将 VirusTotal v3 与 Google SecOps 集成
集成版本:37.0
本文档介绍了如何将 VirusTotal v3 与 Google Security Operations (Google SecOps) 集成。
使用场景
VirusTotal v3 集成使用 Google SecOps 功能来支持以下使用场景:
文件分析:将文件哈希或文件提交给 VirusTotal 进行分析,并从多个防病毒引擎检索扫描结果,以确定提交的项目是否为恶意项目。
网址分析:针对 VirusTotal 数据库运行网址,以识别潜在的恶意网站或钓鱼式攻击网页。
IP 地址分析:调查 IP 地址,并确定其声誉和任何关联的恶意活动。
网域分析:分析网域名称,并确定其声誉和任何关联的恶意活动,例如钓鱼式攻击或恶意软件分发。
回溯性狩猎:扫描 VirusTotal 历史数据,以搜索之前被标记为恶意的文件、网址、IP 或网域。
自动扩充:使用威胁情报自动扩充突发事件数据。
钓鱼式攻击调查:将可疑电子邮件和附件提交给 VirusTotal 进行分析。
恶意软件分析:将恶意软件样本上传到 VirusTotal 进行动态和静态分析,并深入了解样本的行为和潜在影响。
准备工作
在 Google SecOps 平台中配置集成之前,请验证您是否具备以下条件:
VirusTotal Premium API:此集成需要 VirusTotal Premium API 订阅才能正常运行。
如需详细了解 API 层级之间的差异,请参阅公开 API 与高级 API。
API 密钥:在 Google SecOps 中设置集成实例之前,您必须先配置 VirusTotal API 密钥。
配置 VirusTotal API 密钥
在 Google SecOps 中配置 VirusTotal v3 集成之前,您必须获取并复制您的 API 密钥:
登录 VirusTotal 门户。
前往您的账号设置,然后在您的用户名或个人资料下方点击 API 密钥。
复制生成的 API 密钥。使用此密钥填充
API Key集成参数。
集成参数
VirusTotal v3 集成需要以下参数:
| 参数 | 说明 |
|---|---|
API Key |
必填。 VirusTotal API 密钥。 |
Verify SSL |
可选。 如果选择此项,集成会在连接到 VirusTotal v3 服务器时验证 SSL 证书。 默认处于启用状态。 |
如需了解如何在 Google SecOps 中配置集成,请参阅配置集成。
如有需要,您可以在稍后阶段进行更改。配置集成实例后,您可以在 playbook 中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例。
操作
如需详细了解操作,请参阅 在工作台页面中处理待处理的操作和执行手动操作。
向实体添加注释
使用 Add Comment To Entity 操作可向 VirusTotal 中的实体添加评论。
此操作适用于以下 Google SecOps 实体:
DomainFile HashHostnameIP AddressURL
操作输入
向实体添加注释操作需要以下参数:
| 参数 | 说明 |
|---|---|
Comment |
必填。 要添加到实体的注释。 |
操作输出
向实体添加注释操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用向实体添加注释操作时收到的 JSON 结果输出:
{
"Status": "Done"
}
{
"Status": "Not done"
}
输出消息
向实体添加评论操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Add Comment To Entity". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Add Comment To Entity 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
true 或 false |
向实体添加投票
使用 Add Vote To Entity 操作可向 VirusTotal 中的实体添加投票。
此操作适用于以下 Google SecOps 实体:
DomainFile HashHostnameIP AddressURL
操作输入
向实体添加投票操作需要以下参数:
| 参数 | 说明 |
|---|---|
Vote |
必填。 要分配给实体声誉的投票。 可能的值如下:
|
操作输出
向实体添加投票操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用向实体添加投票操作时收到的 JSON 结果输出:
{
"Status": "Done"
}
{
"Status": "Not done"
}
输出消息
向实体添加投票操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Add Vote To Entity". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Add Vote To Entity 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
true 或 false |
下载文件
使用下载文件操作从 VirusTotal 下载文件。
此操作在 Google SecOps File Hash 实体上运行。
操作输入
下载文件操作需要以下参数:
| 参数 | 说明 |
|---|---|
Download Folder Path |
必填。 相应操作保存下载文件的文件夹的路径。 |
Overwrite |
可选。 如果选中此选项,相应操作会替换任何与新下载的文件同名的现有文件。 默认处于启用状态。 |
操作输出
下载文件操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用下载文件操作时收到的 JSON 结果输出:
{
"absolute_file_paths": ["file_path_1","file_path_2"]
}
输出消息
下载文件操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Download File". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
丰富哈希
使用 Enrich Hash 操作通过 VirusTotal 中的信息来丰富哈希。
此操作在 Google SecOps File Hash 实体上运行。
操作输入
丰富哈希操作需要以下参数:
| 参数 | 说明 |
|---|---|
Engine Threshold |
可选。 必须将实体标记为恶意或可疑的引擎数量下限,才能将该实体视为可疑。 如果您配置 |
Engine Percentage Threshold |
可选。 必须将实体标记为恶意或可疑的引擎的最低百分比(从 如果您配置 如果您同时配置了 |
Engine Whitelist |
可选。 一个逗号分隔的引擎名称列表,用于指定在确定哈希是否为恶意哈希时要考虑的引擎。 此计算不包括不提供实体信息的引擎。 如果未提供值,则该操作会使用所有可用的引擎。 |
Resubmit Hash |
可选。 如果选择此项,操作会重新提交哈希进行分析,而不是使用现有结果。 默认情况下,该环境处于停用状态。 |
Resubmit After (Days) |
可选。 自上次分析以来,在重新提交哈希之前必须经过的最短天数。 此参数仅在您选择 默认值为 |
Retrieve Comments |
可选。 如果选中,该操作会从 VirusTotal 检索与哈希关联的评论。 默认处于启用状态。 |
Retrieve Sigma Analysis |
可选。 如果选中,该操作会检索相应哈希的 Sigma 分析结果。 此选项将会默认选中。 |
Sandbox |
可选。 用于行为分析的沙盒环境的英文逗号分隔列表。 如果您未设置值,该操作会使用默认值。 默认值为 |
Retrieve Sandbox Analysis |
可选。 如果选中,该操作会检索相应哈希的沙盒分析结果,并在 JSON 输出中为每个指定的沙盒创建一个单独的部分。 此选项将会默认选中。 |
Create Insight |
可选。 如果选中,该操作会生成包含哈希分析信息的安全洞见。 默认处于启用状态。 |
Only Suspicious Entity Insight |
可选。 如果选择此项,该操作将仅针对根据配置的阈值参数确定为可疑的哈希生成数据洞见。 此参数仅在启用 默认情况下,该环境处于停用状态。 |
Max Comments To Return |
可选。 每次运行时,该操作检索的评论数量上限。 默认值为 |
Widget Theme |
可选。 要用于 VirusTotal widget 的主题。 可能的值如下:
默认值为 |
Fetch Widget |
可选。 如果选中,该操作会检索与哈希相关联的可视化摘要 widget,并将其包含在案例墙输出中。 默认处于启用状态。 |
Fetch MITRE Details |
可选。 如果选择此项,该操作会检索与哈希相关联的 MITRE ATT&CK 技术和策略。 默认情况下,该环境处于停用状态。 |
