將 VirusTotal v3 與 Google SecOps 整合

整合版本:37.0

本文說明如何將 VirusTotal 第 3 版與 Google Security Operations (Google SecOps) 整合。

用途

VirusTotal v3 整合功能會使用 Google SecOps 功能,支援下列用途:

  • 檔案分析:將檔案雜湊或檔案提交至 VirusTotal 進行分析,並從多個防毒引擎擷取掃描結果,判斷提交的項目是否為惡意。

  • 網址分析:針對 VirusTotal 資料庫執行網址,找出潛在的惡意網站或網路釣魚網頁。

  • IP 位址分析:調查 IP 位址,找出信譽和任何相關聯的惡意活動。

  • 網域分析:分析網域名稱,找出信譽和任何相關聯的惡意活動,例如網路釣魚或散布惡意軟體。

  • 回溯搜尋:掃描 VirusTotal 歷來資料,找出先前標示為惡意的檔案、網址、IP 或網域。

  • 自動擴充:自動以威脅情報擴充資安事件資料。

  • 網路釣魚調查:將可疑電子郵件和附件提交至 VirusTotal 進行分析。

  • 惡意軟體分析:將惡意軟體樣本上傳至 VirusTotal 進行動態和靜態分析,並深入瞭解樣本的行為和潛在影響。

事前準備

在 Google SecOps 平台中設定整合功能前,請確認您具備下列項目:

  • VirusTotal Premium API:如要正常運作,這項整合功能需要訂閱 VirusTotal Premium API。

    如要進一步瞭解 API 層級差異,請參閱「公開與進階 API」。

  • API 金鑰:您必須先設定 VirusTotal API 金鑰,才能在 Google SecOps 中設定整合執行個體。

設定 VirusTotal API 金鑰

在 Google SecOps 中設定 VirusTotal v3 整合服務前,請先取得並複製 API 金鑰:

  1. 登入 VirusTotal 入口網站

  2. 前往「帳戶設定」,然後在使用者名稱或個人資料下方,按一下「API 金鑰」

  3. 複製產生的 API 金鑰。使用這組金鑰填入API Key 整合參數

整合參數

整合 VirusTotal v3 需要下列參數:

參數 說明
API Key

必填。

VirusTotal API 金鑰。
Verify SSL

選填。

如果選取這個選項,整合服務會在連線至 VirusTotal v3 伺服器時驗證 SSL 憑證。

(預設為啟用)。

如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。

如有需要,您可以在稍後階段進行變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。

動作

如要進一步瞭解動作,請參閱「 從工作台回覆待處理動作」和「執行手動動作」。

為實體新增註解

使用「Add Comment To Entity」動作,在 VirusTotal 中為實體新增註解。

這項動作會對下列 Google SecOps 實體執行:

  • Domain
  • File Hash
  • Hostname
  • IP Address
  • URL

動作輸入內容

「Add Comment To Entity」動作需要下列參數:

參數 說明
Comment

必填。

要新增至實體的註解。

動作輸出內容

「Add Comment To Entity」(為實體新增註解) 動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件總覽表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「Add Comment To Entity」動作時收到的 JSON 結果輸出內容:

{
   "Status": "Done"
}

{
   "Status": "Not done"
}
輸出訊息

「Add Comment To Entity」動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully added comments to the following entities in VirusTotal: ENTITY_ID.

Action wasn't able to add comments to the following entities in VirusTotal: ENTITY_ID.

No comments were added to the provided entities in VirusTotal.

動作成功。
Error executing action "Add Comment To Entity". Reason: ERROR_REASON

動作失敗。

請檢查伺服器連線、輸入參數或憑證。
指令碼結果

下表列出使用「為實體新增註解」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success truefalse

為實體新增投票

使用「Add Vote To Entity」(為實體新增投票) 動作,為 VirusTotal 中的實體新增投票。

這項動作會對下列 Google SecOps 實體執行:

  • Domain
  • File Hash
  • Hostname
  • IP Address
  • URL

動作輸入內容

「將投票新增至實體」動作需要下列參數:

參數 說明
Vote

必填。

要指派給實體聲譽的票數。

可能的值如下:

  • Harmless
  • Malicious

動作輸出內容

「Add Vote To Entity」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件總覽表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「將票數新增至實體」動作時收到的 JSON 結果輸出內容:

{
   "Status": "Done"
}

{
   "Status": "Not done"
}
輸出訊息

「Add Vote To Entity」動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully added votes to the following entities in VirusTotal: ENTITY_ID.

Action wasn't able to add votess to the following entities in VirusTotal: ENTITY_ID.

No votes were added to the provided entities in VirusTotal.

動作成功。
Error executing action "Add Vote To Entity". Reason: ERROR_REASON

動作失敗。

請檢查伺服器連線、輸入參數或憑證。
指令碼結果

下表列出使用「將票數新增至實體」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success truefalse

下載檔案

使用「下載檔案」動作,從 VirusTotal 下載檔案。

這項動作會在 Google SecOps File Hash 實體上執行。

動作輸入內容

「下載檔案」動作需要下列參數:

參數 說明
Download Folder Path

必填。

動作儲存下載檔案的資料夾路徑。
Overwrite

選填。

如果選取這個選項,系統會取代任何與新下載檔案同名的現有檔案。

(預設為啟用)。

動作輸出內容

「下載檔案」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件總覽表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「下載檔案」動作時收到的 JSON 結果輸出內容:

{
    "absolute_file_paths": ["file_path_1","file_path_2"]
}
輸出訊息

「下載檔案」動作可以傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully returned related files for the following entities in VirusTotal: ENTITY_ID.

No related files were found for the following entities in VirusTotal: ENTITY_ID.

No related files were found for the provided entities in VirusTotal.

 動作成功。
Error executing action "Download File". Reason: ERROR_REASON

動作失敗。

請檢查伺服器連線、輸入參數或憑證。

充實雜湊

使用「Enrich Hash」(擴充雜湊) 動作,透過 VirusTotal 的資訊擴充雜湊。

這項動作會在 Google SecOps File Hash 實體上執行。

動作輸入內容

Enrich Hash 動作需要下列參數:

參數 說明
Engine Threshold

選填。

實體必須由至少多少個引擎標示為惡意或可疑,才會被視為可疑。

如果設定 Engine Whitelist,動作只會包含指定引擎的結果。
Engine Percentage Threshold

選填。

引擎必須將實體標示為惡意或可疑,且標示的引擎百分比必須達到最低百分比 (含 0100),該實體才會被視為可疑。

如果設定 Engine Whitelist,動作只會包含指定引擎的結果。

如果同時設定 Engine ThresholdEngine Percentage Threshold,動作會使用 Engine Threshold 值。
Engine Whitelist

選填。

以半形逗號分隔的引擎名稱清單,用於判斷雜湊是否為惡意時,考量動作。

計算時會排除未提供實體資訊的引擎。

如未提供值,動作會使用所有可用的引擎。
Resubmit Hash

選填。

如果選取這個選項,系統會重新提交雜湊值進行分析,而非使用現有結果。

預設為停用。
Resubmit After (Days)

選填。

自上次分析起,重新提交雜湊前必須經過的天數下限。

只有在選取 Resubmit Hash 參數時,這個參數才適用。

預設值為 30
Retrieve Comments

選填。

如果選取這個選項,系統會從 VirusTotal 擷取與雜湊相關聯的留言。

(預設為啟用)。
Retrieve Sigma Analysis

選填。

如果選取這個動作,系統會擷取雜湊的 Sigma 分析結果。

(此為預設選項)。
Sandbox

選填。

以半形逗號分隔的沙箱環境清單,可用於行為分析。

如未設定值,動作會使用預設值。

預設值為 VirusTotal Jujubox
Retrieve Sandbox Analysis

選填。

如果選取這個選項,這項動作會擷取雜湊的沙箱分析結果,並在 JSON 輸出中為每個指定的沙箱建立個別區段。

(此為預設選項)。
Create Insight

選填。

如果選取這個動作,系統會產生含有雜湊分析資訊的安全洞察。

(預設為啟用)。
Only Suspicious Entity Insight

選填。

如果選取這項設定,系統只會針對根據設定的門檻參數判斷為可疑的雜湊值產生洞察資料。

只有在啟用 Create Insight 時,這項參數才會生效。

預設為停用。
Max Comments To Return

選填。

動作每次執行時擷取的留言數上限。

預設值為 10
Widget Theme

選填。

VirusTotal 小工具要使用的主題。

可能的值如下:

