Mengintegrasikan VirusTotal v3 dengan Google SecOps
Versi integrasi: 37.0
Dokumen ini menjelaskan cara mengintegrasikan VirusTotal v3 dengan Google Security Operations (Google SecOps).
Kasus penggunaan
Integrasi VirusTotal v3 menggunakan kemampuan Google SecOps untuk mendukung kasus penggunaan berikut:
Analisis file: Kirim hash file atau file ke VirusTotal untuk dianalisis dan ambil hasil pemindaian dari beberapa mesin antivirus untuk menentukan apakah item yang dikirim berbahaya.
Analisis URL: Jalankan URL terhadap database VirusTotal untuk mengidentifikasi situs yang berpotensi berbahaya atau halaman phishing.
Analisis alamat IP: Selidiki alamat IP dan identifikasi reputasinya serta aktivitas berbahaya terkait.
Analisis domain: Menganalisis nama domain dan mengidentifikasi reputasinya serta aktivitas berbahaya terkait, seperti phishing atau distribusi malware.
Retrohunting: Memindai data historis VirusTotal untuk menelusuri file, URL, IP, atau domain yang sebelumnya ditandai sebagai berbahaya.
Pengayaan otomatis: Otomatis memperkaya data insiden dengan kecerdasan ancaman.
Investigasi phishing: Analisis email dan lampiran yang mencurigakan dengan mengirimkannya ke VirusTotal untuk dianalisis.
Analisis malware: Upload sampel malware ke VirusTotal untuk analisis dinamis dan statis serta dapatkan insight tentang perilaku dan potensi dampak sampel.
Sebelum memulai
Sebelum mengonfigurasi integrasi di platform Google SecOps, pastikan Anda memiliki hal berikut:
VirusTotal Premium API: Agar berfungsi dengan baik, integrasi ini memerlukan langganan VirusTotal Premium API.
Untuk mengetahui informasi selengkapnya tentang perbedaan tingkat API, lihat API Publik vs. Premium.
Kunci API: Anda harus mengonfigurasi Kunci API VirusTotal sebelum menyiapkan instance integrasi di Google SecOps.
Mengonfigurasi kunci API VirusTotal
Sebelum mengonfigurasi integrasi VirusTotal v3 di Google SecOps, Anda harus mendapatkan, dan menyalin, kunci API Anda:
Login ke portal VirusTotal.
Buka Setelan Akun Anda dan di bagian nama pengguna atau profil Anda, klik Kunci API.
Salin kunci API yang dibuat. Gunakan kunci ini untuk mengisi
API Keyparameter integrasi.
Parameter integrasi
Integrasi VirusTotal v3 memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
API Key |
Wajib. Kunci API VirusTotal. |
Verify SSL |
Opsional. Jika dipilih, integrasi akan memvalidasi sertifikat SSL saat terhubung ke server VirusTotal v3. Diaktifkan secara default. |
Untuk mengetahui petunjuk tentang cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Anda dapat melakukan perubahan di tahap selanjutnya, jika diperlukan. Setelah mengonfigurasi instance integrasi, Anda dapat menggunakannya dalam playbook. Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi dan mendukung beberapa instance, lihat Mendukung beberapa instance.
Tindakan
Untuk mengetahui informasi selengkapnya tentang tindakan, lihat Merespons tindakan tertunda dari Ruang Kerja Anda dan Melakukan tindakan manual.
Tambahkan Komentar Ke Entity
Gunakan tindakan Tambahkan Komentar ke Entitas untuk menambahkan komentar ke entitas di VirusTotal.
Tindakan ini berjalan di entity Google SecOps berikut:
DomainFile HashHostnameIP AddressURL
Input tindakan
Tindakan Add Comment To Entity memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Comment |
Wajib. Komentar yang akan ditambahkan ke entitas. |
Output tindakan
Tindakan Add Comment To Entity memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Add Comment To Entity:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Pesan output
Tindakan Add Comment To Entity dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Add Comment To Entity". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Tambahkan Komentar ke Entitas:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
true atau false |
Menambahkan Suara ke Entity
Gunakan tindakan Tambahkan Suara ke Entitas untuk menambahkan suara ke entitas di VirusTotal.
Tindakan ini berjalan di entity Google SecOps berikut:
DomainFile HashHostnameIP AddressURL
Input tindakan
Tindakan Add Vote To Entity memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Vote |
Wajib. Suara yang akan ditetapkan ke reputasi entity. Kemungkinan nilainya adalah sebagai berikut:
|
Output tindakan
Tindakan Add Vote To Entity memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Tambahkan Suara ke Entitas:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Pesan output
Tindakan Add Vote To Entity dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Add Vote To Entity". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Tambahkan Suara ke Entitas:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
true atau false |
Download File
Gunakan tindakan Download File untuk mendownload file dari VirusTotal.
Tindakan ini dijalankan pada entity File Hash Google SecOps.
Input tindakan
Tindakan Download File memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Download Folder Path |
Wajib. Jalur ke folder tempat tindakan menyimpan file yang didownload. |
Overwrite |
Opsional. Jika dipilih, tindakan ini akan menggantikan file yang ada dengan nama yang sama dengan file baru yang didownload. Diaktifkan secara default. |
Output tindakan
Tindakan Download File memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Download File:
{
"absolute_file_paths": ["file_path_1","file_path_2"]
}
Pesan output
Tindakan Download File dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Download File". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hash yang Diperkaya
Gunakan tindakan Perkaya Hash untuk memperkaya hash dengan informasi dari VirusTotal.
Tindakan ini dijalankan pada entity File Hash Google SecOps.
