VirusTotal v3를 Google SecOps와 통합
통합 버전: 37.0
이 문서에서는 VirusTotal v3를 Google Security Operations (Google SecOps)와 통합하는 방법을 설명합니다.
사용 사례
VirusTotal v3 통합은 Google SecOps 기능을 사용하여 다음 사용 사례를 지원합니다.
파일 분석: 분석을 위해 파일 해시 또는 파일을 VirusTotal에 제출하고 여러 바이러스 백신 엔진에서 스캔 결과를 가져와 제출된 항목이 악성인지 확인합니다.
URL 분석: URL을 VirusTotal 데이터베이스에 대해 실행하여 잠재적으로 악성인 웹사이트 또는 피싱 페이지를 식별합니다.
IP 주소 분석: IP 주소를 조사하고 평판과 관련 악성 활동을 식별합니다.
도메인 분석: 도메인 이름을 분석하고 평판과 피싱 또는 멀웨어 배포와 같은 관련 악성 활동을 식별합니다.
Retrohunting: VirusTotal 이전 데이터를 검색하여 이전에 악성으로 표시된 파일, URL, IP 또는 도메인을 찾습니다.
자동 보강: 위협 인텔리전스로 침해 사고 데이터를 자동으로 보강합니다.
피싱 조사: 의심스러운 이메일과 첨부파일을 VirusTotal에 제출하여 분석합니다.
멀웨어 분석: 멀웨어 샘플을 VirusTotal에 업로드하여 동적 및 정적 분석을 실행하고 샘플의 동작과 잠재적 영향에 관한 유용한 정보를 얻습니다.
시작하기 전에
Google SecOps 플랫폼에서 통합을 구성하기 전에 다음이 있는지 확인하세요.
VirusTotal Premium API: 이 통합이 제대로 작동하려면 VirusTotal Premium API 구독이 필요합니다.
API 등급 차이에 대한 자세한 내용은 공개 API와 프리미엄 API 비교를 참고하세요.
API 키: Google SecOps에서 통합 인스턴스를 설정하기 전에 VirusTotal API 키를 구성해야 합니다.
VirusTotal API 키 구성
Google SecOps에서 VirusTotal v3 통합을 구성하기 전에 API 키를 가져와 복사해야 합니다.
VirusTotal 포털에 로그인합니다.
계정 설정으로 이동하여 사용자 이름 또는 프로필 아래에서 API 키를 클릭합니다.
생성된 API 키를 복사합니다. 이 키를 사용하여
API Key통합 매개변수를 채웁니다.
통합 매개변수
VirusTotal v3 통합에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
API Key |
필수 항목입니다. VirusTotal API 키입니다. |
Verify SSL |
(선택사항) 선택하면 VirusTotal v3 서버에 연결할 때 통합에서 SSL 인증서를 검증합니다. 기본적으로 사용 설정됩니다. |
Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.
필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스를 구성하고 지원하는 방법에 관한 자세한 내용은 여러 인스턴스 지원을 참고하세요.
작업
작업에 대한 자세한 내용은 내 Workdesk에서 대기 중인 작업에 응답하기 및 수동 작업 실행하기를 참고하세요.
항목에 댓글 추가
Add Comment To Entity 작업을 사용하여 VirusTotal의 엔티티에 댓글을 추가합니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
DomainFile HashHostnameIP AddressURL
작업 입력
Add Comment To Entity 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Comment |
필수 항목입니다. 엔티티에 추가할 댓글입니다. |
작업 출력
Add Comment To Entity 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예시는 엔티티에 댓글 추가 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"Status": "Done"
}
{
"Status": "Not done"
}
출력 메시지
Add Comment To Entity 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Add Comment To Entity". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 엔티티에 댓글 추가 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
true 또는 false |
항목에 투표 추가
Add Vote To Entity(항목에 투표 추가) 작업을 사용하여 VirusTotal의 항목에 투표를 추가합니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
DomainFile HashHostnameIP AddressURL
작업 입력
Add Vote To Entity 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Vote |
필수 항목입니다. 항목의 평판에 할당할 투표입니다. 가능한 값은 다음과 같습니다.
|
작업 출력
Add Vote To Entity 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예시에서는 엔티티에 투표 추가 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"Status": "Done"
}
{
"Status": "Not done"
}
출력 메시지
Add Vote To Entity 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Add Vote To Entity". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 엔티티에 투표 추가 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
true 또는 false |
파일 다운로드
파일 다운로드 작업을 사용하여 VirusTotal에서 파일을 다운로드합니다.
이 작업은 Google SecOps File Hash 항목에서 실행됩니다.
작업 입력
파일 다운로드 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Download Folder Path |
필수 항목입니다. 작업에서 다운로드된 파일을 저장하는 폴더의 경로입니다. |
Overwrite |
(선택사항) 선택하면 작업에서 다운로드된 새 파일과 이름이 동일한 기존 파일을 대체합니다. 기본적으로 사용 설정됩니다. |
작업 출력
파일 다운로드 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 파일 다운로드 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"absolute_file_paths": ["file_path_1","file_path_2"]
}
출력 메시지
파일 다운로드 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Download File". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
해시 보강
해시 보강 작업을 사용하여 VirusTotal의 정보로 해시를 보강합니다.
이 작업은 Google SecOps File Hash 항목에서 실행됩니다.
작업 입력
해시 보강 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Engine Threshold |
(선택사항) 엔티티가 의심스러운 것으로 간주되기 위해 악성 또는 의심스러운 것으로 표시해야 하는 엔진의 최소 수입니다.