  • Light
  • Dark
  • Chronicle

預設值為 Dark
Fetch Widget

選填。

如果選取這個選項,動作會擷取並納入與案件總覽輸出內容中雜湊相關的視覺摘要小工具。

(預設為啟用)。
Fetch MITRE Details

選填。

選取後,這項動作會擷取與雜湊相關的 MITRE ATT&CK 技術和戰術。

預設為停用。
Lowest MITRE Technique Severity

選填。

MITRE ATT&CK 技術的最低嚴重程度,結果中會包含這類技術。這項動作會將 Unknown 嚴重程度視為 Info

可能的值如下:

  • High
  • Medium
  • Low
  • Info

預設值為 Low

動作輸出內容

「Enrich Hash」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 可用
案件總覽表格 可用
實體擴充資料表 可用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用

Enrich Hash 動作可為每個經過擴充的實體提供下列連結:

名稱:報表連結

值:URL

案件總覽表格

「Enrich Hash」動作可為每個經過擴充的實體提供下表:

資料表名稱:ENTITY_ID

資料表欄:

  • 名稱
  • 類別
  • 方法
  • 結果

「Enrich Hash」動作可為每個有註解的實體提供下表:

表格名稱:Comments:ENTITY_ID

資料表欄:

  • 日期
  • 註解
  • 濫用投票
  • 負評
  • 贊成票
  • ID

Enrich Hash 動作可為每個有 Sigma 分析結果的實體提供下表:

表格名稱:Sigma Analysis:ENTITY_ID

資料表欄:

  • ID
  • 嚴重性
  • 來源
  • 標題
  • 說明
  • 比對內容
實體擴充資料表

下表列出使用「Enrich Hash」動作擴充的欄位:

補充資料欄位名稱 適用性
VT3_id 如果 JSON 結果中提供這項資訊,就會套用。
VT3_magic 如果 JSON 結果中提供這項資訊,就會套用。
VT3_md5 如果 JSON 結果中提供這項資訊,就會套用。
VT3_sha1 如果 JSON 結果中提供這項資訊,就會套用。
VT3_sha256 如果 JSON 結果中提供這項資訊,就會套用。
VT3_ssdeep 如果 JSON 結果中提供這項資訊,就會套用。
VT3_tlsh 如果 JSON 結果中提供這項資訊,就會套用。
VT3_vhash 如果 JSON 結果中提供這項資訊,就會套用。
VT3_meaningful_name 如果 JSON 結果中提供這項資訊,就會套用。
VT3_magic 如果 JSON 結果中提供這項資訊,就會套用。
VT3_harmless_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_malicious_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_suspicious_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_undetected_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_reputation 如果 JSON 結果中提供這項資訊,就會套用。
VT3_tags 如果 JSON 結果中提供這項資訊,就會套用。
VT3_malicious_vote_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_harmless_vote_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_report_link 如果 JSON 結果中提供這項資訊,就會套用。
JSON 結果

以下範例顯示使用「Enrich Hash」動作時收到的 JSON 結果輸出內容:

{
    "data": {
        "attributes": {
            "categories": {
                "Dr.Web": "known infection source/not recommended site",
                "Forcepoint ThreatSeeker": "compromised websites",
                "sophos": "malware repository, spyware and malware"
            },
            "first_submission_date": 1582300443,
            "html_meta": {},
            "last_analysis_date": 1599853405,
            "last_analysis_results": {
                "EXAMPLELabs": {
                    "category": "harmless",
                    "engine_name": "EXAMPLELabs",
                    "method": "blacklist",
                    "result": "clean"
                },
                "Example": {
                    "category": "harmless",
                    "engine_name": "Example",
                    "method": "blacklist",
                    "result": "clean"
                },
            },
            "last_analysis_stats": {
                "harmless": 64,
                "malicious": 6,
                "suspicious": 1,
                "timeout": 0,
                "undetected": 8
            },
            "last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
            "last_http_response_code": 404,
            "last_http_response_content_length": 204,
            "last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
            "last_http_response_headers": {
                "connection": "keep-alive",
                "content-length": "204",
                "content-type": "text/html; charset=iso-8859-1",
                "date": "Fri, 11 Sep 2020 19:51:50 GMT",
                "keep-alive": "timeout=60",
                "server": "nginx"
            },
            "last_modification_date": 1599853921,
            "last_submission_date": 1599853405,
            "reputation": 0,
            "tags": [
                "ip"
            ],
            "targeted_brand": {},
            "threat_names": [
                "Mal/HTMLGen-A"
            ],
            "times_submitted": 3,
            "title": "404 Not Found",
            "total_votes": {
                "harmless": 0,
                "malicious": 0
            },
            "trackers": {},
            "url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
        },
        "id": "ID",
        "links": {
            "self": "https://www.virustotal.com/api/v3/urls/ID"
        },
        "type": "url",
        "comments": [
"text": "attributes/text",
"date": "attributes/date"
]
    }
    "is_risky": true

"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}]
}
輸出訊息

「Enrich Hash」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully enriched the following hashes using VirusTotal: ENTITY_IDS.

Action wasn't able to enrich the following hashes using VirusTotal: ENTITY_IDS.

No hashes were enriched.

The following whitelisted engines were not found in VirusTotal: ENGINE_NAMES.

 動作成功。
Error executing action "Enrich Hash". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「Enrich Hash」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success truefalse

充實 IOC

使用「Enrich IOC」(充實入侵指標) 動作,透過 VirusTotal 的資訊充實入侵指標 (IOC)。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「Enrich IOC」動作需要下列參數:

參數 說明
IOC Type

選填。

要擴充的 IoC 類型。

預設值為 Filehash

可能的值如下:

  • Filehash
  • URL
  • Domain
  • IP Address
IOCs

必填。

以半形逗號分隔的 IoC 清單,用於擴充資訊。
Widget Theme

選填。

VirusTotal 小工具要使用的主題。

可能的值如下:

  • Light
  • Dark
  • Chronicle

預設值為 Dark
Fetch Widget

選填。

如果選取這個選項,動作會擷取並納入案件總覽輸出中與 IoC 相關的視覺摘要小工具。

(預設為啟用)。

動作輸出內容

「Enrich IOC」(豐富 IOC) 動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 可用
案件總覽表格 可用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用

「Enrich IOC」動作可為每個經過擴充的實體提供下列連結:

名稱:報表連結

值:URL

案件總覽表格

「Enrich IOC」(豐富 IOC) 動作可為每個豐富的實體提供下表:

資料表名稱:IOC_ID

資料表欄:

  • 名稱
  • 類別
  • 方法
  • 結果
JSON 結果

以下範例顯示使用「Enrich IOC」動作時收到的 JSON 結果輸出內容:

{
    "ioc": {
        "identifier": "203.0.113.1",
        "details": {
            "attributes": {
                "categories": {
                    "Dr.Web": "known infection source/not recommended site",
                    "Forcepoint ThreatSeeker": "compromised websites",
                    "sophos": "malware repository, spyware and malware"
                },
                "first_submission_date": 1582300443,
                "html_meta": {},
                "last_analysis_date": 1599853405,
                "last_analysis_results": {
                    "EXAMPLELabs": {
                        "category": "harmless",
                        "engine_name": "EXAMPLELabs",
                        "method": "blacklist",
                        "result": "clean"
                    },
                    "Example": {
                        "category": "harmless",
                        "engine_name": "Example",
                        "method": "blacklist",
                        "result": "clean"
                    }
                },
                "last_analysis_stats": {
                    "harmless": 64,
                    "malicious": 6,
                    "suspicious": 1,
                    "timeout": 0,
                    "undetected": 8
                },
                "last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
                "last_http_response_code": 404,
                "last_http_response_content_length": 204,
                "last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
                "last_http_response_headers": {
                    "connection": "keep-alive",
                    "content-length": "204",
                    "content-type": "text/html; charset=iso-8859-1",
                    "date": "Fri, 11 Sep 2020 19:51:50 GMT",
                    "keep-alive": "timeout=60",
                    "server": "nginx"
                },
                "last_modification_date": 1599853921,
                "last_submission_date": 1599853405,
                "reputation": 0,
                "tags": [
                    "ip"
                ],
                "targeted_brand": {},
                "threat_names": [
                    "Mal/HTMLGen-A"
                ],
                "times_submitted": 3,
                "title": "404 Not Found",
                "total_votes": {
                    "harmless": 0,
                    "malicious": 0
                },
                "trackers": {},
                "url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
            },
            "id": "ID",
            "links": {
                "self": "https://www.virustotal.com/api/v3/urls/ID"
            },
            "type": "url",
        "report_link": "{generated report link}",
            "widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
        }
    }
}
輸出訊息