Input tindakan
Tindakan Enrich Hash memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Engine Threshold |
Opsional. Jumlah minimum mesin yang harus menandai suatu entitas sebagai berbahaya atau mencurigakan agar entitas tersebut dianggap mencurigakan. Jika Anda mengonfigurasi |
Engine Percentage Threshold |
Opsional. Persentase minimum (dari Jika Anda mengonfigurasi Jika Anda mengonfigurasi |
Engine Whitelist |
Opsional. Daftar nama mesin yang dipisahkan koma untuk tindakan yang akan dipertimbangkan saat menentukan apakah hash berbahaya. Penghitungan ini tidak menyertakan mesin telusur yang tidak memberikan informasi entitas. Jika tidak ada nilai yang diberikan, tindakan akan menggunakan semua mesin yang tersedia. |
Resubmit Hash |
Opsional. Jika dipilih, tindakan akan mengirimkan ulang hash untuk dianalisis, bukan menggunakan hasil yang ada. Dinonaktifkan secara default. |
Resubmit After (Days) |
Opsional. Jumlah minimum hari yang harus berlalu sejak analisis terakhir sebelum hash dikirim ulang. Parameter ini hanya berlaku jika Anda memilih parameter Nilai defaultnya adalah |
Retrieve Comments |
Opsional. Jika dipilih, tindakan ini akan mengambil komentar yang terkait dengan hash dari VirusTotal. Diaktifkan secara default. |
Retrieve Sigma Analysis |
Opsional. Jika dipilih, tindakan akan mengambil hasil analisis Sigma untuk hash tersebut. Dipilih secara default. |
Sandbox |
Opsional. Daftar lingkungan sandbox yang dipisahkan koma untuk digunakan dalam analisis perilaku. Jika Anda tidak menetapkan nilai, tindakan akan menggunakan nilai default. Nilai defaultnya adalah |
Retrieve Sandbox Analysis |
Opsional. Jika dipilih, tindakan ini akan mengambil hasil analisis sandbox untuk hash dan membuat bagian terpisah dalam output JSON untuk setiap sandbox yang ditentukan. Dipilih secara default. |
Create Insight |
Opsional. Jika dipilih, tindakan akan menghasilkan insight keamanan yang berisi informasi analisis untuk hash. Diaktifkan secara default. |
Only Suspicious Entity Insight |
Opsional. Jika dipilih, tindakan ini hanya menghasilkan insight untuk hash yang diidentifikasi sebagai mencurigakan berdasarkan parameter nilai minimum yang dikonfigurasi. Parameter ini hanya berlaku jika Dinonaktifkan secara default. |
Max Comments To Return |
Opsional. Jumlah maksimum komentar yang diambil tindakan selama setiap proses. Nilai defaultnya adalah |
Widget Theme |
Opsional. Tema yang akan digunakan untuk widget VirusTotal. Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Fetch Widget |
Opsional. Jika dipilih, tindakan akan mengambil dan menyertakan widget ringkasan visual yang terkait dengan hash dalam output Repositori Kasus. Diaktifkan secara default. |
Fetch MITRE Details |
Opsional. Jika dipilih, tindakan akan mengambil taktik dan teknik MITRE ATT&CK yang terkait dengan hash. Dinonaktifkan secara default. |
Lowest MITRE Technique Severity |
Opsional. Tingkat keparahan minimum untuk teknik MITRE ATT&CK yang akan disertakan dalam
hasil. Tindakan ini memperlakukan tingkat keparahan Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Output tindakan
Tindakan Enrich Hash memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tersedia |
| Tabel repositori kasus | Tersedia |
| Tabel pengayaan entitas | Tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Link repositori kasus
Tindakan Enrich Hash dapat memberikan link berikut untuk setiap entitas yang di-enrich:
Nama: Report Link
Nilai: URL
Tabel repositori kasus
Tindakan Enrich Hash dapat memberikan tabel berikut untuk setiap entitas yang di-enrich:
Nama tabel: ENTITY_ID
Kolom tabel:
- Nama
- Kategori
- Metode
- Hasil
Tindakan Enrich Hash dapat memberikan tabel berikut untuk setiap entitas yang memiliki komentar:
Nama tabel: Komentar: ENTITY_ID
Kolom tabel:
- Date
- Komentar
- Suara Penyalahgunaan
- Suara Negatif
- Suara Positif
- ID
Tindakan Perkaya Hash dapat memberikan tabel berikut untuk setiap entitas yang memiliki hasil analisis Sigma:
Nama tabel: Sigma Analysis: ENTITY_ID
Kolom tabel:
- ID
- Keparahan
- Source
- Judul
- Deskripsi
- Mencocokkan Konteks
Tabel pengayaan entitas
Tabel berikut mencantumkan kolom yang diperkaya menggunakan tindakan Enrich Hash:
| Nama kolom pengayaan | Penerapan |
|---|---|
VT3_id |
Berlaku jika tersedia di hasil JSON. |
VT3_magic |
Berlaku jika tersedia di hasil JSON. |
VT3_md5 |
Berlaku jika tersedia di hasil JSON. |
VT3_sha1 |
Berlaku jika tersedia di hasil JSON. |
VT3_sha256 |
Berlaku jika tersedia di hasil JSON. |
VT3_ssdeep |
Berlaku jika tersedia di hasil JSON. |
VT3_tlsh |
Berlaku jika tersedia di hasil JSON. |
VT3_vhash |
Berlaku jika tersedia di hasil JSON. |
VT3_meaningful_name |
Berlaku jika tersedia di hasil JSON. |
VT3_magic |
Berlaku jika tersedia di hasil JSON. |
VT3_harmless_count |
Berlaku jika tersedia di hasil JSON. |
VT3_malicious_count |
Berlaku jika tersedia di hasil JSON. |
VT3_suspicious_count |
Berlaku jika tersedia di hasil JSON. |
VT3_undetected_count |
Berlaku jika tersedia di hasil JSON. |
VT3_reputation |
Berlaku jika tersedia di hasil JSON. |
VT3_tags |
Berlaku jika tersedia di hasil JSON. |
VT3_malicious_vote_count |
Berlaku jika tersedia di hasil JSON. |
VT3_harmless_vote_count |
Berlaku jika tersedia di hasil JSON. |
VT3_report_link |
Berlaku jika tersedia di hasil JSON. |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Enrich Hash:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}]
}
Pesan output
Tindakan Enrich Hash dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Enrich Hash". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Enrich Hash:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
true atau false |
Memperkaya IOC
Gunakan tindakan Perkaya IOC untuk memperkaya indikator kompromi (IoC) menggunakan informasi dari VirusTotal.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Enrich IOC memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
IOC Type |
Opsional. Jenis IoC yang akan diperkaya. Nilai defaultnya adalah
Kemungkinan nilainya adalah sebagai berikut:
|
IOCs |
Wajib. Daftar IoC yang dipisahkan koma untuk diperkaya. |
Widget Theme |
Opsional. Tema yang akan digunakan untuk widget VirusTotal. Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Fetch Widget |
Opsional. Jika dipilih, tindakan akan mengambil dan menyertakan widget ringkasan visual yang terkait dengan IoC dalam output Repositori Kasus. Diaktifkan secara default. |
Output tindakan
Tindakan Enrich IOC memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tersedia |
| Tabel repositori kasus | Tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Link repositori kasus
Tindakan Perkaya IOC dapat memberikan link berikut untuk setiap entitas yang diperkaya:
Nama: Report Link
Nilai: URL
Tabel repositori kasus
Tindakan Enrich IOC dapat memberikan tabel berikut untuk setiap entitas yang diperkaya:
Nama tabel: IOC_ID
Kolom tabel:
- Nama
- Kategori
- Metode
- Hasil
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Enrich IOC:
{
"ioc": {
"identifier": "203.0.113.1",
"details": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"report_link": "{generated report link}",
"widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
}
}
}
Pesan output
Tindakan Enrich IOC dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Enrich IOC". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Enrich IOC:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
true atau false |
Memperkaya IP
Gunakan tindakan Perkaya IP untuk memperkaya alamat IP menggunakan informasi dari VirusTotal.