Lowest MITRE Technique Severity |
可选。 要纳入结果中的 MITRE ATT&CK 技术的最低严重程度。该操作将 可能的值如下:
默认值为 |
操作输出
丰富哈希操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 可用 |
| “支持请求墙”表格 | 可用 |
| 实体丰富化表 | 可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
案例墙链接
丰富哈希操作可为每个丰富实体提供以下链接:
名称:报告链接
值:URL
“支持请求墙”表格
丰富哈希操作可为每个丰富实体提供以下表格:
表格名称:ENTITY_ID
表列:
- 名称
- 类别
- 方法
- 结果
丰富哈希操作可为每个有注释的实体提供下表:
表格名称:Comments:ENTITY_ID
表列:
- 日期
- 备注
- 滥用投票
- 差评
- 好评
- ID
丰富哈希操作可以为具有 Sigma 分析结果的每个实体提供以下表格:
表格名称:Sigma 分析:ENTITY_ID
表列:
- ID
- 严重级别
- 来源
- Title
- 说明
- 匹配上下文
实体丰富化表
下表列出了使用 Enrich Hash 操作丰富后的字段:
| 扩充项字段名称 | 适用性 |
|---|---|
VT3_id |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_magic |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_md5 |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_sha1 |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_sha256 |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_ssdeep |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_tlsh |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_vhash |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_meaningful_name |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_magic |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_harmless_count |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_malicious_count |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_suspicious_count |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_undetected_count |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_reputation |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_tags |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_malicious_vote_count |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_harmless_vote_count |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_report_link |
如果 JSON 结果中包含此信息,则应用此设置。 |
JSON 结果
以下示例展示了使用丰富哈希操作时收到的 JSON 结果输出:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}]
}
输出消息
丰富哈希操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Enrich Hash". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Enrich Hash 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
true 或 false |
丰富 IOC
使用 Enrich IOC 操作可使用 VirusTotal 中的信息来丰富入侵指标 (IoC)。
此操作不适用于 Google SecOps 实体。
操作输入
丰富 IOC 操作需要以下参数:
| 参数 | 说明 |
|---|---|
IOC Type |
可选。 要丰富化的 IoC 的类型。 默认值为 可能的值如下:
|
IOCs |
必填。 要扩充的 IOC 的逗号分隔列表。 |
Widget Theme |
可选。 要用于 VirusTotal widget 的主题。 可能的值如下:
默认值为 |
Fetch Widget |
可选。 如果选择此项,则操作会检索与案例墙输出中的 IoC 相关的视觉摘要 widget 并将其纳入其中。 默认处于启用状态。 |
操作输出
丰富 IOC 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 可用 |
| “支持请求墙”表格 | 可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
案例墙链接
丰富 IOC 操作可为每个丰富实体提供以下链接:
名称:报告链接
值:URL
“支持请求墙”表格
丰富 IOC 操作可为每个丰富实体提供下表:
表格名称:IOC_ID
表列:
- 名称
- 类别
- 方法
- 结果
JSON 结果
以下示例展示了使用 Enrich IOC 操作时收到的 JSON 结果输出:
{
"ioc": {
"identifier": "203.0.113.1",
"details": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"report_link": "{generated report link}",
"widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
}
}
}
输出消息
丰富 IOC 操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Enrich IOC". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Enrich IOC 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
true 或 false |
丰富 IP
使用 Enrich IP 操作,通过 VirusTotal 中的信息来丰富 IP 地址。
此操作在 Google SecOps IP Address 实体上运行。
操作输入
丰富 IP 操作需要以下参数:
| 参数 | 说明 |
|---|---|
Engine Threshold |
可选。 必须将实体标记为恶意或可疑的引擎数量下限,才能将该实体视为可疑。 如果您配置 |
Engine Percentage Threshold |
可选。 必须将实体标记为恶意或可疑的引擎的最低百分比(从 如果您配置 如果您同时配置了 |
Engine Whitelist |
可选。 一个逗号分隔的引擎名称列表,用于指定在确定哈希是否为恶意哈希时要考虑的引擎。 此计算不包括不提供实体信息的引擎。 如果未提供值,则该操作会使用所有可用的引擎。 |
Retrieve Comments |
可选。 如果选择此项,该操作会从 VirusTotal 检索与 IP 地址关联的评论。 默认处于启用状态。 |
Create Insight |
可选。 如果选中,该操作会生成包含 IP 地址分析信息的安全洞见。 默认处于启用状态。 |
Only Suspicious Entity Insight |
可选。 如果选择此项,该操作将仅针对根据配置的阈值参数确定为可疑的 IP 地址生成数据洞见。 此参数仅在启用 默认情况下,该环境处于停用状态。 |
Max Comments To Return |
可选。 每次运行时,该操作检索的评论数量上限。 默认值为 |
Widget Theme |
可选。 要用于 VirusTotal widget 的主题。 可能的值如下:
默认值为 |
Fetch Widget |
可选。 如果选中,该操作会在案例墙输出中检索并包含与 IP 地址相关的视觉摘要 widget。 默认处于启用状态。 |
操作输出
丰富 IP 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 可用 |
| “支持请求墙”表格 | 可用 |