「Enrich IOC」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully enriched the following IOCs using VirusTotal: IOC_LIST

No information found for the following IOCs using VirusTotal: IOC_LIST

No information about IOCs were found

 動作成功。
Error executing action "Enrich IOC". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「Enrich IOC」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success truefalse

充實 IP

使用「Enrich IP」(豐富 IP) 動作,透過 VirusTotal 的資訊豐富 IP 位址。

這項動作會在 Google SecOps IP Address 實體上執行。

動作輸入內容

「Enrich IP」動作需要下列參數:

參數 說明
Engine Threshold

選填。

實體必須由至少多少個引擎標示為惡意或可疑,才會被視為可疑。

如果設定 Engine Whitelist,動作只會包含指定引擎的結果。
Engine Percentage Threshold

選填。

引擎必須將實體標示為惡意或可疑,且標示的引擎百分比必須達到最低百分比 (含 0100),該實體才會被視為可疑。

如果設定 Engine Whitelist,動作只會包含指定引擎的結果。

如果同時設定 Engine ThresholdEngine Percentage Threshold,動作會使用 Engine Threshold 值。
Engine Whitelist

選填。

以半形逗號分隔的引擎名稱清單,用於判斷雜湊是否為惡意時,考量動作。

計算時會排除未提供實體資訊的引擎。

如未提供值,動作會使用所有可用的引擎。
Retrieve Comments

選填。

如果選取這個選項,系統會從 VirusTotal 擷取與 IP 位址相關聯的留言。

(預設為啟用)。
Create Insight

選填。

選取後,這項動作會產生含有 IP 位址分析資訊的安全洞察。

(預設為啟用)。
Only Suspicious Entity Insight

選填。

如果選取這個選項,系統只會根據設定的門檻參數,針對判定為可疑的 IP 位址產生洞察資料。

只有在啟用 Create Insight 時,這項參數才會生效。

預設為停用。
Max Comments To Return

選填。

動作每次執行時擷取的留言數上限。

預設值為 10
Widget Theme

選填。

VirusTotal 小工具要使用的主題。

可能的值如下:

  • Light
  • Dark
  • Chronicle

預設值為 Dark
Fetch Widget

選填。

如果選取這個選項,系統會擷取與 IP 位址相關的視覺摘要小工具,並納入案件總覽輸出內容。

(預設為啟用)。

動作輸出內容

「Enrich IP」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 可用
案件總覽表格 可用
實體擴充資料表 可用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用

豐富 IP 動作可為每個豐富的實體提供下列連結:

名稱:報表連結

值:URL

案件總覽表格

「Enrich IP」(豐富 IP) 動作可為每個豐富的實體提供下表:

資料表名稱:ENTITY_ID

資料表欄:

  • 名稱
  • 類別
  • 方法
  • 結果

「Enrich IP」動作可為每個有註解的實體提供下表:

表格名稱:Comments:ENTITY_ID

資料表欄:

  • 日期
  • 註解
  • 濫用投票
  • 負評
  • 贊成票
  • ID
實體擴充資料表

下表列出使用「Enrich IP」動作擴充的欄位:

補充資料欄位名稱 適用性
VT3_id 如果 JSON 結果中提供這項資訊,就會套用。
VT3_owner 如果 JSON 結果中提供這項資訊,就會套用。
VT3_asn 如果 JSON 結果中提供這項資訊,就會套用。
VT3_continent 如果 JSON 結果中提供這項資訊,就會套用。
VT3_country 如果 JSON 結果中提供這項資訊,就會套用。
VT3_harmless_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_malicious_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_suspicious_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_undetected_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_certificate_valid_not_after 如果 JSON 結果中提供這項資訊,就會套用。
VT3_certificate_valid_not_before 如果 JSON 結果中提供這項資訊,就會套用。
VT3_reputation 如果 JSON 結果中提供這項資訊,就會套用。
VT3_tags 如果 JSON 結果中提供這項資訊,就會套用。
VT3_malicious_vote_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_harmless_vote_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_report_link 如果 JSON 結果中提供這項資訊,就會套用。
JSON 結果

以下範例顯示使用「Enrich IP」動作時收到的 JSON 結果輸出內容:

{
    "data": {
        "attributes": {
            "as_owner": "Example",
            "asn": 50673,
            "continent": "EU",
            "country": "NL",
            "last_analysis_results": {
                "EXAMPLELabs": {
                    "category": "harmless",
                    "engine_name": "ExampleLabs",
                    "method": "blacklist",
                    "result": "clean"
                },
                "example.com URL checker": {
                    "category": "harmless",
                    "engine_name": "example.com URL checker",
                    "method": "blacklist",
                    "result": "clean"
                },
                "example": {
                    "category": "harmless",
                    "engine_name": "example",
                    "method": "blacklist",
                    "result": "clean"
                },
                "example": {
                    "category": "harmless",
                    "engine_name": "example",
                    "method": "blacklist",
                    "result": "clean"
                }
            },
            "last_analysis_stats": {
                "harmless": 81,
                "malicious": 5,
                "suspicious": 1,
                "timeout": 0,
                "undetected": 8
            },
            "last_https_certificate": {
                "cert_signature": {
                    "signature": "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",
                    "signature_algorithm": "sha256RSA"
                },
                "extensions": {
                    "1.3.6.1.4.1.11129.2.4.2": "0481f200f00075007d3ef2f88fff88556824c2c0ca9e5289792bc50e78097f2e",
                    "CA": true,
                    "authority_key_identifier": {
                        "keyid": "KEY_ID"
                    },
                    "ca_information_access": {
                        "CA Issuers": "http://example.RSADomainValidationSecureServerCA.crt",
                        "OCSP": "http://example.com"
                    },
                    "certificate_policies": [
                        "1.3.6.1.4.1.6449.1.2.2.7",
                        "2.23.140.1.2.1"
                    ],
                    "extended_key_usage": [
                        "serverAuth",
                        "clientAuth"
                    ],
                    "key_usage": [
                        "ff"
                    ],
                    "subject_alternative_name": [
                        "example-panel.xyz",
                        "www.example-panel.xyz"
                    ],
                    "subject_key_identifier": "4f6429eaccd761eca91d9120b004f9d962453fef",
                    "tags": []
                },
                "issuer": {
                    "C": "US",
                    "CN": "Example RSA Domain Validation Secure Server CA",
                    "L": "Mountain View",
                    "O": "Example Ltd.",
                },
                "public_key": {
                    "algorithm": "RSA",
                    "rsa": {
                        "exponent": "010001",
                        "key_size": 2048,
                        "modulus": "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"
                    }
                },
                "serial_number": "248562d360bcc919bb97883f0dfc609d",
                "signature_algorithm": "sha256RSA",
                "size": 1472,
                "subject": {
                    "CN": "example-panel.xyz"
                },
                "tags": [],
                "thumbprint": "f9aae62cc9262302e45d94fcc512d65529ea1b31",
                "thumbprint_sha256": "406ac0efb0ef67de743b1ab0f4e0352564a7d5ebbd71e3a883c067acc3563016",
                "validity": {
                    "not_after": "2021-08-06 23:59:59",
                    "not_before": "2020-08-06 00:00:00"
                },
                "version": "V3"
            },
            "last_https_certificate_date": 1605415789,
            "last_modification_date": 1605430702,
            "network": "203.0.113.0/24",
            "regional_internet_registry": "EXAMPLE",
            "reputation": -95,
            "tags": [],
            "total_votes": {
                "harmless": 0,
                "malicious": 10
            },
            "whois": "NetRange: 203.0.113.0 - 203.0.113.255\nCIDR: 203.0.113.0/24\nNetName: EXAMPLE-5\nNetHandle: NET-203-0-113-0-1\nParent: ()\nNetType: Allocated to EXAMPLE\nOrig",
            "whois_date": 1603912270
        },
        "id": "203.0.113.1",
        "links": {
            "self": "https://www.virustotal.com/api/v3/ip_addresses/203.0.113.1"
        },
        "type": "ip_address"
        "comments": [
"text": "attributes/text",
"date": "attributes/date"
]
    }
    "is_risky": true
}
輸出訊息

「Enrich IP」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully enriched the following IPs using VirusTotal: ENTITY_ID

Action wasn't able to enrich the following IPs using VirusTotal: ENTITY_ID

No IPs were enriched.