Tindakan ini dijalankan pada entity IP Address Google SecOps.
Input tindakan
Tindakan Perkaya IP memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Engine Threshold |
Opsional. Jumlah minimum mesin yang harus menandai suatu entitas sebagai berbahaya atau mencurigakan agar entitas tersebut dianggap mencurigakan. Jika Anda mengonfigurasi |
Engine Percentage Threshold |
Opsional. Persentase minimum (dari Jika Anda mengonfigurasi Jika Anda mengonfigurasi |
Engine Whitelist |
Opsional. Daftar nama mesin yang dipisahkan koma untuk tindakan yang akan dipertimbangkan saat menentukan apakah hash berbahaya. Penghitungan ini tidak menyertakan mesin telusur yang tidak memberikan informasi entitas. Jika tidak ada nilai yang diberikan, tindakan akan menggunakan semua mesin yang tersedia. |
Retrieve Comments |
Opsional. Jika dipilih, tindakan ini akan mengambil komentar yang terkait dengan alamat IP dari VirusTotal. Diaktifkan secara default. |
Create Insight |
Opsional. Jika dipilih, tindakan ini akan menghasilkan insight keamanan yang berisi informasi analisis untuk alamat IP. Diaktifkan secara default. |
Only Suspicious Entity Insight |
Opsional. Jika dipilih, tindakan ini hanya menghasilkan insight untuk alamat IP yang diidentifikasi sebagai mencurigakan berdasarkan parameter nilai minimum yang dikonfigurasi. Parameter ini hanya berlaku jika Dinonaktifkan secara default. |
Max Comments To Return |
Opsional. Jumlah maksimum komentar yang diambil tindakan selama setiap proses. Nilai defaultnya adalah |
Widget Theme |
Opsional. Tema yang akan digunakan untuk widget VirusTotal. Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Fetch Widget |
Opsional. Jika dipilih, tindakan akan mengambil dan menyertakan widget ringkasan visual yang terkait dengan alamat IP dalam output Repositori Kasus. Diaktifkan secara default. |
Output tindakan
Tindakan Enrich IP memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tersedia |
| Tabel repositori kasus | Tersedia |
| Tabel pengayaan entitas | Tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Link repositori kasus
Tindakan Perkaya IP dapat memberikan link berikut untuk setiap entitas yang diperkaya:
Nama: Report Link
Nilai: URL
Tabel repositori kasus
Tindakan Enrich IP dapat memberikan tabel berikut untuk setiap entitas yang diperkaya:
Nama tabel: ENTITY_ID
Kolom tabel:
- Nama
- Kategori
- Metode
- Hasil
Tindakan Enrich IP dapat memberikan tabel berikut untuk setiap entitas yang memiliki komentar:
Nama tabel: Komentar: ENTITY_ID
Kolom tabel:
- Date
- Komentar
- Suara Penyalahgunaan
- Suara Negatif
- Suara Positif
- ID
Tabel pengayaan entitas
Tabel berikut mencantumkan kolom yang diperkaya menggunakan tindakan Enrich IP:
| Nama kolom pengayaan | Penerapan |
|---|---|
VT3_id |
Berlaku jika tersedia di hasil JSON. |
VT3_owner |
Berlaku jika tersedia di hasil JSON. |
VT3_asn |
Berlaku jika tersedia di hasil JSON. |
VT3_continent |
Berlaku jika tersedia di hasil JSON. |
VT3_country |
Berlaku jika tersedia di hasil JSON. |
VT3_harmless_count |
Berlaku jika tersedia di hasil JSON. |
VT3_malicious_count |
Berlaku jika tersedia di hasil JSON. |
VT3_suspicious_count |
Berlaku jika tersedia di hasil JSON. |
VT3_undetected_count |
Berlaku jika tersedia di hasil JSON. |
VT3_certificate_valid_not_after |
Berlaku jika tersedia di hasil JSON. |
VT3_certificate_valid_not_before |
Berlaku jika tersedia di hasil JSON. |
VT3_reputation |
Berlaku jika tersedia di hasil JSON. |
VT3_tags |
Berlaku jika tersedia di hasil JSON. |
VT3_malicious_vote_count |
Berlaku jika tersedia di hasil JSON. |
VT3_harmless_vote_count |
Berlaku jika tersedia di hasil JSON. |
VT3_report_link |
Berlaku jika tersedia di hasil JSON. |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Enrich IP:
{
"data": {
"attributes": {
"as_owner": "Example",
"asn": 50673,
"continent": "EU",
"country": "NL",
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "ExampleLabs",
"method": "blacklist",
"result": "clean"
},
"example.com URL checker": {
"category": "harmless",
"engine_name": "example.com URL checker",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 81,
"malicious": 5,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_https_certificate": {
"cert_signature": {
"signature": "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",
"signature_algorithm": "sha256RSA"
},
"extensions": {
"1.3.6.1.4.1.11129.2.4.2": "0481f200f00075007d3ef2f88fff88556824c2c0ca9e5289792bc50e78097f2e",
"CA": true,
"authority_key_identifier": {
"keyid": "KEY_ID"
},
"ca_information_access": {
"CA Issuers": "http://example.RSADomainValidationSecureServerCA.crt",
"OCSP": "http://example.com"
},
"certificate_policies": [
"1.3.6.1.4.1.6449.1.2.2.7",
"2.23.140.1.2.1"
],
"extended_key_usage": [
"serverAuth",
"clientAuth"
],
"key_usage": [
"ff"
],
"subject_alternative_name": [
"example-panel.xyz",
"www.example-panel.xyz"
],
"subject_key_identifier": "4f6429eaccd761eca91d9120b004f9d962453fef",
"tags": []
},
"issuer": {
"C": "US",
"CN": "Example RSA Domain Validation Secure Server CA",
"L": "Mountain View",
"O": "Example Ltd.",
},
"public_key": {
"algorithm": "RSA",
"rsa": {
"exponent": "010001",
"key_size": 2048,
"modulus": "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"
}
},
"serial_number": "248562d360bcc919bb97883f0dfc609d",
"signature_algorithm": "sha256RSA",
"size": 1472,
"subject": {
"CN": "example-panel.xyz"
},
"tags": [],
"thumbprint": "f9aae62cc9262302e45d94fcc512d65529ea1b31",
"thumbprint_sha256": "406ac0efb0ef67de743b1ab0f4e0352564a7d5ebbd71e3a883c067acc3563016",
"validity": {
"not_after": "2021-08-06 23:59:59",
"not_before": "2020-08-06 00:00:00"
},
"version": "V3"
},
"last_https_certificate_date": 1605415789,
"last_modification_date": 1605430702,
"network": "203.0.113.0/24",
"regional_internet_registry": "EXAMPLE",
"reputation": -95,
"tags": [],
"total_votes": {
"harmless": 0,
"malicious": 10
},
"whois": "NetRange: 203.0.113.0 - 203.0.113.255\nCIDR: 203.0.113.0/24\nNetName: EXAMPLE-5\nNetHandle: NET-203-0-113-0-1\nParent: ()\nNetType: Allocated to EXAMPLE\nOrig",
"whois_date": 1603912270
},
"id": "203.0.113.1",
"links": {
"self": "https://www.virustotal.com/api/v3/ip_addresses/203.0.113.1"
},
"type": "ip_address"
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Pesan output
Tindakan Enrich IP dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
|
Tindakan berhasil. |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Enrich IP:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
true atau false |
URL Pengayaan
Gunakan tindakan Perkaya URL untuk memperkaya URL menggunakan informasi dari VirusTotal.