| 实体丰富化表 | 可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
案例墙链接
丰富 IP 操作可为每个丰富实体提供以下链接:
名称:报告链接
值:URL
“支持请求墙”表格
丰富 IP 操作可为每个丰富实体提供下表:
表格名称:ENTITY_ID
表列:
- 名称
- 类别
- 方法
- 结果
丰富 IP 操作可以为每个有评论的实体提供下表:
表格名称:Comments:ENTITY_ID
表列:
- 日期
- 备注
- 滥用投票
- 差评
- 好评
- ID
实体丰富化表
下表列出了使用 Enrich IP 操作丰富后的字段:
| 扩充项字段名称 | 适用性 |
|---|---|
VT3_id |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_owner |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_asn |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_continent |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_country |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_harmless_count |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_malicious_count |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_suspicious_count |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_undetected_count |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_certificate_valid_not_after |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_certificate_valid_not_before |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_reputation |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_tags |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_malicious_vote_count |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_harmless_vote_count |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_report_link |
如果 JSON 结果中包含此信息,则应用此设置。 |
JSON 结果
以下示例显示了使用丰富 IP 操作时收到的 JSON 结果输出:
{
"data": {
"attributes": {
"as_owner": "Example",
"asn": 50673,
"continent": "EU",
"country": "NL",
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "ExampleLabs",
"method": "blacklist",
"result": "clean"
},
"example.com URL checker": {
"category": "harmless",
"engine_name": "example.com URL checker",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 81,
"malicious": 5,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_https_certificate": {
"cert_signature": {
"signature": "48ae0d5d0eb411e56bd328b93c7212c72fd21785070648e11d9ae2b80386711699978e650eafa233d234671b87c8134c1c38c59f702518ddebdc7849dc512e0158941507970ab3ab93788d27df728d727d7f9d28ed358abb145fb24803d0eeab04687ae07c7f1d3176374367efc000bd26d3cfc0659e54826ea2dfa2366d7bd9e8ed3bd2ff8a26898b37fadea198f93de8cf3ae3d703513bc0638f7b411d8eda9a3ac9a7510d7bfe553592792d10f8b2c255bc4a05c8c6bfbdb8def045dc754b39c9b89d2a5140818622760eb116abf6fd0a5798c1e274fe56a056ed21f419a6873d314c15238a398d8049b5ecc1ca003d0a07a989a710d137e4fc74b5671caa",
"signature_algorithm": "sha256RSA"
},
"extensions": {
"1.3.6.1.4.1.11129.2.4.2": "0481f200f00075007d3ef2f88fff88556824c2c0ca9e5289792bc50e78097f2e",
"CA": true,
"authority_key_identifier": {
"keyid": "KEY_ID"
},
"ca_information_access": {
"CA Issuers": "http://example.RSADomainValidationSecureServerCA.crt",
"OCSP": "http://example.com"
},
"certificate_policies": [
"1.3.6.1.4.1.6449.1.2.2.7",
"2.23.140.1.2.1"
],
"extended_key_usage": [
"serverAuth",
"clientAuth"
],
"key_usage": [
"ff"
],
"subject_alternative_name": [
"example-panel.xyz",
"www.example-panel.xyz"
],
"subject_key_identifier": "4f6429eaccd761eca91d9120b004f9d962453fef",
"tags": []
},
"issuer": {
"C": "US",
"CN": "Example RSA Domain Validation Secure Server CA",
"L": "Mountain View",
"O": "Example Ltd.",
},
"public_key": {
"algorithm": "RSA",
"rsa": {
"exponent": "010001",
"key_size": 2048,
"modulus": "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"
}
},
"serial_number": "248562d360bcc919bb97883f0dfc609d",
"signature_algorithm": "sha256RSA",
"size": 1472,
"subject": {
"CN": "example-panel.xyz"
},
"tags": [],
"thumbprint": "f9aae62cc9262302e45d94fcc512d65529ea1b31",
"thumbprint_sha256": "406ac0efb0ef67de743b1ab0f4e0352564a7d5ebbd71e3a883c067acc3563016",
"validity": {
"not_after": "2021-08-06 23:59:59",
"not_before": "2020-08-06 00:00:00"
},
"version": "V3"
},
"last_https_certificate_date": 1605415789,
"last_modification_date": 1605430702,
"network": "203.0.113.0/24",
"regional_internet_registry": "EXAMPLE",
"reputation": -95,
"tags": [],
"total_votes": {
"harmless": 0,
"malicious": 10
},
"whois": "NetRange: 203.0.113.0 - 203.0.113.255\nCIDR: 203.0.113.0/24\nNetName: EXAMPLE-5\nNetHandle: NET-203-0-113-0-1\nParent: ()\nNetType: Allocated to EXAMPLE\nOrig",
