Resultados da ação
A ação Enrich Hash fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Disponível |
| Mesa de parede para capas | Disponível |
| Tabela de enriquecimento de entidades | Disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Link da parede da caixa
A ação Enrich Hash pode fornecer o seguinte link para cada entidade enriquecida:
Nome: Link do relatório
Valor: URL
Mesa de parede para capas
A ação Enrich Hash pode fornecer a seguinte tabela para cada entidade enriquecida:
Nome da tabela: ENTITY_ID
Colunas da tabela:
- Nome
- Categoria
- Método
- Resultado
A ação Enrich Hash pode fornecer a seguinte tabela para cada entidade que tenha comentários:
Nome da tabela: Comentários: ENTITY_ID
Colunas da tabela:
- Data
- Comentar
- Votos abusivos
- Votos negativos
- Votos positivos
- ID
A ação Enrich Hash pode fornecer a seguinte tabela para cada entidade que tenha os resultados da análise Sigma:
Nome da tabela: Análise do Sigma: ENTITY_ID
Colunas da tabela:
- ID
- Gravidade
- Fonte
- Título
- Descrição
- Contexto de correspondência
Tabela de enriquecimento de entidades
A tabela seguinte apresenta os campos enriquecidos através da ação Enriquecer hash:
| Nome do campo de enriquecimento | Aplicabilidade |
|---|---|
VT3_id |
Aplica-se quando disponível no resultado JSON. |
VT3_magic |
Aplica-se quando disponível no resultado JSON. |
VT3_md5 |
Aplica-se quando disponível no resultado JSON. |
VT3_sha1 |
Aplica-se quando disponível no resultado JSON. |
VT3_sha256 |
Aplica-se quando disponível no resultado JSON. |
VT3_ssdeep |
Aplica-se quando disponível no resultado JSON. |
VT3_tlsh |
Aplica-se quando disponível no resultado JSON. |
VT3_vhash |
Aplica-se quando disponível no resultado JSON. |
VT3_meaningful_name |
Aplica-se quando disponível no resultado JSON. |
VT3_magic |
Aplica-se quando disponível no resultado JSON. |
VT3_harmless_count |
Aplica-se quando disponível no resultado JSON. |
VT3_malicious_count |
Aplica-se quando disponível no resultado JSON. |
VT3_suspicious_count |
Aplica-se quando disponível no resultado JSON. |
VT3_undetected_count |
Aplica-se quando disponível no resultado JSON. |
VT3_reputation |
Aplica-se quando disponível no resultado JSON. |
VT3_tags |
Aplica-se quando disponível no resultado JSON. |
VT3_malicious_vote_count |
Aplica-se quando disponível no resultado JSON. |
VT3_harmless_vote_count |
Aplica-se quando disponível no resultado JSON. |
VT3_report_link |
Aplica-se quando disponível no resultado JSON. |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Enrich Hash:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}]
}
Mensagens de saída
A ação Enrich Hash pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Enrich Hash". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Enrich Hash:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Enriqueça os IOCs
Use a ação Enrich IOC para enriquecer os indicadores de comprometimento (IoCs) com informações do VirusTotal.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Enrich IOC requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
IOC Type |
Opcional. O tipo de IoC a enriquecer. O valor predefinido é
Os valores possíveis são os seguintes:
|
IOCs |
Obrigatório. Uma lista separada por vírgulas de IoCs a enriquecer. |
Widget Theme |
Opcional. O tema a usar para o widget VirusTotal. Os valores possíveis são os seguintes:
O valor predefinido é |
Fetch Widget |
Opcional. Se selecionada, a ação obtém e inclui o widget de resumo visual relacionado com o IoC no resultado da Case Wall. Ativada por predefinição. |
Resultados da ação
A ação Enrich IOC fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Disponível |
| Mesa de parede para capas | Disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Link da parede da caixa
A ação Enrich IOC pode fornecer o seguinte link para cada entidade enriquecida:
Nome: Link do relatório
Valor: URL
Mesa de parede para capas
A ação Enrich IOC pode fornecer a seguinte tabela para cada entidade enriquecida:
Nome da tabela: IOC_ID
Colunas da tabela:
- Nome
- Categoria
- Método
- Resultado
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Enrich IOC:
{
"ioc": {
"identifier": "203.0.113.1",
"details": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"report_link": "{generated report link}",
"widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
}
}
}
Mensagens de saída
A ação Enrich IOC pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Enrich IOC". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Enrich IOC:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Enriquecer IP
Use a ação Enriquecer IP para enriquecer endereços IP com informações do VirusTotal.
Esta ação é executada na entidade IP Address do Google SecOps.