|
Engine Percentage Threshold |
(선택사항) 엔진이 항목을 의심스러운 것으로 간주하기 위해 엔진이 항목을 악성 또는 의심스러운 것으로 표시해야 하는 최소 비율 (
|
Engine Whitelist |
(선택사항) 해시가 악성인지 판단할 때 고려할 작업의 엔진 이름을 쉼표로 구분한 목록입니다. 계산에서 항목 정보를 제공하지 않는 엔진은 제외됩니다. 값을 제공하지 않으면 작업에서 사용 가능한 모든 엔진을 사용합니다. |
Resubmit Hash |
(선택사항) 선택하면 작업에서 기존 결과를 사용하는 대신 분석을 위해 해시를 다시 제출합니다. 기본적으로 사용 중지됩니다. |
Resubmit After (Days) |
(선택사항) 해시를 다시 제출하기 전에 마지막 분석 이후 경과해야 하는 최소 일수입니다. 이 파라미터는 기본값은 |
Retrieve Comments |
(선택사항) 선택하면 이 작업이 VirusTotal에서 해시와 연결된 댓글을 가져옵니다. 기본적으로 사용 설정됩니다. |
Retrieve Sigma Analysis |
(선택사항) 선택하면 작업이 해시의 시그마 분석 결과를 가져옵니다. 기본적으로 선택되어 있습니다. |
Sandbox |
(선택사항) 동작 분석에 사용할 샌드박스 환경의 쉼표로 구분된 목록입니다. 값을 설정하지 않으면 작업에서 기본값을 사용합니다. 기본값은 |
Retrieve Sandbox Analysis |
(선택사항) 선택하면 이 작업은 해시에 대한 샌드박스 분석 결과를 가져오고 지정된 모든 샌드박스에 대해 JSON 출력에 별도의 섹션을 만듭니다. 기본적으로 선택되어 있습니다. |
Create Insight |
(선택사항) 선택하면 작업에서 해시에 대한 분석 정보가 포함된 보안 통계를 생성합니다. 기본적으로 사용 설정됩니다. |
Only Suspicious Entity Insight |
(선택사항) 선택하면 작업에서 구성된 임곗값 매개변수를 기반으로 의심스러운 것으로 식별된 해시에 대해서만 통계를 생성합니다. 이 파라미터는 기본적으로 사용 중지됩니다. |
Max Comments To Return |
(선택사항) 작업이 각 실행 중에 가져오는 최대 댓글 수입니다. 기본값은 |
Widget Theme |
(선택사항) VirusTotal 위젯에 사용할 테마입니다. 가능한 값은 다음과 같습니다.
기본값은 |
Fetch Widget |
(선택사항) 선택하면 작업이 케이스 월 출력에서 해시와 관련된 시각적 요약 위젯을 가져와 포함합니다. 기본적으로 사용 설정됩니다. |
Fetch MITRE Details |
(선택사항) 선택하면 작업에서 해시와 관련된 MITRE ATT&CK 기법 및 전략을 가져옵니다. 기본적으로 사용 중지됩니다. |
Lowest MITRE Technique Severity |
(선택사항) 결과에 포함할 MITRE ATT&CK 기법의 최소 심각도 수준입니다. 이 작업은 가능한 값은 다음과 같습니다.
기본값은 |
작업 출력
해시 보강 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용 가능 |
| 케이스 월 테이블 | 사용 가능 |
| 항목 보강 테이블 | 사용 가능 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
케이스 월 링크
해시 보강 작업을 사용하면 보강된 모든 항목에 대해 다음 링크를 제공할 수 있습니다.
이름: Report Link
값: URL
케이스 월 테이블
해시 보강 작업을 사용하면 보강된 모든 항목에 대해 다음 표를 제공할 수 있습니다.
표 이름: ENTITY_ID
표 열:
- 이름
- 카테고리
- 메서드
- 결과
해시 보강 작업을 사용하면 댓글이 있는 모든 항목에 대해 다음 표를 제공할 수 있습니다.
표 이름: 댓글: ENTITY_ID
표 열:
- 날짜
- 댓글
- 악용 투표
- 부정적인 의견 투표
- 긍정적인 의견 투표
- ID
해시 보강 작업을 통해 Sigma 분석 결과가 있는 모든 항목에 대해 다음 표를 제공할 수 있습니다.
표 이름: Sigma Analysis: ENTITY_ID
표 열:
- ID
- 심각도
- 소스
- 제목
- 설명
- 일치 컨텍스트
항목 보강 테이블
다음 표에는 해시 보강 작업을 사용하여 보강된 필드가 나와 있습니다.
| 보강 필드 이름 | 적용 범위 |
|---|---|
VT3_id |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_magic |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_md5 |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_sha1 |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_sha256 |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_ssdeep |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_tlsh |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_vhash |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_meaningful_name |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_magic |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_harmless_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_malicious_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_suspicious_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_undetected_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_reputation |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_tags |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_malicious_vote_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_harmless_vote_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_report_link |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
JSON 결과
다음 예는 해시 보강 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}]
}
출력 메시지
해시 보강 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Enrich Hash". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 해시 보강 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
true 또는 false |
IOC 보강
IOC 보강 작업을 사용하여 VirusTotal의 정보를 사용하여 침해 지표 (IoC)를 보강합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
IOC 보강 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
IOC Type |
(선택사항) 강화할 IoC의 유형입니다. 기본값은 가능한 값은 다음과 같습니다.
|
IOCs |
필수 항목입니다. 강화할 IoC의 쉼표로 구분된 목록입니다. |
Widget Theme |
(선택사항) VirusTotal 위젯에 사용할 테마입니다. 가능한 값은 다음과 같습니다.
기본값은 |
Fetch Widget |
(선택사항) 선택하면 작업이 케이스 월 출력에서 IoC와 관련된 시각적 요약 위젯을 가져와 포함합니다. 기본적으로 사용 설정됩니다. |
작업 출력
IOC 보강 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용 가능 |
| 케이스 월 테이블 | 사용 가능 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
케이스 월 링크
IOC 보강 작업을 통해 보강된 모든 항목에 다음 링크를 제공할 수 있습니다.
이름: Report Link
값: URL
케이스 월 테이블
IOC 보강 작업을 통해 보강된 모든 항목에 대해 다음 표를 제공할 수 있습니다.
표 이름: IOC_ID
표 열:
- 이름
- 카테고리
- 메서드
- 결과
JSON 결과
다음은 IOC 보강 작업을 사용할 때 수신되는 JSON 결과 출력을 보여주는 예시입니다.
{
"ioc": {
"identifier": "203.0.113.1",
"details": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"report_link": "{generated report link}",
"widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
}
}
}
출력 메시지
IOC 보강 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Enrich IOC". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 IOC 보강 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
true 또는 false |
IP 보강
IP 보강 작업을 사용하여 VirusTotal의 정보를 사용하여 IP 주소를 보강합니다.
이 작업은 Google SecOps IP Address 항목에서 실행됩니다.