Tindakan ini dijalankan pada entity URL Google SecOps.
Input tindakan
Tindakan Perkaya URL memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Engine Threshold |
Opsional. Jumlah minimum mesin yang harus menandai suatu entitas sebagai berbahaya atau mencurigakan agar entitas tersebut dianggap mencurigakan. Jika Anda mengonfigurasi |
Engine Percentage Threshold |
Opsional. Persentase minimum (dari Jika Anda mengonfigurasi Jika Anda mengonfigurasi |
Engine Whitelist |
Opsional. Daftar nama mesin yang dipisahkan koma untuk tindakan yang akan dipertimbangkan saat menentukan apakah hash berbahaya. Penghitungan ini tidak menyertakan mesin telusur yang tidak memberikan informasi entitas. Jika tidak ada nilai yang diberikan, tindakan akan menggunakan semua mesin yang tersedia. |
Resubmit URL |
Opsional. Jika dipilih, tindakan ini akan mengirim ulang URL untuk dianalisis, bukan menggunakan hasil yang ada. Dinonaktifkan secara default. |
Resubmit After (Days) |
Opsional. Jumlah minimum hari yang harus berlalu sejak analisis terakhir sebelum hash dikirim ulang. Parameter ini hanya berlaku jika Anda memilih parameter Nilai defaultnya adalah |
Retrieve Comments |
Opsional. Jika dipilih, tindakan ini akan mengambil komentar yang terkait dengan URL dari VirusTotal. Diaktifkan secara default. |
Create Insight |
Opsional. Jika dipilih, tindakan akan menghasilkan insight keamanan yang berisi informasi analisis untuk URL. Diaktifkan secara default. |
Only Suspicious Entity Insight |
Opsional. Jika dipilih, tindakan ini hanya menghasilkan insight untuk URL yang diidentifikasi sebagai mencurigakan berdasarkan parameter nilai minimum yang dikonfigurasi. Parameter ini hanya berlaku jika Dinonaktifkan secara default. |
Max Comments To Return |
Opsional. Jumlah maksimum komentar yang diambil tindakan selama setiap proses. Nilai defaultnya adalah |
Widget Theme |
Opsional. Tema yang akan digunakan untuk widget VirusTotal. Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Fetch Widget |
Opsional. Jika dipilih, tindakan akan mengambil dan menyertakan widget ringkasan visual yang terkait dengan URL dalam output Repositori Kasus. Diaktifkan secara default. |
Output tindakan
Tindakan Perkaya URL memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tersedia |
| Tabel repositori kasus | Tersedia |
| Tabel pengayaan entitas | Tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Link repositori kasus
Tindakan Perkaya URL dapat memberikan link berikut untuk setiap entitas yang diperkaya:
Nama: Report Link
Nilai: URL
Tabel repositori kasus
Tindakan Perkaya URL dapat memberikan tabel berikut untuk setiap entitas yang diperkaya:
Nama tabel: ENTITY_ID
Kolom tabel:
- Nama
- Kategori
- Metode
- Hasil
Tindakan Perkaya URL dapat memberikan tabel berikut untuk setiap entitas yang memiliki komentar:
Nama tabel: Komentar: ENTITY_ID
Kolom tabel:
- Date
- Komentar
- Suara Penyalahgunaan
- Suara Negatif
- Suara Positif
- ID
Tabel pengayaan entitas
Tabel berikut mencantumkan kolom yang diperkaya menggunakan tindakan Perkaya URL:
| Nama kolom pengayaan | Penerapan |
|---|---|
VT3_id |
Berlaku jika tersedia di hasil JSON. |
VT3_title |
Berlaku jika tersedia di hasil JSON. |
VT3_last_http_response_code |
Berlaku jika tersedia di hasil JSON. |
VT3_last_http_response_content_length |
Berlaku jika tersedia di hasil JSON. |
VT3_threat_names |
Berlaku jika tersedia di hasil JSON. |
VT3_harmless_count |
Berlaku jika tersedia di hasil JSON. |
VT3_malicious_count |
Berlaku jika tersedia di hasil JSON. |
VT3_suspicious_count |
Berlaku jika tersedia di hasil JSON. |
VT3_undetected_count |
Berlaku jika tersedia di hasil JSON. |
VT3_reputation |
Berlaku jika tersedia di hasil JSON. |
VT3_tags |
Berlaku jika tersedia di hasil JSON. |
VT3_malicious_vote_count |
Berlaku jika tersedia di hasil JSON. |
VT3_harmless_vote_count |
Berlaku jika tersedia di hasil JSON. |
VT3_report_link |
Berlaku jika tersedia di hasil JSON. |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Perkaya URL:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"AEXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Pesan output
Tindakan Perkaya URL dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Enrich URL". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Perkaya URL:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
true atau false |
Mendapatkan Detail Domain
Gunakan tindakan Dapatkan Detail Domain untuk mengambil informasi mendetail tentang domain menggunakan informasi dari VirusTotal.