Dados de ações
A ação Enrich IP requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Engine Threshold |
Opcional. O número mínimo de motores que têm de denunciar uma entidade como maliciosa ou suspeita para que seja considerada suspeita. Se configurar |
Engine Percentage Threshold |
Opcional. A percentagem mínima (de Se configurar Se configurar |
Engine Whitelist |
Opcional. Uma lista de nomes de motores separados por vírgulas para a ação a considerar ao determinar se um hash é malicioso. O cálculo exclui os motores que não fornecem informações de entidades. Se não for indicado nenhum valor, a ação usa todos os motores disponíveis. |
Retrieve Comments |
Opcional. Se estiver selecionada, a ação obtém comentários associados ao endereço IP do VirusTotal. Ativada por predefinição. |
Create Insight |
Opcional. Se selecionada, a ação gera uma estatística de segurança com as informações de análise do endereço IP. Ativada por predefinição. |
Only Suspicious Entity Insight |
Opcional. Se selecionada, a ação gera estatísticas apenas para endereços IP identificados como suspeitos com base nos parâmetros de limite configurados. Este parâmetro só se aplica se Desativada por predefinição. |
Max Comments To Return |
Opcional. O número máximo de comentários que a ação obtém durante cada execução. O valor predefinido é |
Widget Theme |
Opcional. O tema a usar para o widget VirusTotal. Os valores possíveis são os seguintes:
O valor predefinido é |
Fetch Widget |
Opcional. Se selecionada, a ação obtém e inclui o widget de resumo visual relacionado com o endereço IP no resultado da Case Wall. Ativada por predefinição. |
Resultados da ação
A ação Enriquecer IP fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Disponível |
| Mesa de parede para capas | Disponível |
| Tabela de enriquecimento de entidades | Disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Link da parede da caixa
A ação Enriquecer IP pode fornecer o seguinte link para cada entidade enriquecida:
Nome: Link do relatório
Valor: URL
Mesa de parede para capas
A ação Enriquecer IP pode fornecer a seguinte tabela para cada entidade enriquecida:
Nome da tabela: ENTITY_ID
Colunas da tabela:
- Nome
- Categoria
- Método
- Resultado
A ação Enrich IP pode fornecer a seguinte tabela para cada entidade que tenha comentários:
Nome da tabela: Comentários: ENTITY_ID
Colunas da tabela:
- Data
- Comentar
- Votos abusivos
- Votos negativos
- Votos positivos
- ID
Tabela de enriquecimento de entidades
A tabela seguinte apresenta os campos enriquecidos através da ação Enriquecer IP:
| Nome do campo de enriquecimento | Aplicabilidade |
|---|---|
VT3_id |
Aplica-se quando disponível no resultado JSON. |
VT3_owner |
Aplica-se quando disponível no resultado JSON. |
VT3_asn |
Aplica-se quando disponível no resultado JSON. |
VT3_continent |
Aplica-se quando disponível no resultado JSON. |
VT3_country |
Aplica-se quando disponível no resultado JSON. |
VT3_harmless_count |
Aplica-se quando disponível no resultado JSON. |
VT3_malicious_count |
Aplica-se quando disponível no resultado JSON. |
VT3_suspicious_count |
Aplica-se quando disponível no resultado JSON. |
VT3_undetected_count |
Aplica-se quando disponível no resultado JSON. |
VT3_certificate_valid_not_after |
Aplica-se quando disponível no resultado JSON. |
VT3_certificate_valid_not_before |
Aplica-se quando disponível no resultado JSON. |
VT3_reputation |
Aplica-se quando disponível no resultado JSON. |
VT3_tags |
Aplica-se quando disponível no resultado JSON. |
VT3_malicious_vote_count |
Aplica-se quando disponível no resultado JSON. |
VT3_harmless_vote_count |
Aplica-se quando disponível no resultado JSON. |
VT3_report_link |
Aplica-se quando disponível no resultado JSON. |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Enrich IP:
{
"data": {
"attributes": {
"as_owner": "Example",
"asn": 50673,
"continent": "EU",
"country": "NL",
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "ExampleLabs",
"method": "blacklist",
"result": "clean"
},
"example.com URL checker": {
"category": "harmless",
"engine_name": "example.com URL checker",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 81,
"malicious": 5,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_https_certificate": {
"cert_signature": {
"signature": "48ae0d5d0eb411e56bd328b93c7212c72fd21785070648e11d9ae2b80386711699978e650eafa233d234671b87c8134c1c38c59f702518ddebdc7849dc512e0158941507970ab3ab93788d27df728d727d7f9d28ed358abb145fb24803d0eeab04687ae07c7f1d3176374367efc000bd26d3cfc0659e54826ea2dfa2366d7bd9e8ed3bd2ff8a26898b37fadea198f93de8cf3ae3d703513bc0638f7b411d8eda9a3ac9a7510d7bfe553592792d10f8b2c255bc4a05c8c6bfbdb8def045dc754b39c9b89d2a5140818622760eb116abf6fd0a5798c1e274fe56a056ed21f419a6873d314c15238a398d8049b5ecc1ca003d0a07a989a710d137e4fc74b5671caa",
"signature_algorithm": "sha256RSA"
},
"extensions": {
"1.3.6.1.4.1.11129.2.4.2": "0481f200f00075007d3ef2f88fff88556824c2c0ca9e5289792bc50e78097f2e",
"CA": true,
"authority_key_identifier": {
"keyid": "KEY_ID"
},
"ca_information_access": {
"CA Issuers": "http://example.RSADomainValidationSecureServerCA.crt",
"OCSP": "http://example.com"
},
"certificate_policies": [
"1.3.6.1.4.1.6449.1.2.2.7",
"2.23.140.1.2.1"
],
"extended_key_usage": [
"serverAuth",
"clientAuth"
],
"key_usage": [
"ff"
],
"subject_alternative_name": [
"example-panel.xyz",
"www.example-panel.xyz"
],
"subject_key_identifier": "4f6429eaccd761eca91d9120b004f9d962453fef",
"tags": []
},
"issuer": {
"C": "US",
"CN": "Example RSA Domain Validation Secure Server CA",
"L": "Mountain View",
"O": "Example Ltd.",
},
"public_key": {
"algorithm": "RSA",
"rsa": {
"exponent": "010001",
"key_size": 2048,
"modulus": "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"
}
},
"serial_number": "248562d360bcc919bb97883f0dfc609d",
"signature_algorithm": "sha256RSA",
"size": 1472,
"subject": {