"whois_date": 1603912270
},
"id": "203.0.113.1",
"links": {
"self": "https://www.virustotal.com/api/v3/ip_addresses/203.0.113.1"
},
"type": "ip_address"
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
输出消息
丰富 IP 操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
|
操作成功。 |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用丰富 IP 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
true 或 false |
丰富网址
使用 Enrich 网址 操作可使用 VirusTotal 中的信息来丰富网址。
此操作在 Google SecOps URL 实体上运行。
操作输入
丰富网址操作需要以下参数:
| 参数 | 说明 |
|---|---|
Engine Threshold |
可选。 必须将实体标记为恶意或可疑的引擎数量下限,才能将该实体视为可疑。 如果您配置 |
Engine Percentage Threshold |
可选。 必须将实体标记为恶意或可疑的引擎的最低百分比(从 如果您配置 如果您同时配置了 |
Engine Whitelist |
可选。 一个逗号分隔的引擎名称列表,用于指定在确定哈希是否为恶意哈希时要考虑的引擎。 此计算不包括不提供实体信息的引擎。 如果未提供值,则该操作会使用所有可用的引擎。 |
Resubmit URL |
可选。 如果选择此操作,系统会重新提交网址以供分析,而不是使用现有结果。 默认情况下,该环境处于停用状态。 |
Resubmit After (Days) |
可选。 自上次分析以来,在重新提交哈希之前必须经过的最短天数。 此参数仅在您选择 默认值为 |
Retrieve Comments |
可选。 如果选中,该操作会从 VirusTotal 中检索与相应网址关联的评论。 默认处于启用状态。 |
Create Insight |
可选。 如果选中,该操作会生成包含相应网址分析信息的安全洞见。 默认处于启用状态。 |
Only Suspicious Entity Insight |
可选。 如果选择此项,该操作将仅针对根据配置的阈值参数确定为可疑的网址生成数据洞见。 此参数仅在启用 默认情况下,该环境处于停用状态。 |
Max Comments To Return |
可选。 每次运行时,该操作检索的评论数量上限。 默认值为 |
Widget Theme |
可选。 要用于 VirusTotal widget 的主题。 可能的值如下:
默认值为 |
Fetch Widget |
可选。 如果选中,该操作会在“案例墙”输出中检索并包含与网址相关的视觉摘要 widget。 默认处于启用状态。 |
操作输出
丰富网址操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 可用 |
| “支持请求墙”表格 | 可用 |
| 实体丰富化表 | 可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
案例墙链接
丰富网址操作可为每个丰富实体提供以下链接:
名称:报告链接
值:URL
“支持请求墙”表格
丰富网址操作可为每个丰富实体提供下表:
表格名称:ENTITY_ID
表列:
- 名称
- 类别
- 方法
- 结果
丰富网址操作可以为有评论的每个实体提供下表:
表格名称:Comments:ENTITY_ID
表列:
- 日期
- 备注
- 滥用投票
- 差评
- 好评
- ID
实体丰富化表
下表列出了使用 Enrich 网址 操作丰富后的字段:
| 扩充项字段名称 | 适用性 |
|---|---|
VT3_id |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_title |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_last_http_response_code |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_last_http_response_content_length |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_threat_names |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_harmless_count |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_malicious_count |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_suspicious_count |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_undetected_count |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_reputation |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_tags |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_malicious_vote_count |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_harmless_vote_count |
如果 JSON 结果中包含此信息,则应用此设置。 |
VT3_report_link |
如果 JSON 结果中包含此信息,则应用此设置。 |
JSON 结果
以下示例展示了使用 Enrich 网址 操作时收到的 JSON 结果输出:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"AEXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
输出消息
丰富网址操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Enrich URL". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用丰富网址操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
true 或 false |
获取网域详细信息
使用 Get Domain Details 操作可使用 VirusTotal 中的信息检索有关网域的详细信息。
此操作适用于以下 Google SecOps 实体:
DomainHostnameURL
操作输入
获取网域详细信息操作需要以下参数:
| 参数 | 说明 |
|---|---|
Engine Threshold |
可选。 必须将实体标记为恶意或可疑的引擎数量下限,才能将该实体视为可疑。 如果您配置 |
Engine Percentage Threshold |
可选。 必须将实体标记为恶意或可疑的引擎的最低百分比(从 如果您配置 如果您同时配置了 |
Engine Whitelist |
可选。 一个逗号分隔的引擎名称列表,用于指定在确定哈希是否为恶意哈希时要考虑的引擎。 此计算不包括不提供实体信息的引擎。 如果未提供值,则该操作会使用所有可用的引擎。 |
Retrieve Comments |
可选。 如果选择此项,该操作会从 VirusTotal 检索与网域关联的评论。 默认处于启用状态。 |
Create Insight |
可选。 如果选择此项,操作会生成包含网域分析信息的安全洞见。 默认处于启用状态。 |
Only Suspicious Entity Insight |
可选。 如果选择此项,该操作将仅针对根据配置的阈值参数确定为可疑的实体生成数据洞见。 此参数仅在启用 默认情况下,该环境处于停用状态。 |
Max Comments To Return |
可选。 每次运行期间,该操作为网域检索的评论数量上限。 默认值为 |
Widget Theme |
可选。 要用于 VirusTotal widget 的主题。 可能的值如下:
默认值为 |
Fetch Widget |
可选。 如果选择此项,该操作会在“案例墙”输出中检索并包含与网域相关的视觉摘要 widget。 默认处于启用状态。 |
操作输出
获取网域详情操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 可用 |
| “支持请求墙”表格 | 可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
案例墙链接
获取网域详细信息操作可为每个富化实体提供以下链接:
名称:报告链接
值:URL