Tindakan ini berjalan di entity Google SecOps berikut:
DomainHostnameURL
Input tindakan
Tindakan Get Domain Details memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Engine Threshold |
Opsional. Jumlah minimum mesin yang harus menandai suatu entitas sebagai berbahaya atau mencurigakan agar entitas tersebut dianggap mencurigakan. Jika Anda mengonfigurasi |
Engine Percentage Threshold |
Opsional. Persentase minimum (dari Jika Anda mengonfigurasi Jika Anda mengonfigurasi |
Engine Whitelist |
Opsional. Daftar nama mesin yang dipisahkan koma untuk tindakan yang akan dipertimbangkan saat menentukan apakah hash berbahaya. Penghitungan ini tidak menyertakan mesin telusur yang tidak memberikan informasi entitas. Jika tidak ada nilai yang diberikan, tindakan akan menggunakan semua mesin yang tersedia. |
Retrieve Comments |
Opsional. Jika dipilih, tindakan ini akan mengambil komentar yang terkait dengan domain dari VirusTotal. Diaktifkan secara default. |
Create Insight |
Opsional. Jika dipilih, tindakan ini akan menghasilkan insight keamanan yang berisi informasi analisis untuk domain. Diaktifkan secara default. |
Only Suspicious Entity Insight |
Opsional. Jika dipilih, tindakan ini hanya menghasilkan insight untuk entitas yang diidentifikasi sebagai mencurigakan berdasarkan parameter nilai minimum yang dikonfigurasi. Parameter ini hanya berlaku jika Dinonaktifkan secara default. |
Max Comments To Return |
Opsional. Jumlah maksimum komentar yang diambil tindakan untuk domain selama setiap proses. Nilai defaultnya adalah |
Widget Theme |
Opsional. Tema yang akan digunakan untuk widget VirusTotal. Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Fetch Widget |
Opsional. Jika dipilih, tindakan akan mengambil dan menyertakan widget ringkasan visual yang terkait dengan domain dalam output Repositori Kasus. Diaktifkan secara default. |
Output tindakan
Tindakan Get Domain Details memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tersedia |
| Tabel repositori kasus | Tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Link repositori kasus
Tindakan Get Domain Details dapat memberikan link berikut untuk setiap entitas yang ditingkatkan:
Nama: Report Link
Nilai: URL
Tabel repositori kasus
Tindakan Dapatkan Detail Domain dapat memberikan tabel berikut untuk setiap entitas yang diperkaya:
Nama tabel: ENTITY_ID
Kolom tabel:
- Nama
- Kategori
- Metode
- Hasil
Tindakan Dapatkan Detail Domain dapat memberikan tabel berikut untuk setiap entitas yang memiliki komentar:
Nama tabel: Komentar: ENTITY_ID
Kolom tabel:
- Date
- Komentar
- Suara Penyalahgunaan
- Suara Negatif
- Suara Positif
- ID
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Get Domain Details:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Pesan output
Tindakan Get Domain Details dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Get Domain Details". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Domain Details:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
true atau false |
Mendapatkan Detail Grafik
Gunakan tindakan Dapatkan Detail Grafik untuk mendapatkan informasi mendetail tentang grafik di VirusTotal.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Get Graph Details memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Graph ID |
Wajib. Daftar ID grafik yang dipisahkan koma untuk mengambil detailnya. |
Max Links To Return |
Opsional. Jumlah maksimum link yang akan ditampilkan untuk setiap grafik. Nilai defaultnya adalah |
Output tindakan
Tindakan Get Graph Details memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Tabel repositori kasus
Tindakan Dapatkan Detail Grafik dapat memberikan tabel berikut untuk setiap entitas yang diperkaya:
Nama tabel: Link Grafik ENTITY_ID
Kolom tabel:
- Source
- Target
- Jenis Koneksi
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Get Graph Details:
{
"data": {
"attributes": {
"comments_count": 0,
"creation_date": 1603219837,
"graph_data": {
"description": "Example LLC",
"version": "api-5.0.0"
},
"last_modified_date": 1603219837,
"links": [
{
"connection_type": "last_serving_ip_address",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "last_serving_ip_address",
"source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "network_location",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "network_location",
"source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "communicating_files",
"source": "203.0.113.3",
"target": "relationships_communicating_files_20301133"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
}
],
"nodes": [
{
"entity_attributes": {
"has_detections": false
},
"entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 0,
"text": "",
"type": "url",
"x": 51.22276722115952,
"y": 65.7811310194184
},
{
"entity_attributes": {},
"entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 1,
"text": "",
"type": "relationship",
"x": 25.415664700492094,
"y": 37.66636498768037
},
{
"entity_attributes": {
"country": "US"
},
"entity_id": "203.0.113.3",
"fx": -19.03611541222395,
"fy": 24.958500220062717,
"index": 2,
"text": "",
"type": "ip_address",
"x": -19.03611541222395,
"y": 24.958500220062717
},
{
"entity_attributes": {},
"entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 3,
"text": "",
"type": "relationship",
"x": 14.37403861978968,
"y": 56.85562691824892
},
{
"entity_attributes": {},
"entity_id": "relationships_communicating_files_20301133",
"index": 4,
"text": "",
"type": "relationship",
"x": -51.78097726144755,
"y": 10.087893225996158
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
"index": 5,
"text": "",
"type": "file",
"x": -79.11606194776019,
"y": -18.475026322309112
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
"index": 6,
"text": "",
"type": "file",
"x": -64.80938048199627,
"y": 46.75892061191275
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
"index": 7,
"text": "",
"type": "file",
"x": -43.54064004476819,
"y": -28.547923020662786
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
"index": 8,
"text": "",
"type": "file",
"x": -15.529860440278318,
"y": -2.068209789825876
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
"index": 9,
"text": "",
"type": "file",
"x": -42.55971948293377,
"y": 46.937155845680415
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "html"
},
"entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
"index": 10,
"text": "",
"type": "file",
"x": -62.447976875107706,
"y": -28.172418384729067
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
"index": 11,
"text": "",
"type": "file",
"x": -89.0326649183805,
"y": -2.2638551448322484
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
"index": 12,
"text": "",
"type": "file",
"x": -26.35260716195174,
"y": -20.25669077264115
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
"index": 13,
"text": "",
"type": "file",
"x": -82.1415994911387,
"y": 34.89636762607467
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "ENTITY_ID",
"index": 14,
"text": "",
"type": "file",
"x": -90.87738694680043,
"y": 16.374462198116138
}
],
"private": false,
"views_count": 30
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
}
}
Pesan output
Tindakan Get Graph Details dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Get Graph Details". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Dapatkan Detail Grafik:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
true atau false |
Mendapatkan Domain Terkait
Gunakan tindakan Dapatkan Domain Terkait untuk mendapatkan domain yang terkait dengan entitas yang diberikan dari VirusTotal.
Tindakan ini berjalan di entity Google SecOps berikut:
DomainFile HashHostnameIP AddressURL
Input tindakan
Tindakan Get Related Domains memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Results |
Opsional. Struktur yang digunakan untuk menggabungkan dan mengelompokkan hasil JSON yang ditampilkan. Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Max Domains To Return |
Opsional. Jumlah maksimum domain yang akan ditampilkan. Jika Anda memilih Jika Anda memilih Nilai defaultnya adalah |
Output tindakan
Tindakan Get Related Domains memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Get Related Domains:
{
"domain": ["example.com"]
}
Pesan output
Tindakan Get Related Domains dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Get Related Domains". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Related Domains:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
true atau false |
Mendapatkan Hash Terkait
Gunakan tindakan Get Related Hashes untuk mendapatkan hash yang terkait dengan entitas yang diberikan dari VirusTotal.
Tindakan ini berjalan di entity Google SecOps berikut:
DomainFile HashHostnameIP AddressURL
Input tindakan
Tindakan Get Related Hashes memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Results |
Opsional. Struktur yang digunakan untuk menggabungkan dan mengelompokkan hasil JSON yang ditampilkan. Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Max Hashes To Return |
Opsional. Jumlah maksimum hash file yang akan ditampilkan. Jika Anda memilih Jika Anda memilih
Nilai defaultnya adalah |
Output tindakan
Tindakan Get Related Hashes memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Get Related Hashes:
{
"sha256_hashes": ["http://example.com"]
}
Pesan output
Tindakan Get Related Hashes dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Get Related Hashes". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Related Hashes:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
true atau false |
Mendapatkan IP Terkait
Gunakan tindakan Get Related IPs untuk mendapatkan alamat IP yang terkait dengan entitas yang diberikan dari VirusTotal.