The following whitelisted engines were not found in VirusTotal: ENGINE_NAMES

 動作成功。
Error executing action "Enrich IP". Reason: ERROR_REASON

動作失敗。

請檢查伺服器連線、輸入參數或憑證。
指令碼結果

下表列出使用「Enrich IP」(豐富 IP) 動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success truefalse

充實網址

使用「Enrich URL」(擴充網址) 動作,透過 VirusTotal 的資訊擴充網址。

這項動作會在 Google SecOps URL 實體上執行。

動作輸入內容

「Enrich URL」動作需要下列參數:

參數 說明
Engine Threshold

選填。

實體必須由至少多少個引擎標示為惡意或可疑,才會被視為可疑。

如果設定 Engine Whitelist,動作只會包含指定引擎的結果。
Engine Percentage Threshold

選填。

引擎必須將實體標示為惡意或可疑,且標示的引擎百分比必須達到最低百分比 (含 0100),該實體才會被視為可疑。

如果設定 Engine Whitelist,動作只會包含指定引擎的結果。

如果同時設定 Engine ThresholdEngine Percentage Threshold,動作會使用 Engine Threshold 值。
Engine Whitelist

選填。

以半形逗號分隔的引擎名稱清單,用於判斷雜湊是否為惡意時,考量動作。

計算時會排除未提供實體資訊的引擎。

如未提供值,動作會使用所有可用的引擎。
Resubmit URL

選填。

如果選取這個選項,系統會重新提交網址進行分析,而非使用現有結果。

預設為停用。
Resubmit After (Days)

選填。

自上次分析起,重新提交雜湊前必須經過的天數下限。

只有在選取 Resubmit Hash 參數時,這個參數才適用。

預設值為 30
Retrieve Comments

選填。

如果選取這個選項,這項動作會從 VirusTotal 擷取與網址相關聯的留言。

(預設為啟用)。
Create Insight

選填。

選取後,這項動作會產生安全洞察,其中包含網址的分析資訊。

(預設為啟用)。
Only Suspicious Entity Insight

選填。

如果選取這個選項,系統只會針對根據設定的門檻參數判斷為可疑的網址產生洞察資料。

只有在啟用 Create Insight 時,這項參數才會生效。

預設為停用。
Max Comments To Return

選填。

動作每次執行時擷取的留言數上限。

預設值為 10
Widget Theme

選填。

VirusTotal 小工具要使用的主題。

可能的值如下:

  • Light
  • Dark
  • Chronicle

預設值為 Dark
Fetch Widget

選填。

如果選取這個選項,動作會擷取並納入與案件總覽輸出內容中網址相關的視覺摘要小工具。

(預設為啟用)。

動作輸出內容

「豐富網址」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 可用
案件總覽表格 可用
實體擴充資料表 可用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用

Enrich URL 動作可為每個豐富化的實體提供下列連結:

名稱:報表連結

值:URL

案件總覽表格

擴充網址動作可為每個擴充實體提供下表:

資料表名稱:ENTITY_ID

資料表欄:

  • 名稱
  • 類別
  • 方法
  • 結果

「豐富網址」動作可為每個有註解的實體提供下表:

表格名稱:Comments:ENTITY_ID

資料表欄:

  • 日期
  • 註解
  • 濫用投票
  • 負評
  • 贊成票
  • ID
實體擴充資料表

下表列出使用「豐富網址」動作豐富的欄位:

補充資料欄位名稱 適用性
VT3_id 如果 JSON 結果中提供這項資訊,就會套用。
VT3_title 如果 JSON 結果中提供這項資訊,就會套用。
VT3_last_http_response_code 如果 JSON 結果中提供這項資訊,就會套用。
VT3_last_http_response_content_length 如果 JSON 結果中提供這項資訊,就會套用。
VT3_threat_names 如果 JSON 結果中提供這項資訊,就會套用。
VT3_harmless_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_malicious_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_suspicious_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_undetected_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_reputation 如果 JSON 結果中提供這項資訊,就會套用。
VT3_tags 如果 JSON 結果中提供這項資訊,就會套用。
VT3_malicious_vote_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_harmless_vote_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_report_link 如果 JSON 結果中提供這項資訊,就會套用。
JSON 結果

以下範例顯示使用「Enrich URL」動作時收到的 JSON 結果輸出內容:

{
    "data": {
        "attributes": {
            "categories": {
                "Dr.Web": "known infection source/not recommended site",
                "Forcepoint ThreatSeeker": "compromised websites",
                "sophos": "malware repository, spyware and malware"
            },
            "first_submission_date": 1582300443,
            "html_meta": {},
            "last_analysis_date": 1599853405,
            "last_analysis_results": {
                "AEXAMPLELabs": {
                    "category": "harmless",
                    "engine_name": "EXAMPLELabs",
                    "method": "blacklist",
                    "result": "clean"
                },
                "Example": {
                    "category": "harmless",
                    "engine_name": "Example",
                    "method": "blacklist",
                    "result": "clean"
                },
            },
            "last_analysis_stats": {
                "harmless": 64,
                "malicious": 6,
                "suspicious": 1,
                "timeout": 0,
                "undetected": 8
            },
            "last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
            "last_http_response_code": 404,
            "last_http_response_content_length": 204,
            "last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
            "last_http_response_headers": {
                "connection": "keep-alive",
                "content-length": "204",
                "content-type": "text/html; charset=iso-8859-1",
                "date": "Fri, 11 Sep 2020 19:51:50 GMT",
                "keep-alive": "timeout=60",
                "server": "nginx"
            },
            "last_modification_date": 1599853921,
            "last_submission_date": 1599853405,
            "reputation": 0,
            "tags": [
                "ip"
            ],
            "targeted_brand": {},
            "threat_names": [
                "Mal/HTMLGen-A"
            ],
            "times_submitted": 3,
            "title": "404 Not Found",
            "total_votes": {
                "harmless": 0,
                "malicious": 0
            },
            "trackers": {},
            "url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
        },
        "id": "ID",
        "links": {
            "self": "https://www.virustotal.com/api/v3/urls/ID"
        },
        "type": "url",
        "comments": [
"text": "attributes/text",
"date": "attributes/date"
]
    }
    "is_risky": true
}
輸出訊息

「Enrich URL」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully enriched the following URLs using VirusTotal: ENTITY_ID

Action wasn't able to enrich the following URLs using VirusTotal: ENTITY_ID

No URLs were enriched.