“支持请求墙”表格
获取网域详细信息操作可为每个富集实体提供下表:
表格名称:ENTITY_ID
表列:
- 名称
- 类别
- 方法
- 结果
获取网域详细信息操作可为包含注释的每个实体提供下表:
表格名称:Comments:ENTITY_ID
表列:
- 日期
- 备注
- 滥用投票
- 差评
- 好评
- ID
JSON 结果
以下示例展示了使用获取网域详细信息操作时收到的 JSON 结果输出:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
输出消息
获取网域详细信息操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Get Domain Details". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用获取网域详细信息操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
true 或 false |
获取图表详细信息
使用 Get Graph Details 操作可获取有关 VirusTotal 中图表的详细信息。
此操作不适用于 Google SecOps 实体。
操作输入
获取图表详细信息操作需要以下参数:
| 参数 | 说明 |
|---|---|
Graph ID |
必填。 要检索详细信息的图 ID 的英文逗号分隔列表。 |
Max Links To Return |
可选。 每个图要返回的链接数量上限。 默认值为 |
操作输出
获取图表详细信息操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
“支持请求墙”表格
获取图表详细信息操作可为每个富化实体提供下表:
表格名称:Graph ENTITY_ID Links
表列:
- 来源
- 目标
- 连接类型
JSON 结果
以下示例展示了使用 Get Graph Details 操作时收到的 JSON 结果输出:
{
"data": {
"attributes": {
"comments_count": 0,
"creation_date": 1603219837,
"graph_data": {
"description": "Example LLC",
"version": "api-5.0.0"
},
"last_modified_date": 1603219837,
"links": [
{
"connection_type": "last_serving_ip_address",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "last_serving_ip_address",
"source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "network_location",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "network_location",
"source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "communicating_files",
"source": "203.0.113.3",
"target": "relationships_communicating_files_20301133"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
}
],
"nodes": [
{
"entity_attributes": {
"has_detections": false
},
"entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 0,
"text": "",
"type": "url",
"x": 51.22276722115952,
"y": 65.7811310194184
},
{
"entity_attributes": {},
"entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 1,
"text": "",
"type": "relationship",
"x": 25.415664700492094,
"y": 37.66636498768037
},
{
"entity_attributes": {
"country": "US"
},
"entity_id": "203.0.113.3",
"fx": -19.03611541222395,
"fy": 24.958500220062717,
"index": 2,
"text": "",
"type": "ip_address",
"x": -19.03611541222395,
"y": 24.958500220062717
},
{
"entity_attributes": {},
"entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 3,
"text": "",
"type": "relationship",
"x": 14.37403861978968,
"y": 56.85562691824892
},
{
"entity_attributes": {},
"entity_id": "relationships_communicating_files_20301133",
"index": 4,
"text": "",
"type": "relationship",
"x": -51.78097726144755,
"y": 10.087893225996158
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
"index": 5,
"text": "",
"type": "file",
"x": -79.11606194776019,
"y": -18.475026322309112
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
"index": 6,
"text": "",
"type": "file",
"x": -64.80938048199627,
"y": 46.75892061191275
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
"index": 7,
"text": "",
"type": "file",
"x": -43.54064004476819,
"y": -28.547923020662786
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
"index": 8,
"text": "",
"type": "file",
"x": -15.529860440278318,
"y": -2.068209789825876
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
"index": 9,
"text": "",
"type": "file",
"x": -42.55971948293377,
"y": 46.937155845680415
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "html"
},
"entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
"index": 10,
"text": "",
"type": "file",
"x": -62.447976875107706,
"y": -28.172418384729067
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
"index": 11,
"text": "",
"type": "file",
"x": -89.0326649183805,
"y": -2.2638551448322484
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
"index": 12,
"text": "",
"type": "file",
"x": -26.35260716195174,
"y": -20.25669077264115
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
"index": 13,
"text": "",
"type": "file",
"x": -82.1415994911387,
"y": 34.89636762607467
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "ENTITY_ID",
"index": 14,
"text": "",
"type": "file",
"x": -90.87738694680043,
"y": 16.374462198116138
}
],
"private": false,
"views_count": 30