작업 입력
IP 보강 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Engine Threshold |
(선택사항) 엔티티가 의심스러운 것으로 간주되기 위해 악성 또는 의심스러운 것으로 표시해야 하는 엔진의 최소 수입니다.
|
Engine Percentage Threshold |
(선택사항) 엔진이 항목을 의심스러운 것으로 간주하기 위해 엔진이 항목을 악성 또는 의심스러운 것으로 표시해야 하는 최소 비율 (
|
Engine Whitelist |
(선택사항) 해시가 악성인지 판단할 때 고려할 작업의 엔진 이름을 쉼표로 구분한 목록입니다. 계산에서 항목 정보를 제공하지 않는 엔진은 제외됩니다. 값을 제공하지 않으면 작업에서 사용 가능한 모든 엔진을 사용합니다. |
Retrieve Comments |
(선택사항) 선택하면 이 작업이 VirusTotal에서 IP 주소와 연결된 댓글을 가져옵니다. 기본적으로 사용 설정됩니다. |
Create Insight |
(선택사항) 선택하면 작업에서 IP 주소의 분석 정보가 포함된 보안 통계를 생성합니다. 기본적으로 사용 설정됩니다. |
Only Suspicious Entity Insight |
(선택사항) 선택하면 구성된 기준점 매개변수를 기반으로 의심스러운 것으로 식별된 IP 주소에 대해서만 작업이 통계를 생성합니다. 이 파라미터는 기본적으로 사용 중지됩니다. |
Max Comments To Return |
(선택사항) 작업이 각 실행 중에 가져오는 최대 댓글 수입니다. 기본값은 |
Widget Theme |
(선택사항) VirusTotal 위젯에 사용할 테마입니다. 가능한 값은 다음과 같습니다.
기본값은 |
Fetch Widget |
(선택사항) 선택하면 작업이 케이스 월 출력에서 IP 주소와 관련된 시각적 요약 위젯을 가져와 포함합니다. 기본적으로 사용 설정됩니다. |
작업 출력
IP 보강 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용 가능 |
| 케이스 월 테이블 | 사용 가능 |
| 항목 보강 테이블 | 사용 가능 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
케이스 월 링크
IP 보강 작업을 사용하면 보강된 모든 항목에 다음 링크가 제공될 수 있습니다.
이름: Report Link
값: URL
케이스 월 테이블
IP 보강 작업을 사용하면 보강된 모든 항목에 대해 다음 표를 제공할 수 있습니다.
표 이름: ENTITY_ID
표 열:
- 이름
- 카테고리
- 메서드
- 결과
IP 보강 작업을 사용하면 댓글이 있는 모든 항목에 대해 다음 표를 제공할 수 있습니다.
표 이름: 댓글: ENTITY_ID
표 열:
- 날짜
- 댓글
- 악용 투표
- 부정적인 의견 투표
- 긍정적인 의견 투표
- ID
항목 보강 테이블
다음 표에는 IP 보강 작업을 사용하여 보강된 필드가 나와 있습니다.
| 보강 필드 이름 | 적용 범위 |
|---|---|
VT3_id |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_owner |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_asn |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_continent |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_country |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_harmless_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_malicious_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_suspicious_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_undetected_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_certificate_valid_not_after |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_certificate_valid_not_before |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_reputation |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_tags |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_malicious_vote_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_harmless_vote_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_report_link |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
JSON 결과
다음 예는 IP 보강 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"data": {
"attributes": {
"as_owner": "Example",
"asn": 50673,
"continent": "EU",
"country": "NL",
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "ExampleLabs",
"method": "blacklist",
"result": "clean"
},
"example.com URL checker": {
"category": "harmless",
"engine_name": "example.com URL checker",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 81,
"malicious": 5,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_https_certificate": {
"cert_signature": {
"signature": "48ae0d5d0eb411e56bd328b93c7212c72fd21785070648e11d9ae2b80386711699978e650eafa233d234671b87c8134c1c38c59f702518ddebdc7849dc512e0158941507970ab3ab93788d27df728d727d7f9d28ed358abb145fb24803d0eeab04687ae07c7f1d3176374367efc000bd26d3cfc0659e54826ea2dfa2366d7bd9e8ed3bd2ff8a26898b37fadea198f93de8cf3ae3d703513bc0638f7b411d8eda9a3ac9a7510d7bfe553592792d10f8b2c255bc4a05c8c6bfbdb8def045dc754b39c9b89d2a5140818622760eb116abf6fd0a5798c1e274fe56a056ed21f419a6873d314c15238a398d8049b5ecc1ca003d0a07a989a710d137e4fc74b5671caa",
"signature_algorithm": "sha256RSA"
},
"extensions": {
"1.3.6.1.4.1.11129.2.4.2": "0481f200f00075007d3ef2f88fff88556824c2c0ca9e5289792bc50e78097f2e",
"CA": true,
"authority_key_identifier": {
"keyid": "KEY_ID"
},
"ca_information_access": {
"CA Issuers": "http://example.RSADomainValidationSecureServerCA.crt",
"OCSP": "http://example.com"
},
"certificate_policies": [
"1.3.6.1.4.1.6449.1.2.2.7",
"2.23.140.1.2.1"
],
"extended_key_usage": [
"serverAuth",
"clientAuth"
],
"key_usage": [
"ff"
],
"subject_alternative_name": [
"example-panel.xyz",
"www.example-panel.xyz"
],
"subject_key_identifier": "4f6429eaccd761eca91d9120b004f9d962453fef",
"tags": []
},
"issuer": {
"C": "US",
"CN": "Example RSA Domain Validation Secure Server CA",
"L": "Mountain View",
"O": "Example Ltd.",
},
"public_key": {
"algorithm": "RSA",
"rsa": {
"exponent": "010001",
"key_size": 2048,
"modulus": "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"
}
},
"serial_number": "248562d360bcc919bb97883f0dfc609d",
"signature_algorithm": "sha256RSA",
"size": 1472,
"subject": {
"CN": "example-panel.xyz"
},
"tags": [],
"thumbprint": "f9aae62cc9262302e45d94fcc512d65529ea1b31",
"thumbprint_sha256": "406ac0efb0ef67de743b1ab0f4e0352564a7d5ebbd71e3a883c067acc3563016",
"validity": {
"not_after": "2021-08-06 23:59:59",
"not_before": "2020-08-06 00:00:00"
},
"version": "V3"
},
"last_https_certificate_date": 1605415789,
"last_modification_date": 1605430702,
"network": "203.0.113.0/24",
"regional_internet_registry": "EXAMPLE",
"reputation": -95,
"tags": [],
"total_votes": {
"harmless": 0,
"malicious": 10
},
"whois": "NetRange: 203.0.113.0 - 203.0.113.255\nCIDR: 203.0.113.0/24\nNetName: EXAMPLE-5\nNetHandle: NET-203-0-113-0-1\nParent: ()\nNetType: Allocated to EXAMPLE\nOrig",
"whois_date": 1603912270
},
"id": "203.0.113.1",
"links": {
"self": "https://www.virustotal.com/api/v3/ip_addresses/203.0.113.1"
},
"type": "ip_address"
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
출력 메시지
IP 보강 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
|
작업이 완료되었습니다. |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 IP 보강 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
true 또는 false |
URL 보강
URL 보강 작업을 사용하여 VirusTotal의 정보를 사용하여 URL을 보강합니다.