The following whitelisted engines were not found in VirusTotal: ENGINE_NAMES

Waiting for action to retrieve results for the following URLs: URLS

 動作成功。
Error executing action "Enrich URL". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「Enrich URL」(擴充網址) 動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success truefalse

取得網域詳細資料

使用「取得網域詳細資料」動作,透過 VirusTotal 的資訊擷取網域的詳細資訊。

這項動作會對下列 Google SecOps 實體執行:

  • Domain
  • Hostname
  • URL

動作輸入內容

「取得網域詳細資料」動作需要下列參數:

參數 說明
Engine Threshold

選填。

實體必須由至少多少個引擎標示為惡意或可疑,才會被視為可疑。

如果設定 Engine Whitelist,動作只會包含指定引擎的結果。
Engine Percentage Threshold

選填。

引擎必須將實體標示為惡意或可疑,且標示的引擎百分比必須達到最低百分比 (含 0100),該實體才會被視為可疑。

如果設定 Engine Whitelist,動作只會包含指定引擎的結果。

如果同時設定 Engine ThresholdEngine Percentage Threshold,動作會使用 Engine Threshold 值。
Engine Whitelist

選填。

以半形逗號分隔的引擎名稱清單,用於判斷雜湊是否為惡意時,考量動作。

計算時會排除未提供實體資訊的引擎。

如未提供值,動作會使用所有可用的引擎。
Retrieve Comments

選填。

如果選取這個選項,系統會從 VirusTotal 擷取與網域相關聯的留言。

(預設為啟用)。
Create Insight

選填。

選取後,這項動作會產生含有網域分析資訊的安全洞察。

(預設為啟用)。
Only Suspicious Entity Insight

選填。

如果選取這個選項,系統只會針對根據設定的門檻參數判斷為可疑的實體產生洞察資料。

只有在啟用 Create Insight 時,這項參數才會生效。

預設為停用。
Max Comments To Return

選填。

動作在每次執行期間,為網域擷取的留言數上限。

預設值為 10
Widget Theme

選填。

VirusTotal 小工具要使用的主題。

可能的值如下:

  • Light
  • Dark
  • Chronicle

預設值為 Dark
Fetch Widget

選填。

如果選取這個選項,動作會擷取與網域相關的視覺摘要小工具,並納入案件總覽輸出內容。

(預設為啟用)。

動作輸出內容

「取得網域詳細資料」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 可用
案件總覽表格 可用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用

「取得網域詳細資料」動作可為每個經過擴充的實體提供下列連結:

名稱:報表連結

值:URL

案件總覽表格

「取得網域詳細資料」動作可為每個經過擴充的實體提供下表:

資料表名稱:ENTITY_ID

資料表欄:

  • 名稱
  • 類別
  • 方法
  • 結果

「取得網域詳細資料」動作可為有留言的每個實體提供下表:

表格名稱:Comments:ENTITY_ID

資料表欄:

  • 日期
  • 註解
  • 濫用投票
  • 負評
  • 贊成票
  • ID
JSON 結果

以下範例顯示使用「取得網域詳細資料」動作時收到的 JSON 結果輸出內容:

{
    "data": {
        "attributes": {
            "categories": {
                "Dr.Web": "known infection source/not recommended site",
                "Forcepoint ThreatSeeker": "compromised websites",
                "sophos": "malware repository, spyware and malware"
            },
            "first_submission_date": 1582300443,
            "html_meta": {},
            "last_analysis_date": 1599853405,
            "last_analysis_results": {
                "EXAMPLELabs": {
                    "category": "harmless",
                    "engine_name": "EXAMPLELabs",
                    "method": "blacklist",
                    "result": "clean"
                },
                "Example": {
                    "category": "harmless",
                    "engine_name": "Example",
                    "method": "blacklist",
                    "result": "clean"
                },
            },
            "last_analysis_stats": {
                "harmless": 64,
                "malicious": 6,
                "suspicious": 1,
                "timeout": 0,
                "undetected": 8
            },
            "last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
            "last_http_response_code": 404,
            "last_http_response_content_length": 204,
            "last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
            "last_http_response_headers": {
                "connection": "keep-alive",
                "content-length": "204",
                "content-type": "text/html; charset=iso-8859-1",
                "date": "Fri, 11 Sep 2020 19:51:50 GMT",
                "keep-alive": "timeout=60",
                "server": "nginx"
            },
            "last_modification_date": 1599853921,
            "last_submission_date": 1599853405,
            "reputation": 0,
            "tags": [
                "ip"
            ],
            "targeted_brand": {},
            "threat_names": [
                "Mal/HTMLGen-A"
            ],
            "times_submitted": 3,
            "title": "404 Not Found",
            "total_votes": {
                "harmless": 0,
                "malicious": 0
            },
            "trackers": {},
            "url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
        },
        "id": "ID",
        "links": {
            "self": "https://www.virustotal.com/api/v3/urls/ID"
        },
        "type": "url",
        "comments": [
"text": "attributes/text",
"date": "attributes/date"
]
    }
    "is_risky": true
}
輸出訊息

「Get Domain Details」動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully returned details about the following domains using VirusTotal: DOMAINS

Action wasn't able to return details about the following domains using VirusTotal: DOMAINS

The following whitelisted engines were not found in VirusTotal: ENGINE_NAMES

 動作成功。
Error executing action "Get Domain Details". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「取得網域詳細資料」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success truefalse

取得圖表詳細資料

使用「Get Graph Details」(取得圖表詳細資料) 動作,取得 VirusTotal 中圖表的詳細資訊。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「取得圖表詳細資料」動作需要下列參數:

參數 說明
Graph ID

必填。

以半形逗號分隔的圖表 ID 清單,用於擷取詳細資料。
Max Links To Return

選填。

每個圖表要傳回的連結數量上限。

預設值為 50

動作輸出內容

「Get Graph Details」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件總覽表格 可用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
案件總覽表格

「取得圖表詳細資料」動作可為每個經過擴充的實體提供下表:

資料表名稱:圖表 ENTITY_ID 連結

資料表欄:

  • 來源
  • 目標
  • 連線類型
JSON 結果

以下範例顯示使用「Get Graph Details」動作時收到的 JSON 結果輸出內容:

{
    "data": {
        "attributes": {
            "comments_count": 0,
            "creation_date": 1603219837,
            "graph_data": {
                "description": "Example LLC",
                "version": "api-5.0.0"
            },
            "last_modified_date": 1603219837,
            "links": [
                {
                    "connection_type": "last_serving_ip_address",
                    "source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
                    "target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
                },
                {
                    "connection_type": "last_serving_ip_address",
                    "source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
                    "target": "203.0.113.3"
                },
                {
                    "connection_type": "network_location",
                    "source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
                    "target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
                },
                {
                    "connection_type": "network_location",
                    "source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
                    "target": "203.0.113.3"
                },
                {
                    "connection_type": "communicating_files",
                    "source": "203.0.113.3",
                    "target": "relationships_communicating_files_20301133"
                },
                {
                    "connection_type": "communicating_files",
                    "source": "relationships_communicating_files_20301133",
                    "target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
                },
                {
                    "connection_type": "communicating_files",
                    "source": "relationships_communicating_files_20301133",
                    "target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
                },
                {
                    "connection_type": "communicating_files",
                    "source": "relationships_communicating_files_20301133",
                    "target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
                },
                {
                    "connection_type": "communicating_files",
                    "source": "relationships_communicating_files_20301133",
                    "target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
                },
                {
                    "connection_type": "communicating_files",
                    "source": "relationships_communicating_files_20301133",
                    "target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
                },
                {
                    "connection_type": "communicating_files",
                    "source": "relationships_communicating_files_20301133",
                    "target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
                },
                {
                    "connection_type": "communicating_files",
                    "source": "relationships_communicating_files_20301133",
                    "target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
                },
                {
                    "connection_type": "communicating_files",
                    "source": "relationships_communicating_files_20301133",
                    "target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
                },
                {
                    "connection_type": "communicating_files",
                    "source": "relationships_communicating_files_20301133",
                    "target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
                },
                {
                    "connection_type": "communicating_files",
                    "source": "relationships_communicating_files_20301133",
                    "target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
                }
            ],
            "nodes": [
                {
                    "entity_attributes": {
                        "has_detections": false
                    },
                    "entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
                    "index": 0,
                    "text": "",
                    "type": "url",
                    "x": 51.22276722115952,
                    "y": 65.7811310194184
                },
                {
                    "entity_attributes": {},
                    "entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
                    "index": 1,
                    "text": "",
                    "type": "relationship",
                    "x": 25.415664700492094,
                    "y": 37.66636498768037
                },
                {
                    "entity_attributes": {
                        "country": "US"
                    },
                    "entity_id": "203.0.113.3",
                    "fx": -19.03611541222395,
                    "fy": 24.958500220062717,
                    "index": 2,
                    "text": "",
                    "type": "ip_address",
                    "x": -19.03611541222395,
                    "y": 24.958500220062717
                },
                {
                    "entity_attributes": {},
                    "entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
                    "index": 3,
                    "text": "",
                    "type": "relationship",
                    "x": 14.37403861978968,
                    "y": 56.85562691824892
                },
                {
                    "entity_attributes": {},
                    "entity_id": "relationships_communicating_files_20301133",
                    "index": 4,
                    "text": "",
                    "type": "relationship",
                    "x": -51.78097726144755,
                    "y": 10.087893225996158
                },
                {
                    "entity_attributes": {
                        "has_detections": true,
                        "type_tag": "peexe"
                    },
                    "entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
                    "index": 5,
                    "text": "",
                    "type": "file",
                    "x": -79.11606194776019,
                    "y": -18.475026322309112
                },
                {
                    "entity_attributes": {
                        "has_detections": true,
                        "type_tag": "peexe"
                    },
                    "entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
                    "index": 6,
                    "text": "",
                    "type": "file",
                    "x": -64.80938048199627,
                    "y": 46.75892061191275
                },
                {
                    "entity_attributes": {
                        "has_detections": true,
                        "type_tag": "android"
                    },
                    "entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
                    "index": 7,
                    "text": "",
                    "type": "file",
                    "x": -43.54064004476819,
                    "y": -28.547923020662786
                },
                {
                    "entity_attributes": {
                        "has_detections": true,
                        "type_tag": "android"
                    },
                    "entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
                    "index": 8,
                    "text": "",
                    "type": "file",
                    "x": -15.529860440278318,
                    "y": -2.068209789825876
                },
                {
                    "entity_attributes": {
                        "has_detections": true,
                        "type_tag": "android"
                    },
                    "entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
                    "index": 9,
                    "text": "",
                    "type": "file",
                    "x": -42.55971948293377,
                    "y": 46.937155845680415
                },
                {
                    "entity_attributes": {
                        "has_detections": true,
                        "type_tag": "html"
                    },
                    "entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
                    "index": 10,
                    "text": "",
                    "type": "file",
                    "x": -62.447976875107706,
                    "y": -28.172418384729067
                },
                {
                    "entity_attributes": {
                        "has_detections": true,
                        "type_tag": "android"
                    },
                    "entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
                    "index": 11,
                    "text": "",
                    "type": "file",
                    "x": -89.0326649183805,
                    "y": -2.2638551448322484
                },
                {
                    "entity_attributes": {
                        "has_detections": true,
                        "type_tag": "android"
                    },
                    "entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
                    "index": 12,
                    "text": "",
                    "type": "file",
                    "x": -26.35260716195174,
                    "y": -20.25669077264115
                },
                {
                    "entity_attributes": {
                        "has_detections": true,
                        "type_tag": "android"
                    },
                    "entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
                    "index": 13,
                    "text": "",
                    "type": "file",
                    "x": -82.1415994911387,
                    "y": 34.89636762607467
                },
                {
                    "entity_attributes": {
                        "has_detections": true,
                        "type_tag": "android"
                    },
                    "entity_id": "ENTITY_ID",
                    "index": 14,
                    "text": "",
                    "type": "file",
                    "x": -90.87738694680043,
                    "y": 16.374462198116138
                }
            ],
            "private": false,
            "views_count": 30
        },
        "id": "ID",
        "links": {
            "self": "https://www.virustotal.com/api/v3/graphs/ID"
        },
        "type": "graph"
    }
}
輸出訊息

「Get Graph Details」動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully returned details about the following graphs in VirusTotal: GRAPH_IDS

Action wasn't able to return details about the following graphs in VirusTotal: GRAPH_IDS

No information about the provided graphs was found.

 動作成功。
Error executing action "Get Graph Details". Reason: ERROR_REASON

動作失敗。

請檢查伺服器連線、輸入參數或憑證。
指令碼結果

下表列出使用「取得圖表詳細資料」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success truefalse

使用「Get Related Domains」(取得相關網域) 動作,從 VirusTotal 取得與所提供實體相關的網域。

這項動作會對下列 Google SecOps 實體執行:

  • Domain
  • File Hash
  • Hostname
  • IP Address
  • URL

動作輸入內容

「取得相關網域」動作需要下列參數:

參數 說明
Results

選填。

用來匯總及分組傳回的 JSON 結果的結構。

可能的值如下:

  • Combined:這項動作會傳回所提供實體的所有不重複結果。
  • Per Entity:這項動作會傳回每個實體的所有不重複項目。

預設值為 Combined
Max Domains To Return

選填。

要傳回的網域數量上限。

如果您在 Results 參數中選取 Combined,動作會傳回所有實體的設定網域數量。

如果您在 Results 參數中選取 Per Entity,動作會傳回每個實體的設定網域數量。

預設值為 40

動作輸出內容

「取得相關網域」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件總覽表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「取得相關網域」動作時收到的 JSON 結果輸出內容:

{
    "domain": ["example.com"]
}
輸出訊息

「Get Related Domains」(取得相關網域) 動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully returned related domains for the provided entities from VirusTotal.

No related domains were found for the provided entities from VirusTotal.

 動作成功。
Error executing action "Get Related Domains". Reason: ERROR_REASON

動作失敗。

請檢查伺服器連線、輸入參數或憑證。
指令碼結果

下表列出使用「取得相關網域」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success truefalse

使用「Get Related Hashes」(取得相關雜湊) 動作,從 VirusTotal 取得與所提供實體相關的雜湊。

這項動作會對下列 Google SecOps 實體執行:

  • Domain
  • File Hash
  • Hostname
  • IP Address
  • URL

動作輸入內容

「取得相關雜湊值」動作需要下列參數:

參數 說明
Results

選填。

用來匯總及分組傳回的 JSON 結果的結構。

可能的值如下:

  • Combined:這項動作會傳回所提供實體的所有不重複結果。
  • Per Entity:這項動作會傳回每個實體的所有不重複項目。

預設值為 Combined
Max Hashes To Return

選填。

要傳回的檔案雜湊值數量上限。

如果您在 Results 參數中選取 Combined,動作會傳回所有實體的設定雜湊數量。

如果您在 Results 參數中選取 Per Entity,動作會傳回每個實體的設定雜湊數。

預設值為 40

動作輸出內容

「取得相關雜湊」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件總覽表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「取得相關雜湊」動作時收到的 JSON 結果輸出內容:

{
    "sha256_hashes": ["http://example.com"]
}
輸出訊息

「Get Related Hashes」(取得相關雜湊) 動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully returned related hashes for the provided entities from VirusTotal.

No related hashes were found for the provided entities from VirusTotal.

 動作成功。
Error executing action "Get Related Hashes". Reason: ERROR_REASON

動作失敗。

請檢查伺服器連線、輸入參數或憑證。
指令碼結果

下表列出使用「取得相關雜湊」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success truefalse

使用「Get Related IPs」(取得相關 IP) 動作,從 VirusTotal 取得與所提供實體相關的 IP 位址。

這項動作會對下列 Google SecOps 實體執行:

  • Domain
  • File Hash
  • Hostname
  • URL

動作輸入內容

「取得相關 IP」動作需要下列參數:

參數 說明
Results

選填。

用來匯總及分組傳回的 JSON 結果的結構。

可能的值如下:

  • Combined:這項動作會傳回所提供實體的所有不重複結果。
  • Per Entity:這項動作會傳回每個實體的所有不重複項目。

預設值為 Combined
Max IPs To Return

選填。

要傳回的 IP 位址數量上限。

如果您在 Results 參數中選取 Combined,動作會傳回所有實體的設定 IP 位址數量。

如果您在 Results 參數中選取 Per Entity,動作會傳回每個實體設定的 IP 位址數量。

預設值為 40

動作輸出內容

「取得相關 IP」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件總覽表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「取得相關 IP」動作時收到的 JSON 結果輸出內容:

{
    "ips": ["203.0.113.1"]
}
輸出訊息

「取得相關 IP」動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully returned related IPs to the provided entities from VirusTotal.