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
}
}
输出消息
获取图表详细信息操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Get Graph Details". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Get Graph Details 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
true 或 false |
获取相关网域
使用 Get Related Domains 操作从 VirusTotal 获取与所提供实体相关的网域。
此操作适用于以下 Google SecOps 实体:
DomainFile HashHostnameIP AddressURL
操作输入
获取相关网域操作需要以下参数:
| 参数 | 说明 |
|---|---|
Results |
可选。 用于汇总和分组返回的 JSON 结果的结构。 可能的值如下:
默认值为 |
Max Domains To Return |
可选。 要返回的网域数量上限。 如果您在 如果您在 默认值为 |
操作输出
获取相关网域操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用获取相关网域操作时收到的 JSON 结果输出:
{
"domain": ["example.com"]
}
输出消息
获取相关网域操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Get Related Domains". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Get Related Domains 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
true 或 false |
获取相关哈希
使用 Get Related Hashes 操作从 VirusTotal 获取与所提供实体相关的哈希。
此操作适用于以下 Google SecOps 实体:
DomainFile HashHostnameIP AddressURL
操作输入
获取相关哈希操作需要以下参数:
| 参数 | 说明 |
|---|---|
Results |
可选。 用于汇总和分组返回的 JSON 结果的结构。 可能的值如下:
默认值为 |
Max Hashes To Return |
可选。 要返回的文件哈希数量上限。 如果您在 如果您在 默认值为 |
操作输出
获取相关哈希操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用 Get Related Hashes 操作时收到的 JSON 结果输出:
{
"sha256_hashes": ["http://example.com"]
}
输出消息
获取相关哈希操作可能会返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Get Related Hashes". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Get Related Hashes 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
true 或 false |
获取相关 IP
使用 Get Related IPs 操作从 VirusTotal 获取与所提供实体相关的 IP 地址。
此操作适用于以下 Google SecOps 实体:
DomainFile HashHostnameURL
操作输入
获取相关 IP 操作需要以下参数:
| 参数 | 说明 |
|---|---|
Results |
可选。 用于汇总和分组返回的 JSON 结果的结构。 可能的值如下:
默认值为 |
Max IPs To Return |
可选。 要返回的 IP 地址数量上限。 如果您在 如果您在 默认值为 |
操作输出
获取相关 IP 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用获取相关 IP 操作时收到的 JSON 结果输出:
{
"ips": ["203.0.113.1"]
}
输出消息
获取相关 IP 操作可能会返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Get Related IPs". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Get Related IPs 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
true 或 false |
获取相关网址
使用 Get Related 网址s 操作从 VirusTotal 获取与所提供实体相关的网址。
此操作适用于以下 Google SecOps 实体:
DomainFile HashHostnameIP AddressURL
操作输入
获取相关网址操作需要以下参数:
| 参数 | 说明 |
|---|---|
Results |
可选。 用于汇总和分组返回的 JSON 结果的结构。 可能的值如下:
默认值为 |
Max URLs To Return |
可选。 要返回的网址数量上限。 如果您在 如果您在 默认值为 |
操作输出
获取相关网址操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用获取相关网址操作时收到的 JSON 结果输出:
{
"urls": ["http://example.com"]
}
输出消息
获取相关网址操作可能会返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Get Related URLs". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用获取相关网址操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
true 或 false |
Ping
使用 Ping 操作测试与 VirusTotal 的连接。
此操作不适用于 Google SecOps 实体。
操作输入
无。
操作输出
Ping 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
Ping 操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Failed to connect to the VirusTotal server! Error is
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Ping 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
true 或 false |
搜索实体图
使用搜索实体图操作,搜索基于 VirusTotal 中的实体的图。
此操作适用于以下 Google SecOps 实体:
DomainFile HashHostnameIP AddressThreat ActorURLUser
操作输入
搜索实体图操作需要以下参数:
| 参数 | 说明 |
|---|---|
Sort Field |
可选。 用于对返回的 VirusTotal 图进行排序和排序的字段。 可能的值如下:
默认值为 |
Max Graphs To Return |
可选。 要返回的图表数量上限。 默认值为 |
操作输出
搜索实体图操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用搜索实体图操作时收到的 JSON 结果输出:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
输出消息
搜索实体图操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Search Entity Graphs". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
搜索图表
使用 Search Graphs 操作可根据 VirusTotal 中的自定义过滤条件搜索图表。
此操作不适用于 Google SecOps 实体。
| 参数 | 说明 |
|---|---|
Query |
必填。 图表的查询过滤条件。 |
Sort Field |
可选。 用于对返回的 VirusTotal 图进行排序和排序的字段。 可能的值如下:
默认值为 |
Max Graphs To Return |
可选。 要返回的图表数量上限。 默认值为 |
如何创建查询
如需优化图搜索结果,请创建包含与图相关的修饰符的查询。为了改进搜索,您可以将修饰符与 AND、OR 和 NOT 运算符结合使用。
日期和数字字段支持加号 (+) 或减号 (-) 后缀。加号后缀表示匹配大于所提供的值的值。带有减号后缀的匹配项表示值小于提供的值。如果不带后缀,查询会返回完全匹配的结果。