"CN": "example-panel.xyz"
},
"tags": [],
"thumbprint": "f9aae62cc9262302e45d94fcc512d65529ea1b31",
"thumbprint_sha256": "406ac0efb0ef67de743b1ab0f4e0352564a7d5ebbd71e3a883c067acc3563016",
"validity": {
"not_after": "2021-08-06 23:59:59",
"not_before": "2020-08-06 00:00:00"
},
"version": "V3"
},
"last_https_certificate_date": 1605415789,
"last_modification_date": 1605430702,
"network": "203.0.113.0/24",
"regional_internet_registry": "EXAMPLE",
"reputation": -95,
"tags": [],
"total_votes": {
"harmless": 0,
"malicious": 10
},
"whois": "NetRange: 203.0.113.0 - 203.0.113.255\nCIDR: 203.0.113.0/24\nNetName: EXAMPLE-5\nNetHandle: NET-203-0-113-0-1\nParent: ()\nNetType: Allocated to EXAMPLE\nOrig",
"whois_date": 1603912270
},
"id": "203.0.113.1",
"links": {
"self": "https://www.virustotal.com/api/v3/ip_addresses/203.0.113.1"
},
"type": "ip_address"
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Mensagens de saída
A ação Enrich IP pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
|
A ação foi bem-sucedida. |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Enrich IP:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
URL de enriquecimento
Use a ação Enriquecer URL para enriquecer um URL com informações do VirusTotal.
Esta ação é executada na entidade URL do Google SecOps.
Dados de ações
A ação Enriquecer URL requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Engine Threshold |
Opcional. O número mínimo de motores que têm de denunciar uma entidade como maliciosa ou suspeita para que seja considerada suspeita. Se configurar |
Engine Percentage Threshold |
Opcional. A percentagem mínima (de Se configurar Se configurar |
Engine Whitelist |
Opcional. Uma lista de nomes de motores separados por vírgulas para a ação a considerar ao determinar se um hash é malicioso. O cálculo exclui os motores que não fornecem informações de entidades. Se não for indicado nenhum valor, a ação usa todos os motores disponíveis. |
Resubmit URL |
Opcional. Se esta opção for selecionada, a ação volta a enviar o URL para análise em vez de usar os resultados existentes. Desativada por predefinição. |
Resubmit After (Days) |
Opcional. O número mínimo de dias que têm de decorrer desde a última análise antes de o hash ser reenviado. Este parâmetro só se aplica se selecionar o parâmetro O valor predefinido é |
Retrieve Comments |
Opcional. Se selecionada, a ação obtém comentários associados ao URL do VirusTotal. Ativada por predefinição. |
Create Insight |
Opcional. Se selecionada, a ação gera uma estatística de segurança que contém as informações de análise do URL. Ativada por predefinição. |
Only Suspicious Entity Insight |
Opcional. Se selecionada, a ação gera estatísticas apenas para URLs identificados como suspeitos com base nos parâmetros de limite configurados. Este parâmetro só se aplica se Desativada por predefinição. |
Max Comments To Return |
Opcional. O número máximo de comentários que a ação obtém durante cada execução. O valor predefinido é |
Widget Theme |
Opcional. O tema a usar para o widget VirusTotal. Os valores possíveis são os seguintes:
O valor predefinido é |
Fetch Widget |
Opcional. Se selecionada, a ação obtém e inclui o widget de resumo visual relacionado com o URL no resultado da Case Wall. Ativada por predefinição. |
Resultados da ação
A ação Enriquecer URL fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Disponível |
| Mesa de parede para capas | Disponível |
| Tabela de enriquecimento de entidades | Disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Link da parede da caixa
A ação Enriquecer URL pode fornecer o seguinte link para cada entidade enriquecida:
Nome: Link do relatório
Valor: URL
Mesa de parede para capas
A ação Enriquecer URL pode fornecer a seguinte tabela para cada entidade enriquecida:
Nome da tabela: ENTITY_ID
Colunas da tabela:
- Nome
- Categoria
- Método
- Resultado
A ação Enriquecer URL pode fornecer a seguinte tabela para cada entidade que tenha comentários:
Nome da tabela: Comentários: ENTITY_ID
Colunas da tabela:
- Data
- Comentar
- Votos abusivos
- Votos negativos
- Votos positivos
- ID
Tabela de enriquecimento de entidades
A tabela seguinte apresenta os campos enriquecidos através da ação Enriquecer URL:
| Nome do campo de enriquecimento | Aplicabilidade |
|---|---|
VT3_id |
Aplica-se quando disponível no resultado JSON. |
VT3_title |
Aplica-se quando disponível no resultado JSON. |
VT3_last_http_response_code |
Aplica-se quando disponível no resultado JSON. |
VT3_last_http_response_content_length |
Aplica-se quando disponível no resultado JSON. |
VT3_threat_names |
Aplica-se quando disponível no resultado JSON. |
VT3_harmless_count |
Aplica-se quando disponível no resultado JSON. |
VT3_malicious_count |
Aplica-se quando disponível no resultado JSON. |
VT3_suspicious_count |
Aplica-se quando disponível no resultado JSON. |
VT3_undetected_count |
Aplica-se quando disponível no resultado JSON. |
VT3_reputation |
Aplica-se quando disponível no resultado JSON. |
VT3_tags |
Aplica-se quando disponível no resultado JSON. |
VT3_malicious_vote_count |
Aplica-se quando disponível no resultado JSON. |
VT3_harmless_vote_count |
Aplica-se quando disponível no resultado JSON. |
VT3_report_link |
Aplica-se quando disponível no resultado JSON. |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Enrich URL:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"AEXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Mensagens de saída
A ação Enrich URL pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Enrich URL". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor da saída do resultado do script quando usa a ação Enriquecer URL:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Obtenha detalhes do domínio
Use a ação Get Domain Details para obter informações detalhadas sobre o domínio através de informações do VirusTotal.