No related IPs were found to the provided entities from VirusTotal.

 動作成功。
Error executing action "Get Related IPs". Reason: ERROR_REASON

動作失敗。

請檢查伺服器連線、輸入參數或憑證。
指令碼結果

下表列出使用「取得相關 IP」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success truefalse

使用「Get Related URLs」(取得相關網址) 動作,從 VirusTotal 取得與所提供實體相關的網址。

這項動作會對下列 Google SecOps 實體執行:

  • Domain
  • File Hash
  • Hostname
  • IP Address
  • URL

動作輸入內容

「取得相關網址」動作需要下列參數:

參數 說明
Results

選填。

用來匯總及分組傳回的 JSON 結果的結構。

可能的值如下:

  • Combined:這項動作會傳回所提供實體的所有不重複結果。
  • Per Entity:這項動作會傳回每個實體的所有不重複項目。

預設值為 Combined
Max URLs To Return

選填。

要傳回的網址數量上限。

如果您在 Results 參數中選取 Combined,動作會傳回所有實體的設定網址數量。

如果您在 Results 參數中選取 Per Entity,動作會傳回每個實體的設定網址數量。

預設值為 40

動作輸出內容

「取得相關網址」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件總覽表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「取得相關網址」動作時收到的 JSON 結果輸出內容:

{
    "urls": ["http://example.com"]
}
輸出訊息

「取得相關網址」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully returned related URLs to the provided entities from VirusTotal.

No related URLs were found to the provided entities from VirusTotal.

 動作成功。
Error executing action "Get Related URLs". Reason: ERROR_REASON

動作失敗。

請檢查伺服器連線、輸入參數或憑證。
指令碼結果

下表列出使用「取得相關網址」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success truefalse

乒乓

使用「Ping」動作測試與 VirusTotal 的連線。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

動作輸出內容

「Ping」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件總覽表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「Ping」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully connected to the VirusTotal server with the provided connection parameters!

 動作成功。
Failed to connect to the VirusTotal server! Error is ERROR_REASON

動作失敗。

請檢查伺服器連線、輸入參數或憑證。
指令碼結果

下表列出使用「Ping」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success truefalse

搜尋實體圖表

使用「Search Entity Graphs」動作,根據 VirusTotal 中的實體搜尋圖表。

這項動作會對下列 Google SecOps 實體執行:

  • Domain
  • File Hash
  • Hostname
  • IP Address
  • Threat Actor
  • URL
  • User

動作輸入內容

「搜尋實體圖表」動作需要下列參數:

參數 說明
Sort Field

選填。

用於排序及排序傳回的 VirusTotal 圖表的欄位。

可能的值如下:

  • Owner
  • Creation Date
  • Last Modified Date
  • Views Count
  • Comments Count

預設值為 Owner
Max Graphs To Return

選填。

要傳回的圖表數量上限。

預設值為 10

動作輸出內容

「搜尋實體圖」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件總覽表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「搜尋實體圖形」動作時收到的 JSON 結果輸出內容:

{
    "data": [
        {
            "attributes": {
                "graph_data": {
                    "description": "EXAMPLE",
                    "version": "5.0.0"
                }
            },
            "id": "ID",
            "links": {
                "self": "https://www.virustotal.com/api/v3/graphs/ID"
            },
            "type": "graph"
        },
        {
            "attributes": {
                "graph_data": {
                    "description": "Example Feb2020",
                    "version": "5.0.0"
                }
            },
            "id": "ID_2",
            "links": {
                "self": "https://www.virustotal.com/api/v3/graphs/ID_2"
            },
            "type": "graph"
        }
    ],
    "links": {
        "next": "https://www.virustotal",
        "self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
    },
    "meta": {
        "cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
    }
}
輸出訊息

「搜尋實體圖形」動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully returned graphs based on the provided entities in VirusTotal.

Action wasn't able to successfully return graph based on the provided entities on VirusTotal. Reason: ERROR_REASON.

No graphs were found for the provided entities.

 動作成功。
Error executing action "Search Entity Graphs". Reason: ERROR_REASON

動作失敗。

請檢查伺服器連線、輸入參數或憑證。

搜尋圖表

使用「搜尋圖表」動作,根據 VirusTotal 中的自訂篩選器搜尋圖表。

這項操作不會在 Google SecOps 實體上執行。

參數 說明
Query

必填。

圖表的查詢篩選器。

如要進一步瞭解查詢,請參閱「如何建立查詢」和「圖表相關修飾符」。
Sort Field

選填。

用於排序及排序傳回的 VirusTotal 圖表的欄位。

可能的值如下:

  • Owner
  • Creation Date
  • Last Modified Date
  • Views Count
  • Comments Count

預設值為 Owner
Max Graphs To Return

選填。

要傳回的圖表數量上限。

預設值為 10

如何建立查詢

如要縮小圖形搜尋結果範圍,請建立包含圖形相關修飾符的查詢。如要改善搜尋結果,可以將修飾符與 ANDORNOT 運算子合併使用。

日期和數字欄位支援加號 (+) 或減號 (-) 後置字元。加號後置字元可比對大於指定值的項目。負號後置字元會比對小於提供的值。如果沒有後置字元,查詢會傳回完全相符的結果。

如要定義範圍,您可以在查詢中多次使用相同的修飾符。舉例來說,如要搜尋 2018 年 11 月 15 日至 2018 年 11 月 20 日之間建立的圖表,請使用下列查詢:

creation_date:2018-11-15+ creation_date:2018-11-20-

如果日期或月份以 0 開頭,請移除查詢中的 0 字元。 舉例來說,您可以將 2018 年 11 月 1 日的日期格式設為 2018-11-1

下表列出可用來建構搜尋查詢的修飾符:

修飾詞 說明 範例
Id 依圖表 ID 篩選。 id:g675a2fd4c8834e288af
Name 依圖表名稱篩選。 name:Example-name
Owner 篩選使用者擁有的圖表。 owner:example_user
Group 依群組擁有的圖表篩選。 group:example
Visible_to_user 依使用者可見的圖表篩選。 visible_to_user:example_user
Visible_to_group 依群組可見的圖表篩選。 visible_to_group:example
Private 依私有圖表篩選。 private:trueprivate:false
Creation_date 依圖表建立日期篩選。 creation_date:2018-11-15
last_modified_date 依圖表上次修改日期篩選。 last_modified_date:2018-11-20
Total_nodes 依含有特定節點數量的圖表進行篩選。 total_nodes:100
Comments_count 依圖表中的留言數篩選。 comments_count:10+
Views_count 依圖表瀏覽次數篩選。 views_count:1000+
Label 依含有特定標籤節點的圖表篩選。 label:Kill switch
File 篩選含有特定檔案的圖表。 file:131f95c51cc819465fa17
Domain 篩選含有特定網域的圖表。 domain:example.com
Ip_address 篩選包含特定 IP 位址的圖表。 ip_address:203.0.113.1
Url 篩選含有特定網址的圖表。 url:https://example.com/example/
Actor 篩選出包含特定演員的圖表。 actor:example actor
Victim 篩選出含有特定受害者的圖表。 victim:example_user
Email 篩選包含特定電子郵件地址的圖表。 email:user@example.com
Department 篩選含有特定部門的圖表。 department:engineers

動作輸出內容

「搜尋圖表」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件總覽表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「搜尋圖表」動作時收到的 JSON 結果輸出內容:

{
    "data": [
        {
            "attributes": {
                "graph_data": {
                    "description": "EXAMPLE",
                    "version": "5.0.0"
                }
            },
            "id": "ID",
            "links": {
                "self": "https://www.virustotal.com/api/v3/graphs/ID"
            },
            "type": "graph"
        },
        {
            "attributes": {
                "graph_data": {
                    "description": "Example Feb2020",
                    "version": "5.0.0"
                }
            },
            "id": "ID_2",
            "links": {
                "self": "https://www.virustotal.com/api/v3/graphs/ID_2"
            },
            "type": "graph"
        }
    ],
    "links": {
        "next": "https://www.virustotal",
        "self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
    },
    "meta": {
        "cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
    }
}
輸出訊息

「搜尋圖表」動作可以傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully returned graphs for the provided query in VirusTotal.