Tindakan ini berjalan di entity Google SecOps berikut:
DomainFile HashHostnameURL
Input tindakan
Tindakan Get Related IPs memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Results |
Opsional. Struktur yang digunakan untuk menggabungkan dan mengelompokkan hasil JSON yang ditampilkan. Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Max IPs To Return |
Opsional. Jumlah maksimum alamat IP yang akan ditampilkan. Jika Anda memilih
Jika Anda memilih
Nilai defaultnya adalah |
Output tindakan
Tindakan Dapatkan IP Terkait memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Get Related IPs:
{
"ips": ["203.0.113.1"]
}
Pesan output
Tindakan Get Related IPs dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Get Related IPs". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Get Related IPs:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
true atau false |
Mendapatkan URL Terkait
Gunakan tindakan Dapatkan URL Terkait untuk mendapatkan URL yang terkait dengan entitas yang diberikan dari VirusTotal.
Tindakan ini berjalan di entity Google SecOps berikut:
DomainFile HashHostnameIP AddressURL
Input tindakan
Tindakan Dapatkan URL Terkait memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Results |
Opsional. Struktur yang digunakan untuk menggabungkan dan mengelompokkan hasil JSON yang ditampilkan. Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Max URLs To Return |
Opsional. Jumlah maksimum URL yang akan ditampilkan. Jika Anda memilih
Jika Anda memilih
Nilai defaultnya adalah |
Output tindakan
Tindakan Dapatkan URL Terkait memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Dapatkan URL Terkait:
{
"urls": ["http://example.com"]
}
Pesan output
Tindakan Dapatkan URL Terkait dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Get Related URLs". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Dapatkan URL Terkait:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
true atau false |
Ping
Gunakan tindakan Ping untuk menguji konektivitas ke VirusTotal.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tidak ada.
Output tindakan
Tindakan Ping memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tidak tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Pesan output
Tindakan Ping dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Failed to connect to the VirusTotal server! Error is
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Ping:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
true atau false |
Menelusuri Grafik Entity
Gunakan tindakan Search Entity Graphs untuk menelusuri grafik yang didasarkan pada entitas di VirusTotal.
Tindakan ini berjalan di entity Google SecOps berikut:
DomainFile HashHostnameIP AddressThreat ActorURLUser
Input tindakan
Tindakan Search Entity Graphs memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Sort Field |
Opsional. Kolom yang digunakan untuk mengurutkan dan mengurutkan grafik VirusTotal yang ditampilkan. Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Max Graphs To Return |
Opsional. Jumlah maksimum grafik yang akan ditampilkan. Nilai defaultnya adalah |
Output tindakan
Tindakan Search Entity Graphs memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Search Entity Graphs:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
Pesan output
Tindakan Search Entity Graphs dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Search Entity Graphs". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Telusuri Grafik
Gunakan tindakan Search Graphs untuk menelusuri grafik berdasarkan filter kustom di VirusTotal.
Tindakan ini tidak berjalan di entity Google SecOps.
| Parameter | Deskripsi |
|---|---|
Query |
Wajib. Filter kueri untuk grafik. Untuk mengetahui informasi selengkapnya tentang kueri, lihat Cara membuat kueri dan Pengubah terkait grafik. |
Sort Field |
Opsional. Kolom yang digunakan untuk mengurutkan dan mengurutkan grafik VirusTotal yang ditampilkan. Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Max Graphs To Return |
Opsional. Jumlah maksimum grafik yang akan ditampilkan. Nilai defaultnya adalah |
Cara membuat kueri
Untuk mempertajam hasil penelusuran dari grafik, buat kueri yang berisi pengubah terkait grafik. Untuk meningkatkan penelusuran, Anda dapat menggabungkan
pengubah dengan operator AND, OR, dan NOT.
Kolom tanggal dan numerik mendukung sufiks plus (+) atau minus (-). Sufiks plus
mencocokkan nilai yang lebih besar dari nilai yang diberikan. Sufiks minus cocok dengan
nilai yang kurang dari nilai yang diberikan. Tanpa akhiran, kueri akan menampilkan kecocokan
persis.
Untuk menentukan rentang, Anda dapat menggunakan pengubah yang sama beberapa kali dalam kueri. Misalnya, untuk menelusuri grafik yang dibuat antara 15-11-2018 dan 20-11-2018, gunakan kueri berikut:
creation_date:2018-11-15+ creation_date:2018-11-20-
Untuk tanggal atau bulan yang diawali dengan 0, hapus karakter 0 dalam kueri.
Misalnya, format tanggal 2018-11-01 sebagai 2018-11-1.