Esta ação é executada nas seguintes entidades do Google SecOps:
DomainHostnameURL
Dados de ações
A ação Get Domain Details requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Engine Threshold |
Opcional. O número mínimo de motores que têm de denunciar uma entidade como maliciosa ou suspeita para que seja considerada suspeita. Se configurar |
Engine Percentage Threshold |
Opcional. A percentagem mínima (de Se configurar Se configurar |
Engine Whitelist |
Opcional. Uma lista de nomes de motores separados por vírgulas para a ação a considerar ao determinar se um hash é malicioso. O cálculo exclui os motores que não fornecem informações de entidades. Se não for indicado nenhum valor, a ação usa todos os motores disponíveis. |
Retrieve Comments |
Opcional. Se estiver selecionada, a ação obtém comentários associados ao domínio do VirusTotal. Ativada por predefinição. |
Create Insight |
Opcional. Se estiver selecionada, a ação gera uma estatística de segurança que contém as informações de análise para o domínio. Ativada por predefinição. |
Only Suspicious Entity Insight |
Opcional. Se selecionada, a ação gera estatísticas apenas para entidades identificadas como suspeitas com base nos parâmetros de limite configurados. Este parâmetro só se aplica se Desativada por predefinição. |
Max Comments To Return |
Opcional. O número máximo de comentários que a ação obtém para o domínio durante cada execução. O valor predefinido é |
Widget Theme |
Opcional. O tema a usar para o widget VirusTotal. Os valores possíveis são os seguintes:
O valor predefinido é |
Fetch Widget |
Opcional. Se selecionada, a ação obtém e inclui o widget de resumo visual relacionado com o domínio no resultado da Case Wall. Ativada por predefinição. |
Resultados da ação
A ação Get Domain Details (Obter detalhes do domínio) fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Disponível |
| Mesa de parede para capas | Disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Link da parede da caixa
A ação Get Domain Details pode fornecer o seguinte link para cada entidade enriquecida:
Nome: Link do relatório
Valor: URL
Mesa de parede para capas
A ação Get Domain Details pode fornecer a seguinte tabela para cada entidade enriquecida:
Nome da tabela: ENTITY_ID
Colunas da tabela:
- Nome
- Categoria
- Método
- Resultado
A ação Get Domain Details pode fornecer a seguinte tabela para cada entidade que tenha comentários:
Nome da tabela: Comentários: ENTITY_ID
Colunas da tabela:
- Data
- Comentar
- Votos abusivos
- Votos negativos
- Votos positivos
- ID
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Get Domain Details:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Mensagens de saída
A ação Get Domain Details pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Get Domain Details". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Get Domain Details:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Obter detalhes do gráfico
Use a ação Get Graph Details para obter informações detalhadas sobre os gráficos no VirusTotal.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Get Graph Details requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Graph ID |
Obrigatório. Uma lista separada por vírgulas de IDs de gráficos para os quais obter detalhes. |
Max Links To Return |
Opcional. O número máximo de links a devolver para cada gráfico. O valor predefinido é |
Resultados da ação
A ação Get Graph Details fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para capas | Disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mesa de parede para capas
A ação Get Graph Details pode fornecer a seguinte tabela para cada entidade enriquecida:
Nome da tabela: Links ENTITY_ID do gráfico
Colunas da tabela:
- Fonte
- Alvo
- Tipo de ligação
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Get Graph Details:
{
"data": {
"attributes": {
"comments_count": 0,
"creation_date": 1603219837,
"graph_data": {
"description": "Example LLC",
"version": "api-5.0.0"
},
"last_modified_date": 1603219837,
"links": [
{
"connection_type": "last_serving_ip_address",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "last_serving_ip_address",
"source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "network_location",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "network_location",
"source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "communicating_files",
"source": "203.0.113.3",
"target": "relationships_communicating_files_20301133"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
}
],
"nodes": [
{
"entity_attributes": {
"has_detections": false
},
"entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 0,
"text": "",
"type": "url",
"x": 51.22276722115952,
"y": 65.7811310194184
},
{
"entity_attributes": {},
"entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 1,
"text": "",
"type": "relationship",
"x": 25.415664700492094,
"y": 37.66636498768037
},
{
"entity_attributes": {
"country": "US"
},
"entity_id": "203.0.113.3",
"fx": -19.03611541222395,
"fy": 24.958500220062717,
"index": 2,
"text": "",
"type": "ip_address",
"x": -19.03611541222395,
"y": 24.958500220062717
},
{
"entity_attributes": {},
"entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 3,
"text": "",
"type": "relationship",
"x": 14.37403861978968,
"y": 56.85562691824892
},
{
"entity_attributes": {},
"entity_id": "relationships_communicating_files_20301133",
"index": 4,
"text": "",
"type": "relationship",
"x": -51.78097726144755,
"y": 10.087893225996158
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
"index": 5,
"text": "",
"type": "file",
"x": -79.11606194776019,
"y": -18.475026322309112
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
"index": 6,
"text": "",
"type": "file",
"x": -64.80938048199627,
"y": 46.75892061191275