이 작업은 Google SecOps URL 항목에서 실행됩니다.
작업 입력
URL 보강 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Engine Threshold |
(선택사항) 엔티티가 의심스러운 것으로 간주되기 위해 악성 또는 의심스러운 것으로 표시해야 하는 엔진의 최소 수입니다.
|
Engine Percentage Threshold |
(선택사항) 엔진이 항목을 의심스러운 것으로 간주하기 위해 엔진이 항목을 악성 또는 의심스러운 것으로 표시해야 하는 최소 비율 (
|
Engine Whitelist |
(선택사항) 해시가 악성인지 판단할 때 고려할 작업의 엔진 이름을 쉼표로 구분한 목록입니다. 계산에서 항목 정보를 제공하지 않는 엔진은 제외됩니다. 값을 제공하지 않으면 작업에서 사용 가능한 모든 엔진을 사용합니다. |
Resubmit URL |
(선택사항) 선택하면 기존 결과를 사용하는 대신 분석을 위해 URL을 다시 제출합니다. 기본적으로 사용 중지됩니다. |
Resubmit After (Days) |
(선택사항) 해시를 다시 제출하기 전에 마지막 분석 이후 경과해야 하는 최소 일수입니다. 이 파라미터는 기본값은 |
Retrieve Comments |
(선택사항) 선택하면 이 작업이 VirusTotal에서 URL과 연결된 댓글을 가져옵니다. 기본적으로 사용 설정됩니다. |
Create Insight |
(선택사항) 선택하면 작업에서 URL의 분석 정보가 포함된 보안 통계를 생성합니다. 기본적으로 사용 설정됩니다. |
Only Suspicious Entity Insight |
(선택사항) 선택하면 이 작업은 구성된 기준점 매개변수를 기반으로 의심스러운 것으로 식별된 URL에 대해서만 통계를 생성합니다. 이 파라미터는 기본적으로 사용 중지됩니다. |
Max Comments To Return |
(선택사항) 작업이 각 실행 중에 가져오는 최대 댓글 수입니다. 기본값은 |
Widget Theme |
(선택사항) VirusTotal 위젯에 사용할 테마입니다. 가능한 값은 다음과 같습니다.
기본값은 |
Fetch Widget |
(선택사항) 선택하면 작업이 케이스 월 출력에서 URL과 관련된 시각적 요약 위젯을 가져와 포함합니다. 기본적으로 사용 설정됩니다. |
작업 출력
URL 보강 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용 가능 |
| 케이스 월 테이블 | 사용 가능 |
| 항목 보강 테이블 | 사용 가능 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
케이스 월 링크
URL 보강 작업을 사용하면 보강된 모든 항목에 대해 다음 링크를 제공할 수 있습니다.
이름: Report Link
값: URL
케이스 월 테이블
URL 보강 작업을 사용하면 보강된 모든 항목에 대해 다음 표를 제공할 수 있습니다.
표 이름: ENTITY_ID
표 열:
- 이름
- 카테고리
- 메서드
- 결과
URL 보강 작업을 사용하면 댓글이 있는 모든 항목에 대해 다음 표를 제공할 수 있습니다.
표 이름: 댓글: ENTITY_ID
표 열:
- 날짜
- 댓글
- 악용 투표
- 부정적인 의견 투표
- 긍정적인 의견 투표
- ID
항목 보강 테이블
다음 표에는 URL 보강 작업을 사용하여 보강된 필드가 나와 있습니다.
| 보강 필드 이름 | 적용 범위 |
|---|---|
VT3_id |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_title |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_last_http_response_code |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_last_http_response_content_length |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_threat_names |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_harmless_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_malicious_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_suspicious_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_undetected_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_reputation |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_tags |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_malicious_vote_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_harmless_vote_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_report_link |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
JSON 결과
다음 예는 URL 보강 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"AEXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
출력 메시지
URL 보강 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Enrich URL". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 URL 보강 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
true 또는 false |
도메인 세부정보 가져오기
도메인 세부정보 가져오기 작업을 사용하여 VirusTotal의 정보를 통해 도메인에 관한 자세한 정보를 가져옵니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
DomainHostnameURL
작업 입력
도메인 세부정보 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Engine Threshold |
(선택사항) 엔티티가 의심스러운 것으로 간주되기 위해 악성 또는 의심스러운 것으로 표시해야 하는 엔진의 최소 수입니다.
|
Engine Percentage Threshold |
(선택사항) 엔진이 항목을 의심스러운 것으로 간주하기 위해 엔진이 항목을 악성 또는 의심스러운 것으로 표시해야 하는 최소 비율 (
|
Engine Whitelist |
(선택사항) 해시가 악성인지 판단할 때 고려할 작업의 엔진 이름을 쉼표로 구분한 목록입니다. 계산에서 항목 정보를 제공하지 않는 엔진은 제외됩니다. 값을 제공하지 않으면 작업에서 사용 가능한 모든 엔진을 사용합니다. |
Retrieve Comments |
(선택사항) 선택하면 이 작업이 VirusTotal에서 도메인과 연결된 댓글을 가져옵니다. 기본적으로 사용 설정됩니다. |
Create Insight |
(선택사항) 선택하면 작업에서 도메인의 분석 정보가 포함된 보안 통계를 생성합니다. 기본적으로 사용 설정됩니다. |
Only Suspicious Entity Insight |
(선택사항) 선택하면 작업에서 구성된 임계값 매개변수를 기반으로 의심스러운 것으로 식별된 항목에 대해서만 통계를 생성합니다. 이 파라미터는 기본적으로 사용 중지됩니다. |
Max Comments To Return |
(선택사항) 작업이 각 실행 중에 도메인에서 가져오는 최대 댓글 수입니다. 기본값은 |
Widget Theme |
(선택사항) VirusTotal 위젯에 사용할 테마입니다. 가능한 값은 다음과 같습니다.