Pengubah terkait grafik
Tabel berikut mencantumkan pengubah yang dapat Anda gunakan untuk membuat kueri penelusuran:
| Pengubah | Deskripsi | Contoh |
|---|---|---|
Id |
Memfilter menurut ID grafik. | id:g675a2fd4c8834e288af |
Name |
Memfilter menurut nama grafik. | name:Example-name |
Owner |
Memfilter menurut grafik yang dimiliki oleh pengguna. | owner:example_user |
Group |
Memfilter menurut grafik yang dimiliki oleh grup. | group:example |
Visible_to_user |
Memfilter menurut grafik yang terlihat oleh pengguna. | visible_to_user:example_user |
Visible_to_group |
Memfilter menurut grafik yang terlihat oleh grup. | visible_to_group:example |
Private |
Memfilter menurut grafik pribadi. | private:true, private:false |
Creation_date |
Memfilter berdasarkan tanggal pembuatan grafik. | creation_date:2018-11-15 |
last_modified_date |
Memfilter berdasarkan tanggal modifikasi grafik terbaru. | last_modified_date:2018-11-20 |
Total_nodes |
Memfilter menurut grafik yang berisi sejumlah node tertentu. | total_nodes:100 |
Comments_count |
Memfilter berdasarkan jumlah komentar dalam grafik. | comments_count:10+ |
Views_count |
Memfilter berdasarkan jumlah tampilan grafik. | views_count:1000+ |
Label |
Memfilter menurut grafik yang berisi node dengan label tertentu. | label:Kill switch |
File |
Memfilter menurut grafik yang berisi file tertentu. | file:131f95c51cc819465fa17 |
Domain |
Memfilter menurut grafik yang berisi domain tertentu. | domain:example.com |
Ip_address |
Memfilter berdasarkan grafik yang berisi alamat IP tertentu. | ip_address:203.0.113.1 |
Url |
Memfilter berdasarkan grafik yang berisi URL tertentu. | url:https://example.com/example/ |
Actor |
Memfilter menurut grafik yang berisi aktor tertentu. | actor:example actor |
Victim |
Memfilter menurut grafik yang berisi korban tertentu. | victim:example_user |
Email |
Memfilter menurut grafik yang berisi alamat email tertentu. | email:user@example.com |
Department |
Memfilter menurut grafik yang berisi departemen tertentu. | department:engineers |
Output tindakan
Tindakan Search Graphs memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Search Graphs:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
Pesan output
Tindakan Search Graphs dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Search Graphs". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Search Graphs:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
true atau false |
Menelusuri IOC
Gunakan tindakan Telusuri IOC untuk menelusuri IOC dalam set data VirusTotal.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Search IOCs memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
Query |
Wajib. String kueri yang digunakan untuk memfilter dan menelusuri IOC dalam set data. Untuk mengonfigurasi kueri, ikuti sintaksis kueri yang berlaku untuk antarmuka pengguna VirusTotal Intelligence. Nilai defaultnya adalah |
Create Entities |
Opsional. Jika dipilih, tindakan ini akan membuat entitas untuk IOC yang ditampilkan. Tindakan ini tidak memperkaya entity. Dinonaktifkan secara default. |
Order By |
Wajib. Kolom yang digunakan untuk menentukan kriteria pengurutan utama untuk hasil yang ditampilkan. Jenis entitas dapat memiliki kolom urutan yang berbeda. Untuk mengetahui informasi selengkapnya tentang cara menelusuri file di VirusTotal, lihat Penelusuran korpus lanjutan. Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Sort Order |
Opsional. Urutan pengurutan hasil. Kemungkinan nilainya adalah sebagai berikut:
Jika Anda memilih Nilai defaultnya adalah |
Max IOCs To Return |
Opsional. Jumlah maksimum IoC yang akan ditampilkan. Nilai maksimum adalah Nilai defaultnya adalah |
Output tindakan
Tindakan Search IOCs memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tidak tersedia |
| Tabel repositori kasus | Tidak tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Search IOCs:
{
"data": [
{
"attributes": {
"type_description": "Email",
"tlsh": "T1B4D31F04BE452B3093E7238E064E6FDBAFCC135F6611F1C60881AAD6C5C77A2E57D689",
"exiftool": {
"MIMEType": "text/plain",
"FileType": "TXT",
"WordCount": "2668",
"LineCount": "1820",
"MIMEEncoding": "us-ascii",
"FileTypeExtension": "txt",
"Newlines": "Windows CRLF"
},
"type_tags": [
"internet",
"email"
],
"threat_severity": {
"threat_severity_level": "SEVERITY_HIGH",
"threat_severity_data": {
"num_gav_detections": 3,
"has_vulnerabilities": true,
"popular_threat_category": "trojan",
"type_tag": "email",
"has_embedded_ips_with_detections": true
},
"last_analysis_date": "1698050597",
"version": 2,
"level_description": "Severity HIGH because it was considered trojan. Other contributing factors were that it has known exploits, it contains embedded IPs with detections and it could not be run in sandboxes."
},
"names": [
"Re Example.eml"
],
"last_modification_date": 1698057197,
"type_tag": "email",
"times_submitted": 1,
"total_votes": {
"harmless": 0,
"malicious": 0
},
"size": 132299,
"popular_threat_classification": {
"suggested_threat_label": "obfsobjdat/malformed",
"popular_threat_name": [
{
"count": 8,
"value": "obfsobjdat"
},
{
"count": 2,
"value": "malformed"
}
]
},
"last_submission_date": 1698049979,
"last_analysis_results": {
"Bkav": {
"category": "undetected",
"engine_name": "Example1",
"engine_version": "2.0.0.1",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
"Lionic": {
"category": "undetected",
"engine_name": "Example2",
"engine_version": "7.5",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
},
"downloadable": true,
"trid": [
{
"file_type": "file seems to be plain text/ASCII",
"probability": 0
}
],
"sha256": "2d9df36964fe2e477e6e0f7a73391e4d4b2eeb0995dd488b431c4abfb4c27dbf",
"type_extension": "eml",
"tags": [
"exploit",
"cve-2018-0802",
"cve-2018-0798",
"email",
"cve-2017-11882"
],
"last_analysis_date": 1698049979,
"unique_sources": 1,
"first_submission_date": 1698049979,
"ssdeep": "768:MedEkBNnx8ueVV+fitChi9KbpK0fixbRwHbcElIK944tCVQOgzdsSuom+cWmsCGY:Meo+fitC0mKuixYxlI1OO1cSPo0gptA",
"md5": "bdfe36052e0c083869505ef4fd77e865",
"sha1": "3a350de97009efe517ceffcea406534bb1ab800c",
"magic": "SMTP mail, ASCII text, with CRLF line terminators",
"last_analysis_stats": {
"harmless": 0,
"type-unsupported": 16,
"suspicious": 0,
"confirmed-timeout": 0,
"timeout": 0,
"failure": 0,
"malicious": 28,
"undetected": 32
},
"meaningful_name": "Re Example.eml",
"reputation": 0
},
"type": "file",
"id": "ID",
"links": {
"self": "URL"
}
},
]
}
Pesan output
Tindakan Search IOCs dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Search IOCs". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Search IOCs:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
true atau false |
Kirim File
Gunakan tindakan Submit File untuk mengirimkan file dan menampilkan hasil dari VirusTotal.
Tindakan ini tidak berjalan di entity Google SecOps.