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
"index": 7,
"text": "",
"type": "file",
"x": -43.54064004476819,
"y": -28.547923020662786
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
"index": 8,
"text": "",
"type": "file",
"x": -15.529860440278318,
"y": -2.068209789825876
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
"index": 9,
"text": "",
"type": "file",
"x": -42.55971948293377,
"y": 46.937155845680415
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "html"
},
"entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
"index": 10,
"text": "",
"type": "file",
"x": -62.447976875107706,
"y": -28.172418384729067
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
"index": 11,
"text": "",
"type": "file",
"x": -89.0326649183805,
"y": -2.2638551448322484
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
"index": 12,
"text": "",
"type": "file",
"x": -26.35260716195174,
"y": -20.25669077264115
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
"index": 13,
"text": "",
"type": "file",
"x": -82.1415994911387,
"y": 34.89636762607467
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "ENTITY_ID",
"index": 14,
"text": "",
"type": "file",
"x": -90.87738694680043,
"y": 16.374462198116138
}
],
"private": false,
"views_count": 30
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
}
}
Mensagens de saída
A ação Get Graph Details pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Get Graph Details". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Get Graph Details:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Get Related Domains
Use a ação Get Related Domains para obter os domínios relacionados com as entidades fornecidas do VirusTotal.
Esta ação é executada nas seguintes entidades do Google SecOps:
DomainFile HashHostnameIP AddressURL
Dados de ações
A ação Get Related Domains requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Results |
Opcional. A estrutura usada para agregar e agrupar os resultados JSON devolvidos. Os valores possíveis são os seguintes:
O valor predefinido é |
Max Domains To Return |
Opcional. O número máximo de domínios a devolver. Se selecionar Se selecionar O valor predefinido é |
Resultados da ação
A ação Get Related Domains fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Get Related Domains:
{
"domain": ["example.com"]
}
Mensagens de saída
A ação Get Related Domains pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Get Related Domains". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Get Related Domains:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Obtenha hashes relacionados
Use a ação Get Related Hashes para obter os hashes relacionados com as entidades fornecidas do VirusTotal.
Esta ação é executada nas seguintes entidades do Google SecOps:
DomainFile HashHostnameIP AddressURL
Dados de ações
A ação Get Related Hashes requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Results |
Opcional. A estrutura usada para agregar e agrupar os resultados JSON devolvidos. Os valores possíveis são os seguintes:
O valor predefinido é |
Max Hashes To Return |
Opcional. O número máximo de hashes de ficheiros a devolver. Se selecionar Se selecionar
O valor predefinido é |
Resultados da ação
A ação Get Related Hashes fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Get Related Hashes:
{
"sha256_hashes": ["http://example.com"]
}
Mensagens de saída
A ação Get Related Hashes pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Get Related Hashes". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Get Related Hashes:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Obtenha IPs relacionados
Use a ação Get Related IPs para obter os endereços IP relacionados com as entidades fornecidas do VirusTotal.
Esta ação é executada nas seguintes entidades do Google SecOps:
DomainFile HashHostnameURL
Dados de ações
A ação Get Related IPs requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Results |
Opcional. A estrutura usada para agregar e agrupar os resultados JSON devolvidos. Os valores possíveis são os seguintes:
O valor predefinido é |
Max IPs To Return |
Opcional. O número máximo de endereços IP a devolver. Se selecionar
Se selecionar
O valor predefinido é |
Resultados da ação
A ação Get Related IPs fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Get Related IPs:
{
"ips": ["203.0.113.1"]
}
Mensagens de saída
A ação Get Related IPs pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Get Related IPs". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Get Related IPs:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Obtenha URLs relacionados
Use a ação Get Related URLs para obter os URLs relacionados com as entidades fornecidas do VirusTotal.
Esta ação é executada nas seguintes entidades do Google SecOps:
DomainFile HashHostnameIP AddressURL
Dados de ações
A ação Get Related URLs requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Results |
Opcional. A estrutura usada para agregar e agrupar os resultados JSON devolvidos. Os valores possíveis são os seguintes:
O valor predefinido é |
Max URLs To Return |
Opcional. O número máximo de URLs a devolver. Se selecionar
Se selecionar
O valor predefinido é |
Resultados da ação
A ação Obter URLs relacionados fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Get Related URLs:
{
"urls": ["http://example.com"]
}
Mensagens de saída
A ação Get Related URLs pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Get Related URLs". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte indica o valor do resultado do script quando usa a ação Get Related URLs:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Tchim-tchim
Use a ação Ping para testar a conetividade com o VirusTotal.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
Nenhum.