기본값은 |
Fetch Widget |
(선택사항) 선택하면 작업이 도메인과 관련된 시각적 요약 위젯을 검색하여 케이스 월 출력에 포함합니다. 기본적으로 사용 설정됩니다. |
작업 출력
도메인 세부정보 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용 가능 |
| 케이스 월 테이블 | 사용 가능 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
케이스 월 링크
도메인 세부정보 가져오기 작업은 모든 풍부한 항목에 대해 다음 링크를 제공할 수 있습니다.
이름: Report Link
값: URL
케이스 월 테이블
도메인 세부정보 가져오기 작업을 통해 모든 풍부한 항목에 대해 다음 표를 제공할 수 있습니다.
표 이름: ENTITY_ID
표 열:
- 이름
- 카테고리
- 메서드
- 결과
도메인 세부정보 가져오기 작업을 사용하면 댓글이 있는 모든 항목에 대해 다음 표를 제공할 수 있습니다.
표 이름: 댓글: ENTITY_ID
표 열:
- 날짜
- 댓글
- 악용 투표
- 부정적인 의견 투표
- 긍정적인 의견 투표
- ID
JSON 결과
다음 예는 도메인 세부정보 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
출력 메시지
도메인 세부정보 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Domain Details". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 도메인 세부정보 가져오기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
true 또는 false |
그래프 세부정보 가져오기
그래프 세부정보 가져오기 작업을 사용하여 VirusTotal의 그래프에 관한 자세한 정보를 가져옵니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
그래프 세부정보 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Graph ID |
필수 항목입니다. 세부정보를 가져올 그래프 ID의 쉼표로 구분된 목록입니다. |
Max Links To Return |
(선택사항) 각 그래프에 대해 반환할 최대 링크 수입니다. 기본값은 |
작업 출력
그래프 세부정보 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용 가능 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
케이스 월 테이블
그래프 세부정보 가져오기 작업을 사용하면 모든 풍부한 엔티티에 대해 다음 표를 제공할 수 있습니다.
표 이름: 그래프 ENTITY_ID 링크
표 열:
- 소스
- 대상
- 연결 유형
JSON 결과
다음 예는 그래프 세부정보 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"data": {
"attributes": {
"comments_count": 0,
"creation_date": 1603219837,
"graph_data": {
"description": "Example LLC",
"version": "api-5.0.0"
},
"last_modified_date": 1603219837,
"links": [
{
"connection_type": "last_serving_ip_address",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "last_serving_ip_address",
"source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "network_location",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "network_location",
"source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "communicating_files",
"source": "203.0.113.3",
"target": "relationships_communicating_files_20301133"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
}
],
"nodes": [
{
"entity_attributes": {
"has_detections": false
},
"entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 0,
"text": "",
"type": "url",
"x": 51.22276722115952,
"y": 65.7811310194184
},
{
"entity_attributes": {},
"entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 1,
"text": "",
"type": "relationship",
"x": 25.415664700492094,
"y": 37.66636498768037
},
{
"entity_attributes": {
"country": "US"
},
"entity_id": "203.0.113.3",
"fx": -19.03611541222395,
"fy": 24.958500220062717,
"index": 2,
"text": "",
"type": "ip_address",
"x": -19.03611541222395,
"y": 24.958500220062717
},
{
"entity_attributes": {},
"entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 3,
"text": "",
"type": "relationship",
"x": 14.37403861978968,
"y": 56.85562691824892
},
{
"entity_attributes": {},
"entity_id": "relationships_communicating_files_20301133",
"index": 4,
"text": "",
"type": "relationship",
"x": -51.78097726144755,
"y": 10.087893225996158
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
"index": 5,
"text": "",
"type": "file",
"x": -79.11606194776019,
"y": -18.475026322309112
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
"index": 6,
"text": "",
"type": "file",
"x": -64.80938048199627,
"y": 46.75892061191275
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
"index": 7,
"text": "",
"type": "file",
"x": -43.54064004476819,
"y": -28.547923020662786
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
"index": 8,
"text": "",
"type": "file",
"x": -15.529860440278318,
"y": -2.068209789825876
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
"index": 9,
"text": "",
"type": "file",
"x": -42.55971948293377,
"y": 46.937155845680415
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "html"
},
"entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
"index": 10,
"text": "",
"type": "file",
"x": -62.447976875107706,
"y": -28.172418384729067
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
"index": 11,
"text": "",
"type": "file",
"x": -89.0326649183805,
"y": -2.2638551448322484
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
"index": 12,
"text": "",
"type": "file",
"x": -26.35260716195174,
"y": -20.25669077264115
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
"index": 13,
"text": "",
"type": "file",
"x": -82.1415994911387,
"y": 34.89636762607467
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "ENTITY_ID",
"index": 14,
"text": "",
"type": "file",
"x": -90.87738694680043,
"y": 16.374462198116138
}
],
"private": false,
"views_count": 30
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
}
}
출력 메시지
그래프 세부정보 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Graph Details". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 그래프 세부정보 가져오기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
true 또는 false |
관련 도메인 가져오기
관련 도메인 가져오기 작업을 사용하여 VirusTotal에서 제공된 엔티티와 관련된 도메인을 가져옵니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
DomainFile HashHostnameIP AddressURL
작업 입력
관련 도메인 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Results |
(선택사항) 반환된 JSON 결과를 집계하고 그룹화하는 데 사용되는 구조입니다. 가능한 값은 다음과 같습니다.
기본값은 |
Max Domains To Return |
(선택사항) 반환할 최대 도메인 수입니다.
기본값은 |
작업 출력
관련 도메인 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예시에서는 관련 도메인 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"domain": ["example.com"]
}
출력 메시지
관련 도메인 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Related Domains". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 관련 도메인 가져오기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
true 또는 false |
관련 해시 가져오기
Get Related Hashes 작업을 사용하여 VirusTotal에서 제공된 항목과 관련된 해시를 가져옵니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
DomainFile HashHostnameIP AddressURL
작업 입력
관련 해시 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Results |
(선택사항) 반환된 JSON 결과를 집계하고 그룹화하는 데 사용되는 구조입니다. 가능한 값은 다음과 같습니다.