如需定义范围,您可以在一个查询中多次使用同一修饰符。例如,如需搜索在 2018 年 11 月 15 日至 2018 年 11 月 20 日之间创建的图表,请使用以下查询:
creation_date:2018-11-15+ creation_date:2018-11-20-
对于以 0 开头的日期或月份,请移除查询中的 0 字符。
例如,将 2018-11-01 的日期格式设置为 2018-11-1。
图表相关修饰符
下表列出了可用于构建搜索查询的修饰符:
| 修饰符 | 说明 | 示例 |
|---|---|---|
Id |
按图表标识符过滤。 | id:g675a2fd4c8834e288af |
Name |
按图表名称过滤。 | name:Example-name |
Owner |
按用户拥有的图表进行过滤。 | owner:example_user |
Group |
按群组拥有的图表进行过滤。 | group:example |
Visible_to_user |
按用户可见的图表进行过滤。 | visible_to_user:example_user |
Visible_to_group |
按群组可见的图表进行过滤。 | visible_to_group:example |
Private |
按私有图过滤。 | private:true,private:false |
Creation_date |
按图表创建日期过滤。 | creation_date:2018-11-15 |
last_modified_date |
按图表的最新修改日期进行过滤。 | last_modified_date:2018-11-20 |
Total_nodes |
按包含特定数量节点的图表进行过滤。 | total_nodes:100 |
Comments_count |
按图表中的评论数量过滤。 | comments_count:10+ |
Views_count |
按图表浏览量过滤。 | views_count:1000+ |
Label |
按包含具有特定标签的节点的图表进行过滤。 | label:Kill switch |
File |
按包含特定文件的图表进行过滤。 | file:131f95c51cc819465fa17 |
Domain |
按包含特定网域的图表进行过滤。 | domain:example.com |
Ip_address |
按包含特定 IP 地址的图表进行过滤。 | ip_address:203.0.113.1 |
Url |
按包含特定网址的图表进行过滤。 | url:https://example.com/example/ |
Actor |
按包含特定演员的图表进行过滤。 | actor:example actor |
Victim |
按包含特定受害者的图表进行过滤。 | victim:example_user |
Email |
按包含特定电子邮件地址的图表进行过滤。 | email:user@example.com |
Department |
按包含特定部门的图表进行过滤。 | department:engineers |
操作输出
搜索图操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用 Search Graphs 操作时收到的 JSON 结果输出:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
输出消息
搜索图表操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Search Graphs". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Search Graphs 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
true 或 false |
搜索 IOC
使用 Search IOCs 操作在 VirusTotal 数据集中搜索 IOC。
此操作不适用于 Google SecOps 实体。
操作输入
搜索 IOC 操作需要以下参数:
| 参数 | 说明 |
|---|---|
Query |
必填。 用于过滤和搜索数据集中的 IOC 的查询字符串。 如需配置查询,请遵循适用于 VirusTotal Intelligence 界面的查询语法。 默认值为 |
Create Entities |
可选。 如果选择此项,则操作会为返回的 IOC 创建实体。 此操作不会扩充实体。 默认情况下,该环境处于停用状态。 |
Order By |
必填。 用于确定返回结果的主要排序条件的字段。 实体类型可以具有不同的排序字段。如需详细了解如何在 VirusTotal 中搜索文件,请参阅高级语料库搜索。 可能的值如下:
默认值为 |
Sort Order |
可选。 结果的排序顺序。 可能的值如下:
如果您在 默认值为 |
Max IOCs To Return |
可选。 要返回的 IoC 的数量上限。 最大值为 默认值为 |
操作输出
搜索 IOC 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例展示了使用搜索 IOC 操作时收到的 JSON 结果输出:
{
"data": [
{
"attributes": {
"type_description": "Email",
"tlsh": "T1B4D31F04BE452B3093E7238E064E6FDBAFCC135F6611F1C60881AAD6C5C77A2E57D689",
"exiftool": {
"MIMEType": "text/plain",
"FileType": "TXT",
"WordCount": "2668",
"LineCount": "1820",
"MIMEEncoding": "us-ascii",
"FileTypeExtension": "txt",
"Newlines": "Windows CRLF"
},
"type_tags": [
"internet",
"email"
],
"threat_severity": {
"threat_severity_level": "SEVERITY_HIGH",
"threat_severity_data": {
"num_gav_detections": 3,
"has_vulnerabilities": true,
"popular_threat_category": "trojan",
"type_tag": "email",
"has_embedded_ips_with_detections": true
},
"last_analysis_date": "1698050597",
"version": 2,
"level_description": "Severity HIGH because it was considered trojan. Other contributing factors were that it has known exploits, it contains embedded IPs with detections and it could not be run in sandboxes."
},
"names": [
"Re Example.eml"
],
"last_modification_date": 1698057197,
"type_tag": "email",
"times_submitted": 1,
"total_votes": {
"harmless": 0,
"malicious": 0
},
"size": 132299,
"popular_threat_classification": {
"suggested_threat_label": "obfsobjdat/malformed",
"popular_threat_name": [
{
"count": 8,
"value": "obfsobjdat"
},
{
"count": 2,
"value": "malformed"
}
]
},
"last_submission_date": 1698049979,
"last_analysis_results": {
"Bkav": {
"category": "undetected",
"engine_name": "Example1",
"engine_version": "2.0.0.1",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
"Lionic": {
"category": "undetected",
"engine_name": "Example2",
"engine_version": "7.5",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
},
"downloadable": true,
"trid": [
{
"file_type": "file seems to be plain text/ASCII",
"probability": 0
}
],
"sha256": "2d9df36964fe2e477e6e0f7a73391e4d4b2eeb0995dd488b431c4abfb4c27dbf",
"type_extension": "eml",
"tags": [
"exploit",
"cve-2018-0802",