Resultados da ação
A ação Ping fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Ping pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Failed to connect to the VirusTotal server! Error is
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Gráficos de entidades de pesquisa
Use a ação Pesquisar gráficos de entidades para pesquisar gráficos baseados nas entidades no VirusTotal.
Esta ação é executada nas seguintes entidades do Google SecOps:
DomainFile HashHostnameIP AddressThreat ActorURLUser
Dados de ações
A ação Search Entity Graphs requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Sort Field |
Opcional. O campo usado para ordenar e sequenciar os gráficos do VirusTotal devolvidos. Os valores possíveis são os seguintes:
O valor predefinido é |
Max Graphs To Return |
Opcional. O número máximo de gráficos a devolver. O valor predefinido é |
Resultados da ação
A ação Search Entity Graphs fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Search Entity Graphs:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
Mensagens de saída
A ação Search Entity Graphs pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Search Entity Graphs". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Gráficos de pesquisa
Use a ação Pesquisar gráficos para pesquisar gráficos com base em filtros personalizados no VirusTotal.
Esta ação não é executada em entidades do Google SecOps.
| Parâmetro | Descrição |
|---|---|
Query |
Obrigatório. O filtro de consultas para o gráfico. Para mais informações sobre consultas, consulte os artigos Como criar consultas e Modificadores relacionados com o gráfico. |
Sort Field |
Opcional. O campo usado para ordenar e sequenciar os gráficos do VirusTotal devolvidos. Os valores possíveis são os seguintes:
O valor predefinido é |
Max Graphs To Return |
Opcional. O número máximo de gráficos a devolver. O valor predefinido é |
Como criar consultas
Para refinar os resultados da pesquisa de gráficos, crie consultas que contenham modificadores
relacionados com gráficos. Para melhorar a pesquisa, pode combinar modificadores com os operadores AND, OR e NOT.
Os campos de data e numéricos suportam sufixos de mais (+) ou menos (-). Um sufixo de mais corresponde a valores superiores ao valor indicado. Um sufixo de menos corresponde a valores inferiores ao valor fornecido. Sem um sufixo, a consulta devolve correspondências exatas.
Para definir intervalos, pode usar o mesmo modificador várias vezes numa consulta. Por exemplo, para pesquisar gráficos criados entre 15/11/2018 e 20/11/2018, use a seguinte consulta:
creation_date:2018-11-15+ creation_date:2018-11-20-
Para datas ou meses que começam com 0, remova o caráter 0 na consulta.
Por exemplo, formate a data 2018-11-01 como 2018-11-1.
Modificadores relacionados com gráficos
A tabela seguinte apresenta os modificadores que pode usar para criar a consulta de pesquisa:
| Modificador | Descrição | Exemplo |
|---|---|---|
Id |
Filtra por identificador do gráfico. | id:g675a2fd4c8834e288af |
Name |
Filtra por nome do gráfico. | name:Example-name |
Owner |
Filtra por gráficos que são propriedade do utilizador. | owner:example_user |
Group |
Filtra por grafos pertencentes a um grupo. | group:example |
Visible_to_user |
Filtra por gráficos visíveis para o utilizador. | visible_to_user:example_user |
Visible_to_group |
Filtra por gráficos visíveis para o grupo. | visible_to_group:example |
Private |
Filtra por gráficos privados. | private:true, private:false |
Creation_date |
Filtra pela data de criação do gráfico. | creation_date:2018-11-15 |
last_modified_date |
Filtra pela data de modificação mais recente do gráfico. | last_modified_date:2018-11-20 |
Total_nodes |
Filtra por grafos que contêm um número específico de nós. | total_nodes:100 |
Comments_count |
Filtra pelo número de comentários no gráfico. | comments_count:10+ |
Views_count |
Filtra pelo número de visualizações do gráfico. | views_count:1000+ |
Label |
Filtra por gráficos que contêm nós com uma etiqueta específica. | label:Kill switch |
File |
Filtra por gráficos que contêm o ficheiro específico. | file:131f95c51cc819465fa17 |
Domain |
Filtra por gráficos que contêm o domínio específico. | domain:example.com |
Ip_address |
Filtra por gráficos que contêm o endereço IP específico. | ip_address:203.0.113.1 |
Url |
Filtra por gráficos que contêm o URL específico. | url:https://example.com/example/ |
Actor |
Filtra por gráficos que contêm o ator específico. | actor:example actor |
Victim |
Filtra por gráficos que contêm a vítima específica. | victim:example_user |
Email |
Filtra por gráficos que contêm o endereço de email específico. | email:user@example.com |
Department |
Filtra por gráficos que contêm o departamento específico. | department:engineers |
Resultados da ação
A ação Search Graphs fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Search Graphs:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
Mensagens de saída
A ação Search Graphs pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Search Graphs". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte apresenta o valor do resultado do script quando usa a ação Search Graphs:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Pesquise IOCs
Use a ação Pesquisar IOCs para pesquisar IOCs no conjunto de dados do VirusTotal.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Pesquisar IOCs requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Query |