기본값은 |
Max Hashes To Return |
(선택사항) 반환할 최대 파일 해시 수입니다.
기본값은 |
작업 출력
관련 해시 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 관련 해시 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"sha256_hashes": ["http://example.com"]
}
출력 메시지
관련 해시 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Related Hashes". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 관련 해시 가져오기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
true 또는 false |
관련 IP 가져오기
관련 IP 가져오기 작업을 사용하여 VirusTotal에서 제공된 엔티티와 관련된 IP 주소를 가져옵니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
DomainFile HashHostnameURL
작업 입력
관련 IP 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Results |
(선택사항) 반환된 JSON 결과를 집계하고 그룹화하는 데 사용되는 구조입니다. 가능한 값은 다음과 같습니다.
기본값은 |
Max IPs To Return |
(선택사항) 반환할 최대 IP 주소 수입니다.
기본값은 |
작업 출력
관련 IP 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 관련 IP 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"ips": ["203.0.113.1"]
}
출력 메시지
관련 IP 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Related IPs". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 관련 IP 가져오기 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
true 또는 false |
관련 URL 가져오기
관련 URL 가져오기 작업을 사용하여 VirusTotal에서 제공된 항목과 관련된 URL을 가져옵니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
DomainFile HashHostnameIP AddressURL
작업 입력
관련 URL 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Results |
(선택사항) 반환된 JSON 결과를 집계하고 그룹화하는 데 사용되는 구조입니다. 가능한 값은 다음과 같습니다.
기본값은 |
Max URLs To Return |
(선택사항) 반환할 최대 URL 수입니다.
기본값은 |
작업 출력
관련 URL 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 관련 URL 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"urls": ["http://example.com"]
}
출력 메시지
관련 URL 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Related URLs". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 관련 URL 가져오기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
true 또는 false |
핑
Ping 작업을 사용하여 VirusTotal과의 연결을 테스트합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
없음
작업 출력
Ping 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
출력 메시지
Ping 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Failed to connect to the VirusTotal server! Error is
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 Ping 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
true 또는 false |
항목 그래프 검색
Search Entity Graphs 작업을 사용하여 VirusTotal의 항목을 기반으로 하는 그래프를 검색합니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
DomainFile HashHostnameIP AddressThreat ActorURLUser
작업 입력
엔티티 그래프 검색 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Sort Field |
(선택사항) 반환된 VirusTotal 그래프를 정렬하고 순서를 지정하는 데 사용되는 필드입니다. 가능한 값은 다음과 같습니다.
기본값은 |
Max Graphs To Return |
(선택사항) 반환할 최대 그래프 수입니다. 기본값은 |
작업 출력
엔티티 그래프 검색 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 엔티티 그래프 검색 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
출력 메시지
엔티티 그래프 검색 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Search Entity Graphs". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
그래프 검색
그래프 검색 작업을 사용하여 VirusTotal의 맞춤 필터를 기반으로 그래프를 검색합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
| 매개변수 | 설명 |
|---|---|
Query |
필수 항목입니다. 그래프의 쿼리 필터입니다. 쿼리에 대한 자세한 내용은 쿼리 만드는 방법 및 그래프 관련 수정자를 참고하세요. |
Sort Field |
(선택사항) 반환된 VirusTotal 그래프를 정렬하고 순서를 지정하는 데 사용되는 필드입니다. 가능한 값은 다음과 같습니다.
기본값은 |
Max Graphs To Return |
(선택사항) 반환할 최대 그래프 수입니다. 기본값은 |
쿼리를 만드는 방법
그래프의 검색 결과를 구체화하려면 그래프 관련 수정자가 포함된 쿼리를 만드세요. 검색을 개선하려면 수정자를 AND, OR, NOT 연산자와 결합하면 됩니다.
날짜 및 숫자 필드는 더하기 (+) 또는 빼기 (-) 접미사를 지원합니다. 더하기 기호 접미사는 제공된 값보다 큰 값과 일치합니다. 빼기 접미사는 제공된 값보다 작은 값과 일치합니다. 접미사가 없으면 쿼리는 정확한 일치 항목을 반환합니다.
범위를 정의하려면 쿼리에서 동일한 수정자를 여러 번 사용하면 됩니다. 예를 들어 2018년 11월 15일과 2018년 11월 20일 사이에 생성된 그래프를 검색하려면 다음 쿼리를 사용합니다.
creation_date:2018-11-15+ creation_date:2018-11-20-
0로 시작하는 날짜 또는 월의 경우 쿼리에서 0 문자를 삭제합니다.
예를 들어 2018년 11월 1일의 날짜를 2018-11-1로 지정합니다.
그래프 관련 수정자
다음 표에는 검색어를 구성하는 데 사용할 수 있는 수정자가 나와 있습니다.