"cve-2018-0798",
"email",
"cve-2017-11882"
],
"last_analysis_date": 1698049979,
"unique_sources": 1,
"first_submission_date": 1698049979,
"ssdeep": "768:MedEkBNnx8ueVV+fitChi9KbpK0fixbRwHbcElIK944tCVQOgzdsSuom+cWmsCGY:Meo+fitC0mKuixYxlI1OO1cSPo0gptA",
"md5": "bdfe36052e0c083869505ef4fd77e865",
"sha1": "3a350de97009efe517ceffcea406534bb1ab800c",
"magic": "SMTP mail, ASCII text, with CRLF line terminators",
"last_analysis_stats": {
"harmless": 0,
"type-unsupported": 16,
"suspicious": 0,
"confirmed-timeout": 0,
"timeout": 0,
"failure": 0,
"malicious": 28,
"undetected": 32
},
"meaningful_name": "Re Example.eml",
"reputation": 0
},
"type": "file",
"id": "ID",
"links": {
"self": "URL"
}
},
]
}
输出消息
搜索 IOC 操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Search IOCs". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Search IOCs 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
true 或 false |
提交文件
使用 Submit File 操作提交文件并从 VirusTotal 返回结果。
此操作不适用于 Google SecOps 实体。
操作输入
提交文件操作需要以下参数:
| 参数 | 说明 |
|---|---|
File Paths |
必填。 要提交的本地或远程服务器上绝对文件路径的英文逗号分隔列表。 如果您配置了 |
Engine Threshold |
可选。 必须将文件标记为恶意或可疑的引擎数量下限,才能将该文件视为可疑文件。 如果您配置 |
Engine Percentage Threshold |
可选。 必须将文件标记为恶意或可疑的引擎的最低百分比(从 如果您配置 如果您同时配置了 |
Engine Whitelist |
可选。 一个逗号分隔的引擎名称列表,用于指定在确定哈希是否为恶意哈希时要考虑的引擎。 此计算不包括不提供实体信息的引擎。 如果未提供值,则该操作会使用所有可用的引擎。 |
Retrieve Comments |
可选。 如果选中,该操作会从 VirusTotal 检索与文件关联的评论。 启用 默认处于启用状态。 |
Retrieve Sigma Analysis |
可选。 如果选中,该操作会检索文件的 Sigma 分析结果。 默认处于启用状态。 |
Max Comments To Return |
可选。 每次运行时,该操作检索的评论数量上限。 默认值为 |
Linux Server Address |
可选。 远程 Linux 服务器上源文件的网络位置(IP 地址或主机名)。 |
Linux Username |
可选。 远程 Linux 服务器的身份验证用户名。 |
Linux Password |
可选。 远程 Linux 服务器的身份验证密码。 |
Private Submission |
可选。 如果选中此选项,相应操作会以私密方式提交文件。 如需私密提交文件,您必须拥有 VirusTotal Premium 访问权限。 默认情况下,该环境处于停用状态。 |
Fetch MITRE Details |
可选。 如果选择此操作,系统会检索与哈希相关联的 MITRE ATT&CK 技术和策略。 默认情况下,该环境处于停用状态。 |
Lowest MITRE Technique Severity |
可选。 纳入结果中的 MITRE ATT&CK 技术的最低严重程度。 该操作将 可能的值如下:
默认值为 |
Retrieve AI Summary |
可选。 如果选择此操作,系统会检索文件的 AI 生成摘要。 此选项仅适用于非公开提交。 此参数尚处于实验阶段。 默认情况下,该环境处于停用状态。 |
操作输出
提交文件操作会提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 可用 |
| “支持请求墙”表格 | 可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
案例墙链接
提交文件操作可以返回以下链接:
名称:报告链接:PATH
值:URL
“支持请求墙”表格
提交文件操作可以为每个提交的文件提供下表:
表格名称:结果:PATH
表列:
- 名称
- 类别
- 方法
- 结果
对于每份包含注释的已提交文件,提交文件操作都可以提供下表:
表格名称:Comments:PATH
表列:
- 日期
- 备注
- 滥用投票
- 差评
- 好评
- ID
提交文件操作可以为具有 Sigma 分析结果的每个实体提供以下表格:
表格名称:Sigma 分析:ENTITY_ID
表列:
- ID
- 严重级别
- 来源
- Title
- 说明
- 匹配上下文
JSON 结果
以下示例展示了使用提交文件操作时收到的 JSON 结果输出:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
输出消息
提交文件操作可以返回以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Submit File". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表列出了使用 Submit File 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
true 或 false |
连接器
如需详细了解如何在 Google SecOps 中配置连接器,请参阅注入数据(连接器)。
VirusTotal - Livehunt 连接器
使用 VirusTotal - Livehunt 连接器提取有关 VirusTotal Livehunt 通知和相关文件的信息。
连接器规则
VirusTotal - Livehunt 连接器支持代理。
连接器输入源
VirusTotal - Livehunt 连接器需要以下参数:
| 参数 | 说明 |
|---|---|
API Key |
必填。 VirusTotal API 密钥。 |
Engine Percentage Threshold To Fetch |
必填。 安全引擎( 默认值为 |
Engine Whitelist |
可选。 一个逗号分隔的引擎名称列表,用于指定在确定哈希是否为恶意哈希时要考虑的引擎。 此计算不包括不提供实体信息的引擎。 如果未提供值,则该操作会使用所有可用的引擎。 |
Environment Field Name |
可选。 存储环境名称的字段的名称。 如果缺少环境字段,连接器将使用默认值。 默认值为 |
Environment Regex Pattern |
可选。 要对 使用默认值 如果正则表达式模式为 null 或空,或者环境值为 null,则最终环境结果为默认环境。 |
Event Field Name |
必填。 用于确定事件名称(子类型)的字段的名称。 默认值为 |
Max Hours Backwards |
可选。 要检索的提醒的回溯小时数。 此参数可应用于您首次启用连接器后的初始连接器迭代,也可作为过期连接器时间戳的回退值。 默认值为 |
Max Notifications To Fetch |
可选。 每次连接器运行中要处理的通知数量上限。 默认值为 |
Product Field Name |
必填。 存储商品名称的字段的名称。 商品名称主要会影响映射。为了简化和改进连接器的映射流程,默认值会解析为从代码引用的回退值。默认情况下,此参数的任何无效输入都会解析为回退值。 默认值为 |
Proxy Password |
可选。 用于代理服务器身份验证的密码。 |
Proxy Server Address |
可选。 要使用的代理服务器的地址。 |
Proxy Username |
可选。 用于代理服务器身份验证的用户名。 |
PythonProcessTimeout |
必填。 运行当前脚本的 Python 进程的超时时间限制(以秒为单位)。 默认值为 |
Use dynamic list as a blacklist |
可选。 如果选中此选项,连接器会将动态列表用作屏蔽列表。 默认情况下,该环境处于停用状态。 |
Verify SSL |
可选。 如果选择此项,集成会在连接到 VirusTotal 服务器时验证 SSL 证书。 默认处于启用状态。 |
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。