Obrigatório. A string de consulta usada para filtrar e pesquisar IOCs no conjunto de dados. Para configurar a consulta, siga a sintaxe de consulta aplicável à interface do utilizador do VirusTotal Intelligence. O valor predefinido é |
Create Entities |
Opcional. Se estiver selecionada, a ação cria entidades para os IOCs devolvidos. Esta ação não enriquece entidades. Desativada por predefinição. |
Order By |
Obrigatório. O campo usado para determinar os critérios de ordenação principais para os resultados devolvidos. Os tipos de entidades podem ter campos de ordenação diferentes. Para mais informações sobre como pesquisar ficheiros no VirusTotal, consulte a pesquisa avançada de corpus. Os valores possíveis são os seguintes:
O valor predefinido é |
Sort Order |
Opcional. A ordem de ordenação dos resultados. Os valores possíveis são os seguintes:
Se selecionar O valor predefinido é |
Max IOCs To Return |
Opcional. O número máximo de IoCs a devolver. O valor máximo é O valor predefinido é |
Resultados da ação
A ação Search IOCs fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para capas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Pesquisar IOCs:
{
"data": [
{
"attributes": {
"type_description": "Email",
"tlsh": "T1B4D31F04BE452B3093E7238E064E6FDBAFCC135F6611F1C60881AAD6C5C77A2E57D689",
"exiftool": {
"MIMEType": "text/plain",
"FileType": "TXT",
"WordCount": "2668",
"LineCount": "1820",
"MIMEEncoding": "us-ascii",
"FileTypeExtension": "txt",
"Newlines": "Windows CRLF"
},
"type_tags": [
"internet",
"email"
],
"threat_severity": {
"threat_severity_level": "SEVERITY_HIGH",
"threat_severity_data": {
"num_gav_detections": 3,
"has_vulnerabilities": true,
"popular_threat_category": "trojan",
"type_tag": "email",
"has_embedded_ips_with_detections": true
},
"last_analysis_date": "1698050597",
"version": 2,
"level_description": "Severity HIGH because it was considered trojan. Other contributing factors were that it has known exploits, it contains embedded IPs with detections and it could not be run in sandboxes."
},
"names": [
"Re Example.eml"
],
"last_modification_date": 1698057197,
"type_tag": "email",
"times_submitted": 1,
"total_votes": {
"harmless": 0,
"malicious": 0
},
"size": 132299,
"popular_threat_classification": {
"suggested_threat_label": "obfsobjdat/malformed",
"popular_threat_name": [
{
"count": 8,
"value": "obfsobjdat"
},
{
"count": 2,
"value": "malformed"
}
]
},
"last_submission_date": 1698049979,
"last_analysis_results": {
"Bkav": {
"category": "undetected",
"engine_name": "Example1",
"engine_version": "2.0.0.1",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
"Lionic": {
"category": "undetected",
"engine_name": "Example2",
"engine_version": "7.5",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
},
"downloadable": true,
"trid": [
{
"file_type": "file seems to be plain text/ASCII",
"probability": 0
}
],
"sha256": "2d9df36964fe2e477e6e0f7a73391e4d4b2eeb0995dd488b431c4abfb4c27dbf",
"type_extension": "eml",
"tags": [
"exploit",
"cve-2018-0802",
"cve-2018-0798",
"email",
"cve-2017-11882"
],
"last_analysis_date": 1698049979,
"unique_sources": 1,
"first_submission_date": 1698049979,
"ssdeep": "768:MedEkBNnx8ueVV+fitChi9KbpK0fixbRwHbcElIK944tCVQOgzdsSuom+cWmsCGY:Meo+fitC0mKuixYxlI1OO1cSPo0gptA",
"md5": "bdfe36052e0c083869505ef4fd77e865",
"sha1": "3a350de97009efe517ceffcea406534bb1ab800c",
"magic": "SMTP mail, ASCII text, with CRLF line terminators",
"last_analysis_stats": {
"harmless": 0,
"type-unsupported": 16,
"suspicious": 0,
"confirmed-timeout": 0,
"timeout": 0,
"failure": 0,
"malicious": 28,
"undetected": 32
},
"meaningful_name": "Re Example.eml",
"reputation": 0
},
"type": "file",
"id": "ID",
"links": {
"self": "URL"
}
},
]
}
Mensagens de saída
A ação Pesquisar IOCs pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Search IOCs". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor da saída do resultado do script quando usa a ação Search IOCs:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Enviar ficheiro
Use a ação Enviar ficheiro para enviar um ficheiro e devolver resultados do VirusTotal.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Enviar ficheiro requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
File Paths |
Obrigatório. Uma lista separada por vírgulas dos caminhos absolutos dos ficheiros no servidor local ou remoto a enviar. Se configurar |
Engine Threshold |
Opcional. O número mínimo de motores que têm de denunciar um ficheiro como malicioso ou suspeito para ser considerado suspeito. Se configurar
|
Engine Percentage Threshold |
Opcional. A percentagem mínima (de Se configurar Se configurar |
Engine Whitelist |
Opcional. Uma lista de nomes de motores separados por vírgulas para a ação a considerar ao determinar se um hash é malicioso. O cálculo exclui os motores que não fornecem informações de entidades. Se não for indicado nenhum valor, a ação usa todos os motores disponíveis. |
Retrieve Comments |
Opcional. Se selecionada, a ação obtém comentários associados ao ficheiro a partir do VirusTotal. Os comentários não são obtidos quando a opção Ativada por predefinição. |
Retrieve Sigma Analysis |
Opcional. Se selecionada, a ação obtém os resultados da análise Sigma para o ficheiro. Ativada por predefinição. |
Max Comments To Return |
Opcional. O número máximo de comentários que a ação obtém durante cada execução. O valor predefinido é |
Linux Server Address |