| 한정자 | 설명 | 예 |
|---|---|---|
Id |
그래프 식별자로 필터링합니다. | id:g675a2fd4c8834e288af |
Name |
그래프 이름으로 필터링합니다. | name:Example-name |
Owner |
사용자가 소유한 그래프를 기준으로 필터링합니다. | owner:example_user |
Group |
그룹이 소유한 그래프를 기준으로 필터링합니다. | group:example |
Visible_to_user |
사용자에게 표시되는 그래프로 필터링합니다. | visible_to_user:example_user |
Visible_to_group |
그룹에 표시되는 그래프를 기준으로 필터링합니다. | visible_to_group:example |
Private |
비공개 그래프로 필터링합니다. | private:true, private:false |
Creation_date |
그래프 생성 날짜를 기준으로 필터링합니다. | creation_date:2018-11-15 |
last_modified_date |
최신 그래프 수정 날짜를 기준으로 필터링합니다. | last_modified_date:2018-11-20 |
Total_nodes |
특정 수의 노드가 포함된 그래프로 필터링합니다. | total_nodes:100 |
Comments_count |
그래프의 댓글 수를 기준으로 필터링합니다. | comments_count:10+ |
Views_count |
그래프 조회수로 필터링합니다. | views_count:1000+ |
Label |
특정 라벨이 있는 노드가 포함된 그래프로 필터링합니다. | label:Kill switch |
File |
특정 파일을 포함하는 그래프로 필터링합니다. | file:131f95c51cc819465fa17 |
Domain |
특정 도메인이 포함된 그래프를 기준으로 필터링합니다. | domain:example.com |
Ip_address |
특정 IP 주소를 포함하는 그래프로 필터링합니다. | ip_address:203.0.113.1 |
Url |
특정 URL을 포함하는 그래프로 필터링합니다. | url:https://example.com/example/ |
Actor |
특정 배우가 포함된 그래프로 필터링합니다. | actor:example actor |
Victim |
특정 피해자가 포함된 그래프로 필터링합니다. | victim:example_user |
Email |
특정 이메일 주소가 포함된 그래프로 필터링합니다. | email:user@example.com |
Department |
특정 부서가 포함된 그래프로 필터링합니다. | department:engineers |
작업 출력
그래프 검색 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 그래프 검색 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
출력 메시지
그래프 검색 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Search Graphs". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 그래프 검색 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
true 또는 false |
IOC 검색
IOC 검색 작업을 사용하여 VirusTotal 데이터 세트에서 IOC를 검색합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
IOC 검색 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Query |
필수 항목입니다. 데이터 세트에서 IOC를 필터링하고 검색하는 데 사용되는 쿼리 문자열입니다. 쿼리를 구성하려면 VirusTotal Intelligence 사용자 인터페이스에 적용되는 쿼리 구문을 따르세요. 기본값은 |
Create Entities |
(선택사항) 선택하면 작업에서 반환된 IOC의 항목을 만듭니다. 이 작업은 항목을 보강하지 않습니다. 기본적으로 사용 중지됩니다. |
Order By |
필수 항목입니다. 반환된 결과의 기본 정렬 기준을 결정하는 데 사용되는 필드입니다. 엔티티 유형에는 다양한 순서 필드가 있을 수 있습니다. VirusTotal에서 파일을 검색하는 방법에 대한 자세한 내용은 고급 코퍼스 검색을 참고하세요. 가능한 값은 다음과 같습니다.
기본값은 |
Sort Order |
(선택사항) 결과의 정렬 순서입니다. 가능한 값은 다음과 같습니다.
기본값은 |
Max IOCs To Return |
(선택사항) 반환할 최대 IoC 수입니다. 최댓값은 기본값은 |
작업 출력
IOC 검색 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 IOC 검색 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"data": [
{
"attributes": {
"type_description": "Email",
"tlsh": "T1B4D31F04BE452B3093E7238E064E6FDBAFCC135F6611F1C60881AAD6C5C77A2E57D689",
"exiftool": {
"MIMEType": "text/plain",
"FileType": "TXT",
"WordCount": "2668",
"LineCount": "1820",
"MIMEEncoding": "us-ascii",
"FileTypeExtension": "txt",
"Newlines": "Windows CRLF"
},
"type_tags": [
"internet",
"email"
],
"threat_severity": {
"threat_severity_level": "SEVERITY_HIGH",
"threat_severity_data": {
"num_gav_detections": 3,
"has_vulnerabilities": true,
"popular_threat_category": "trojan",
"type_tag": "email",
"has_embedded_ips_with_detections": true
},
"last_analysis_date": "1698050597",
"version": 2,
"level_description": "Severity HIGH because it was considered trojan. Other contributing factors were that it has known exploits, it contains embedded IPs with detections and it could not be run in sandboxes."
},
"names": [
"Re Example.eml"
],
"last_modification_date": 1698057197,
"type_tag": "email",
"times_submitted": 1,
"total_votes": {
"harmless": 0,
"malicious": 0
},
"size": 132299,
"popular_threat_classification": {
"suggested_threat_label": "obfsobjdat/malformed",
"popular_threat_name": [
{
"count": 8,
"value": "obfsobjdat"
},
{
"count": 2,
"value": "malformed"
}
]
},
"last_submission_date": 1698049979,
"last_analysis_results": {
"Bkav": {
"category": "undetected",
"engine_name": "Example1",
"engine_version": "2.0.0.1",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
"Lionic": {
"category": "undetected",
"engine_name": "Example2",
"engine_version": "7.5",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
},
"downloadable": true,
"trid": [
{
"file_type": "file seems to be plain text/ASCII",
"probability": 0
}
],
"sha256": "2d9df36964fe2e477e6e0f7a73391e4d4b2eeb0995dd488b431c4abfb4c27dbf",
"type_extension": "eml",
"tags": [
"exploit",
"cve-2018-0802",
"cve-2018-0798",
"email",
"cve-2017-11882"
],
"last_analysis_date": 1698049979,
"unique_sources": 1,
"first_submission_date": 1698049979,
"ssdeep": "768:MedEkBNnx8ueVV+fitChi9KbpK0fixbRwHbcElIK944tCVQOgzdsSuom+cWmsCGY:Meo+fitC0mKuixYxlI1OO1cSPo0gptA",
"md5": "bdfe36052e0c083869505ef4fd77e865",
"sha1": "3a350de97009efe517ceffcea406534bb1ab800c",
"magic": "SMTP mail, ASCII text, with CRLF line terminators",
"last_analysis_stats": {
"harmless": 0,
"type-unsupported": 16,
"suspicious": 0,
"confirmed-timeout": 0,
"timeout": 0,
"failure": 0,
"malicious": 28,
"undetected": 32
},
"meaningful_name": "Re Example.eml",
"reputation": 0
},
"type": "file",
"id": "ID",
"links": {
"self": "URL"
}
},
]
}
출력 메시지
IOC 검색 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Search IOCs". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 IOC 검색 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
true 또는 false |
파일 제출
파일 제출 작업을 사용하여 파일을 제출하고 VirusTotal의 결과를 반환합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
파일 제출 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
File Paths |
필수 항목입니다. 제출할 로컬 또는 원격 서버의 절대 파일 경로를 쉼표로 구분한 목록입니다.
|
Engine Threshold |
(선택사항) 파일이 의심스러운 것으로 간주되려면 의심스럽거나 악성으로 표시해야 하는 엔진의 최소 수입니다.
|
Engine Percentage Threshold |
(선택사항) 파일이 의심스러운 것으로 간주되려면 악성 또는 의심스러운 것으로 표시해야 하는 엔진의 최소 비율 (
|
Engine Whitelist |
(선택사항) 해시가 악성인지 판단할 때 고려할 작업의 엔진 이름을 쉼표로 구분한 목록입니다. 계산에서 항목 정보를 제공하지 않는 엔진은 제외됩니다. 값을 제공하지 않으면 작업에서 사용 가능한 모든 엔진을 사용합니다. |
Retrieve Comments |
(선택사항) 선택하면 이 작업이 VirusTotal에서 파일과 연결된 댓글을 가져옵니다.