Input tindakan
Tindakan Kirim File memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
File Paths |
Wajib. Daftar jalur file absolut yang dipisahkan koma di server lokal atau jarak jauh yang akan dikirimkan. Jika Anda mengonfigurasi |
Engine Threshold |
Opsional. Jumlah minimum mesin yang harus menandai file sebagai berbahaya atau mencurigakan agar file tersebut dianggap mencurigakan. Jika Anda mengonfigurasi
|
Engine Percentage Threshold |
Opsional. Persentase minimum (dari Jika Anda mengonfigurasi Jika Anda mengonfigurasi |
Engine Whitelist |
Opsional. Daftar nama mesin yang dipisahkan koma untuk tindakan yang akan dipertimbangkan saat menentukan apakah hash berbahaya. Penghitungan ini tidak menyertakan mesin telusur yang tidak memberikan informasi entitas. Jika tidak ada nilai yang diberikan, tindakan akan menggunakan semua mesin yang tersedia. |
Retrieve Comments |
Opsional. Jika dipilih, tindakan ini akan mengambil komentar yang terkait dengan file dari VirusTotal. Komentar tidak diambil saat Diaktifkan secara default. |
Retrieve Sigma Analysis |
Opsional. Jika dipilih, tindakan akan mengambil hasil analisis Sigma untuk file. Diaktifkan secara default. |
Max Comments To Return |
Opsional. Jumlah maksimum komentar yang diambil tindakan selama setiap proses. Nilai defaultnya adalah |
Linux Server Address |
Opsional. Lokasi jaringan (alamat IP atau nama host) file sumber di server Linux jarak jauh. |
Linux Username |
Opsional. Nama pengguna autentikasi untuk server Linux jarak jauh. |
Linux Password |
Opsional. Sandi autentikasi untuk server Linux jarak jauh. |
Private Submission |
Opsional. Jika dipilih, tindakan ini akan mengirimkan file secara pribadi. Untuk mengirimkan file secara pribadi, akses VirusTotal Premium diperlukan. Dinonaktifkan secara default. |
Fetch MITRE Details |
Opsional. Jika dipilih, tindakan akan mengambil taktik dan teknik MITRE ATT&CK yang terkait dengan hash. Dinonaktifkan secara default. |
Lowest MITRE Technique Severity |
Opsional. Tingkat keparahan minimum untuk teknik MITRE ATT&CK yang akan disertakan dalam hasil. Tindakan memperlakukan Kemungkinan nilainya adalah sebagai berikut:
Nilai defaultnya adalah |
Retrieve AI Summary |
Opsional. Jika dipilih, tindakan ini akan mengambil ringkasan buatan AI untuk file. Opsi ini hanya tersedia untuk kiriman pribadi. Parameter ini bersifat eksperimental. Dinonaktifkan secara default. |
Output tindakan
Tindakan Kirim File memberikan output berikut:
| Jenis output tindakan | Ketersediaan |
|---|---|
| Lampiran repositori kasus | Tidak tersedia |
| Link repositori kasus | Tersedia |
| Tabel repositori kasus | Tersedia |
| Tabel pengayaan | Tidak tersedia |
| Hasil JSON | Tersedia |
| Pesan output | Tersedia |
| Hasil skrip | Tersedia |
Link repositori kasus
Tindakan Kirim File dapat menampilkan link berikut:
Nama: Tautan Laporan: PATH
Nilai: URL
Tabel repositori kasus
Tindakan Kirim File dapat memberikan tabel berikut untuk setiap file yang dikirim:
Nama tabel: Hasil: PATH
Kolom tabel:
- Nama
- Kategori
- Metode
- Hasil
Tindakan Submit File dapat memberikan tabel berikut untuk setiap file yang dikirimkan yang memiliki komentar:
Nama tabel: Komentar: PATH
Kolom tabel:
- Date
- Komentar
- Suara Penyalahgunaan
- Suara Negatif
- Suara Positif
- ID
Tindakan Kirim File dapat memberikan tabel berikut untuk setiap entitas yang memiliki hasil analisis Sigma:
Nama tabel: Sigma Analysis: ENTITY_ID
Kolom tabel:
- ID
- Keparahan
- Source
- Judul
- Deskripsi
- Mencocokkan Konteks
Hasil JSON
Contoh berikut menunjukkan output hasil JSON yang diterima saat menggunakan tindakan Kirim File:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Pesan output
Tindakan Kirim File dapat menampilkan pesan output berikut:
| Pesan output | Deskripsi pesan |
|---|---|
|
Tindakan berhasil. |
Error executing action "Submit File". Reason:
ERROR_REASON |
Tindakan gagal. Periksa koneksi ke server, parameter input, atau kredensial. |
Hasil skrip
Tabel berikut mencantumkan nilai untuk output hasil skrip saat menggunakan tindakan Kirim File:
| Nama hasil skrip | Nilai |
|---|---|
is_success |
true atau false |
Konektor
Untuk mengetahui informasi selengkapnya tentang cara mengonfigurasi konektor di Google SecOps, lihat Menyerap data Anda (konektor).
VirusTotal - Livehunt Connector
Gunakan VirusTotal - Livehunt Connector untuk menarik informasi tentang notifikasi VirusTotal Livehunt dan file terkait.
Aturan konektor
VirusTotal - Livehunt Connector mendukung proxy.
Input konektor
VirusTotal - Livehunt Connector memerlukan parameter berikut:
| Parameter | Deskripsi |
|---|---|
API Key |
Wajib. Kunci VirusTotal API. |
Engine Percentage Threshold To Fetch |
Wajib. Persentase minimum mesin keamanan ( Nilai defaultnya adalah |
Engine Whitelist |
Opsional. Daftar nama mesin yang dipisahkan koma untuk tindakan yang akan dipertimbangkan saat menentukan apakah hash berbahaya. Penghitungan ini tidak menyertakan mesin telusur yang tidak memberikan informasi entitas. Jika tidak ada nilai yang diberikan, tindakan akan menggunakan semua mesin yang tersedia. |
Environment Field Name |
Opsional. Nama kolom tempat nama lingkungan disimpan. Jika kolom environment tidak ada, konektor akan menggunakan nilai default. Nilai defaultnya adalah |
Environment Regex Pattern |
Opsional. Pola ekspresi reguler untuk dijalankan pada nilai yang ditemukan di kolom
Gunakan nilai default Jika pola ekspresi reguler adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
Event Field Name |
Wajib. Nama kolom yang menentukan nama peristiwa (subjenis). Nilai defaultnya adalah |
Max Hours Backwards |
Opsional. Jumlah jam lihat kembali untuk mengambil pemberitahuan. Parameter ini dapat berlaku untuk iterasi konektor awal setelah Anda mengaktifkan konektor untuk pertama kalinya, atau nilai penggantian untuk stempel waktu konektor yang telah berakhir. Nilai defaultnya adalah |
Max Notifications To Fetch |
Opsional. Jumlah maksimum notifikasi yang akan diproses di setiap eksekusi konektor. Nilai defaultnya adalah |
Product Field Name |
Wajib. Nama kolom tempat nama produk disimpan. Nama produk terutama memengaruhi pemetaan. Untuk menyederhanakan dan meningkatkan proses pemetaan untuk konektor, nilai default di-resolve ke nilai penggantian yang dirujuk dari kode. Input yang tidak valid untuk parameter ini akan diselesaikan ke nilai penggantian secara default. Nilai defaultnya adalah |
Proxy Password |
Opsional. Sandi untuk autentikasi server proxy. |
Proxy Server Address |
Opsional. Alamat server proxy yang akan digunakan. |
Proxy Username |
Opsional. Nama pengguna untuk autentikasi server proxy. |
PythonProcessTimeout |
Wajib. Batas waktu, dalam detik, untuk proses Python yang menjalankan skrip saat ini. Nilai defaultnya adalah |
Use dynamic list as a blacklist |
Opsional. Jika dipilih, konektor akan menggunakan daftar dinamis sebagai daftar blokir. Dinonaktifkan secara default. |
Verify SSL |
Opsional. Jika dipilih, integrasi akan memvalidasi sertifikat SSL saat terhubung ke server VirusTotal. Diaktifkan secara default. |
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.