Opcional. A localização de rede (endereço IP ou nome de anfitrião) dos ficheiros de origem no servidor Linux remoto. |
Linux Username |
Opcional. O nome de utilizador de autenticação para o servidor Linux remoto. |
Linux Password |
Opcional. A palavra-passe de autenticação para o servidor Linux remoto. |
Private Submission |
Opcional. Se selecionada, a ação envia o ficheiro de forma privada. Para enviar o ficheiro privadamente, é necessário o acesso ao VirusTotal Premium. Desativada por predefinição. |
Fetch MITRE Details |
Opcional. Se selecionada, a ação obtém técnicas e táticas do MITRE ATT&CK relacionadas com o hash. Desativada por predefinição. |
Lowest MITRE Technique Severity |
Opcional. O nível de gravidade mínimo para uma técnica MITRE ATT&CK a incluir nos resultados. A ação trata Os valores possíveis são os seguintes:
O valor predefinido é |
Retrieve AI Summary |
Opcional. Se selecionada, a ação obtém um resumo gerado pela IA para o ficheiro. Esta opção só está disponível para envios privados. Este parâmetro é experimental. Desativada por predefinição. |
Resultados da ação
A ação Enviar ficheiro fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Disponível |
| Mesa de parede para capas | Disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Link da parede da caixa
A ação Enviar ficheiro pode devolver os seguintes links:
Nome: Link do relatório: PATH
Valor: URL
Mesa de parede para capas
A ação Enviar ficheiro pode fornecer a seguinte tabela para cada ficheiro enviado:
Nome da tabela: Resultados: PATH
Colunas da tabela:
- Nome
- Categoria
- Método
- Resultado
A ação Enviar ficheiro pode fornecer a seguinte tabela para cada ficheiro enviado que tenha comentários:
Nome da tabela: Comentários: PATH
Colunas da tabela:
- Data
- Comentar
- Votos abusivos
- Votos negativos
- Votos positivos
- ID
A ação Enviar ficheiro pode fornecer a seguinte tabela para cada entidade que tenha os resultados da análise Sigma:
Nome da tabela: Análise do Sigma: ENTITY_ID
Colunas da tabela:
- ID
- Gravidade
- Fonte
- Título
- Descrição
- Contexto de correspondência
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Enviar ficheiro:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Mensagens de saída
A ação Enviar ficheiro pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Submit File". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Enviar ficheiro:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Conetores
Para mais informações sobre como configurar conetores no Google SecOps, consulte o artigo Carregue os seus dados (conetores).
VirusTotal - Livehunt Connector
Use o VirusTotal - Livehunt Connector para extrair informações sobre as notificações do VirusTotal Livehunt e os ficheiros relacionados.
Regras de conector
O conetor VirusTotal - Livehunt suporta proxies.
Entradas do conetor
O VirusTotal - Livehunt Connector requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
API Key |
Obrigatório. A chave da API VirusTotal. |
Engine Percentage Threshold To Fetch |
Obrigatório. A percentagem mínima de motores de segurança ( O valor predefinido é |
Engine Whitelist |
Opcional. Uma lista de nomes de motores separados por vírgulas para a ação a considerar ao determinar se um hash é malicioso. O cálculo exclui os motores que não fornecem informações de entidades. Se não for indicado nenhum valor, a ação usa todos os motores disponíveis. |
Environment Field Name |
Opcional. O nome do campo onde o nome do ambiente está armazenado. Se o campo de ambiente estiver em falta, o conector usa o valor predefinido. O valor predefinido é |
Environment Regex Pattern |
Opcional. Um padrão de expressão regular a executar no valor encontrado no campo Use o valor predefinido Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado do ambiente final é o ambiente predefinido. |
Event Field Name |
Obrigatório. O nome do campo que determina o nome do evento (subtipo). O valor predefinido é |
Max Hours Backwards |
Opcional. O número de horas de retrospetiva para obter alertas. Este parâmetro pode aplicar-se à iteração inicial do conector depois de ativar o conector pela primeira vez ou ao valor alternativo para uma data/hora do conector expirada. O valor predefinido é |
Max Notifications To Fetch |
Opcional. O número máximo de notificações a processar em cada execução do conector. O valor predefinido é |
Product Field Name |
Obrigatório. O nome do campo onde o nome do produto está armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor predefinido é resolvido para um valor alternativo referenciado a partir do código. Qualquer entrada inválida para este parâmetro é resolvida para um valor alternativo por predefinição. O valor predefinido é |
Proxy Password |
Opcional. A palavra-passe para a autenticação do servidor proxy. |
Proxy Server Address |
Opcional. O endereço do servidor proxy a usar. |
Proxy Username |
Opcional. O nome de utilizador para a autenticação do servidor proxy. |
PythonProcessTimeout |
Obrigatório. O limite de tempo limite, em segundos, para o processo Python que executa o script atual. O valor predefinido é |
Use dynamic list as a blacklist |
Opcional. Se estiver selecionada, o conetor usa a lista dinâmica como uma lista de bloqueios. Desativada por predefinição. |
Verify SSL |
Opcional. Se selecionada, a integração valida o certificado SSL quando se liga ao servidor do VirusTotal. Ativada por predefinição. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.