기본적으로 사용 설정됩니다. |
Retrieve Sigma Analysis |
(선택사항) 선택하면 작업이 파일의 Sigma 분석 결과를 가져옵니다. 기본적으로 사용 설정됩니다. |
Max Comments To Return |
(선택사항) 작업이 각 실행 중에 가져오는 최대 댓글 수입니다. 기본값은 |
Linux Server Address |
(선택사항) 원격 Linux 서버에 있는 소스 파일의 네트워크 위치 (IP 주소 또는 호스트 이름)입니다. |
Linux Username |
(선택사항) 원격 Linux 서버의 인증 사용자 이름입니다. |
Linux Password |
(선택사항) 원격 Linux 서버의 인증 비밀번호입니다. |
Private Submission |
(선택사항) 선택하면 작업에서 파일을 비공개로 제출합니다. 파일을 비공개로 제출하려면 VirusTotal Premium 액세스가 필요합니다. 기본적으로 사용 중지됩니다. |
Fetch MITRE Details |
(선택사항) 선택하면 작업이 해시와 관련된 MITRE ATT&CK 기법과 전략을 가져옵니다. 기본적으로 사용 중지됩니다. |
Lowest MITRE Technique Severity |
(선택사항) 결과에 포함할 MITRE ATT&CK 기법의 최소 심각도 수준입니다. 이 작업은 가능한 값은 다음과 같습니다.
기본값은 |
Retrieve AI Summary |
(선택사항) 선택하면 작업에서 파일의 AI 생성 요약을 가져옵니다. 이 옵션은 비공개 제출에만 사용할 수 있습니다. 이 매개변수는 실험 단계에 있습니다. 기본적으로 사용 중지됩니다. |
작업 출력
파일 제출 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용 가능 |
| 케이스 월 테이블 | 사용 가능 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
케이스 월 링크
파일 제출 작업은 다음 링크를 반환할 수 있습니다.
이름: 보고서 링크: PATH
값: URL
케이스 월 테이블
파일 제출 작업을 통해 제출된 모든 파일에 대해 다음 표를 제공할 수 있습니다.
표 이름: 결과: PATH
표 열:
- 이름
- 카테고리
- 메서드
- 결과
파일 제출 작업을 통해 의견이 있는 제출된 모든 파일에 대해 다음 표를 제공할 수 있습니다.
표 이름: 댓글: PATH
표 열:
- 날짜
- 댓글
- 악용 투표
- 부정적인 의견 투표
- 긍정적인 의견 투표
- ID
파일 제출 작업은 Sigma 분석 결과가 있는 모든 항목에 대해 다음 표를 제공할 수 있습니다.
표 이름: Sigma Analysis: ENTITY_ID
표 열:
- ID
- 심각도
- 소스
- 제목
- 설명
- 일치 컨텍스트
JSON 결과
다음 예시는 파일 제출 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
출력 메시지
파일 제출 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Submit File". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 파일 제출 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
true 또는 false |
커넥터
Google SecOps에서 커넥터를 구성하는 방법에 관한 자세한 내용은 데이터 수집 (커넥터)을 참고하세요.
VirusTotal - Livehunt 커넥터
VirusTotal - Livehunt 커넥터를 사용하여 VirusTotal Livehunt 알림 및 관련 파일에 관한 정보를 가져옵니다.
커넥터 규칙
VirusTotal - Livehunt 커넥터는 프록시를 지원합니다.
커넥터 입력
VirusTotal - Livehunt Connector에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
API Key |
필수 항목입니다. VirusTotal API 키입니다. |
Engine Percentage Threshold To Fetch |
필수 항목입니다. 커넥터가 파일을 수집하기 위해 악성 또는 의심스러운 파일로 표시해야 하는 보안 엔진 ( 기본값은 |
Engine Whitelist |
(선택사항) 해시가 악성인지 판단할 때 고려할 작업의 엔진 이름을 쉼표로 구분한 목록입니다. 계산에서 항목 정보를 제공하지 않는 엔진은 제외됩니다. 값을 제공하지 않으면 작업에서 사용 가능한 모든 엔진을 사용합니다. |
Environment Field Name |
(선택사항) 환경 이름이 저장된 필드의 이름입니다. 환경 필드가 누락된 경우 커넥터는 기본값을 사용합니다. 기본값은 |
Environment Regex Pattern |
(선택사항)
기본값 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
Event Field Name |
필수 항목입니다. 이벤트 이름 (하위 유형)을 결정하는 필드의 이름입니다. 기본값은 |
Max Hours Backwards |
(선택사항) 알림을 가져올 이전 시간입니다. 이 매개변수는 커넥터를 처음 사용 설정한 후의 초기 커넥터 반복 또는 만료된 커넥터 타임스탬프의 대체 값에 적용될 수 있습니다. 기본값은 |
Max Notifications To Fetch |
(선택사항) 각 커넥터 실행에서 처리할 최대 알림 수입니다. 기본값은 |
Product Field Name |
필수 항목입니다. 제품 이름이 저장된 필드의 이름입니다. 제품 이름은 주로 매핑에 영향을 미칩니다. 커넥터의 매핑 프로세스를 간소화하고 개선하기 위해 기본값은 코드에서 참조되는 대체 값으로 확인됩니다. 이 매개변수의 잘못된 입력은 기본적으로 대체 값으로 처리됩니다. 기본값은 |
Proxy Password |
(선택사항) 프록시 서버 인증 비밀번호입니다. |
Proxy Server Address |
(선택사항) 사용할 프록시 서버의 주소입니다. |
Proxy Username |
(선택사항) 프록시 서버 인증을 위한 사용자 이름입니다. |
PythonProcessTimeout |
필수 항목입니다. 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다. 기본값은 |
Use dynamic list as a blacklist |
(선택사항) 선택하면 커넥터가 동적 목록을 차단 목록으로 사용합니다. 기본적으로 사용 중지됩니다. |
Verify SSL |
(선택사항) 선택하면 VirusTotal 서버에 연결할 때 통합에서 SSL 인증서를 검증합니다. 기본적으로 사용 설정됩니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.