Action wasn't able to successfully return graph for the provided query in VirusTotal. Reason: ERROR_REASON.

No graphs were found for the provided query.

 動作成功。
Error executing action "Search Graphs". Reason: ERROR_REASON

動作失敗。

請檢查伺服器連線、輸入參數或憑證。
指令碼結果

下表列出使用「搜尋圖表」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success truefalse

搜尋 IOC

使用「Search IOCs」動作,在 VirusTotal 資料集中搜尋 IOC。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「搜尋 IOC」動作需要下列參數:

參數 說明
Query

必填。

用於篩選及搜尋資料集中 IOC 的查詢字串。

如要設定查詢,請按照適用於 VirusTotal Intelligence 使用者介面的查詢語法操作。

預設值為 ""
Create Entities

選填。

如果選取這個選項,這項動作會為傳回的 IOC 建立實體。

這項操作不會擴充實體。

預設為停用。
Order By

必填。

用來決定傳回結果的主要排序條件。

實體類型可以有不同的排序欄位。如要進一步瞭解如何在 VirusTotal 中搜尋檔案,請參閱「進階語料庫搜尋」。

可能的值如下:

  • Use Default Order
  • Last Submission Date
  • First Submission Date
  • Positives
  • Times Submitted
  • Creation Date
  • Last Modification Date Last Update Date

預設值為 Use Default Order
Sort Order

選填。

結果的排序順序。

可能的值如下:

  • Ascending
  • Descending

如果您在 Order By 參數中選取 Use Default Order,動作會忽略這個參數。

預設值為 Descending
Max IOCs To Return

選填。

要傳回的 IOC 數量上限。

最大值為 300

預設值為 10

動作輸出內容

「搜尋 IOC」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件總覽表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「搜尋 IOC」動作時收到的 JSON 結果輸出內容:

{
  "data": [
    {
      "attributes": {
        "type_description": "Email",
        "tlsh": "T1B4D31F04BE452B3093E7238E064E6FDBAFCC135F6611F1C60881AAD6C5C77A2E57D689",
        "exiftool": {
          "MIMEType": "text/plain",
          "FileType": "TXT",
          "WordCount": "2668",
          "LineCount": "1820",
          "MIMEEncoding": "us-ascii",
          "FileTypeExtension": "txt",
          "Newlines": "Windows CRLF"
        },
        "type_tags": [
          "internet",
          "email"
        ],
        "threat_severity": {
          "threat_severity_level": "SEVERITY_HIGH",
          "threat_severity_data": {
            "num_gav_detections": 3,
            "has_vulnerabilities": true,
            "popular_threat_category": "trojan",
            "type_tag": "email",
            "has_embedded_ips_with_detections": true
          },
          "last_analysis_date": "1698050597",
          "version": 2,
          "level_description": "Severity HIGH because it was considered trojan. Other contributing factors were that it has known exploits, it contains embedded IPs with detections and it could not be run in sandboxes."
        },
        "names": [
          "Re Example.eml"
        ],
        "last_modification_date": 1698057197,
        "type_tag": "email",
        "times_submitted": 1,
        "total_votes": {
          "harmless": 0,
          "malicious": 0
        },
        "size": 132299,
        "popular_threat_classification": {
          "suggested_threat_label": "obfsobjdat/malformed",
          "popular_threat_name": [
            {
              "count": 8,
              "value": "obfsobjdat"
            },
            {
              "count": 2,
              "value": "malformed"
            }
          ]
        },
        "last_submission_date": 1698049979,
        "last_analysis_results": {
          "Bkav": {
            "category": "undetected",
            "engine_name": "Example1",
            "engine_version": "2.0.0.1",
            "result": null,
            "method": "blacklist",
            "engine_update": "20231023"
          },
          "Lionic": {
            "category": "undetected",
            "engine_name": "Example2",
            "engine_version": "7.5",
            "result": null,
            "method": "blacklist",
            "engine_update": "20231023"
          },
        },
        "downloadable": true,
        "trid": [
          {
            "file_type": "file seems to be plain text/ASCII",
            "probability": 0
          }
        ],
        "sha256": "2d9df36964fe2e477e6e0f7a73391e4d4b2eeb0995dd488b431c4abfb4c27dbf",
        "type_extension": "eml",
        "tags": [
          "exploit",
          "cve-2018-0802",
          "cve-2018-0798",
          "email",
          "cve-2017-11882"
        ],
        "last_analysis_date": 1698049979,
        "unique_sources": 1,
        "first_submission_date": 1698049979,
        "ssdeep": "768:MedEkBNnx8ueVV+fitChi9KbpK0fixbRwHbcElIK944tCVQOgzdsSuom+cWmsCGY:Meo+fitC0mKuixYxlI1OO1cSPo0gptA",
        "md5": "bdfe36052e0c083869505ef4fd77e865",
        "sha1": "3a350de97009efe517ceffcea406534bb1ab800c",
        "magic": "SMTP mail, ASCII text, with CRLF line terminators",
        "last_analysis_stats": {
          "harmless": 0,
          "type-unsupported": 16,
          "suspicious": 0,
          "confirmed-timeout": 0,
          "timeout": 0,
          "failure": 0,
          "malicious": 28,
          "undetected": 32
        },
        "meaningful_name": "Re Example.eml",
        "reputation": 0
      },
      "type": "file",
      "id": "ID",
      "links": {
        "self": "URL"
      }
    },
  ]
}

輸出訊息

「搜尋 IOC」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully returned IOCs based on the provided query from VirusTotal.

The following IOCs were not created as new entities, as they already exist in the system: IOC_LIST

No IOCs were found for the provided query.

 動作成功。
Error executing action "Search IOCs". Reason: ERROR_REASON

動作失敗。

請檢查伺服器連線、輸入參數或憑證。
指令碼結果

下表列出使用「搜尋 IOC」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success truefalse

提交檔案

使用「提交檔案」動作提交檔案,並從 VirusTotal 傳回結果。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「提交檔案」動作需要下列參數:

參數 說明
File Paths

必填。

以半形逗號分隔的清單,列出要提交的本機或遠端伺服器絕對檔案路徑。

如果您設定 Linux Server Address,動作會嘗試從遠端伺服器擷取檔案。
Engine Threshold

選填。

檔案必須由最少數量的引擎標示為惡意或可疑,才會被視為可疑。

如果設定 Engine Whitelist,動作只會包含指定引擎的結果。
Engine Percentage Threshold

選填。

檔案必須由至少 0% 到 100% (含) 的引擎標示為惡意或可疑,才會被視為可疑。

如果設定 Engine Whitelist,動作只會包含指定引擎的結果。

如果同時設定 Engine ThresholdEngine Percentage Threshold,動作會使用 Engine Threshold 值。
Engine Whitelist

選填。

以半形逗號分隔的引擎名稱清單,用於判斷雜湊是否為惡意時,考量動作。

計算時會排除未提供實體資訊的引擎。

如未提供值,動作會使用所有可用的引擎。
Retrieve Comments

選填。

如果選取這項動作,系統會從 VirusTotal 擷取與檔案相關聯的留言。

啟用 Private Submission 時,系統不會擷取留言。

(預設為啟用)。
Retrieve Sigma Analysis

選填。

如果選取這個選項,動作會擷取檔案的 Sigma 分析結果。

(預設為啟用)。
Max Comments To Return

選填。

每次執行動作時,動作擷取的留言數量上限。

預設值為 50
Linux Server Address

選填。

遠端 Linux 伺服器上來源檔案的網路位置 (IP 位址或主機名稱)。
Linux Username

選填。

遠端 Linux 伺服器的驗證使用者名稱。
Linux Password

選填。

遠端 Linux 伺服器的驗證密碼。
Private Submission

選填。

選取後,系統會私下提交檔案。

如要私下提交檔案,必須具備 VirusTotal Premium 存取權。

預設為停用。
Fetch MITRE Details

選填。

選取後,這項動作會擷取與雜湊相關的 MITRE ATT&CK 技術和戰術。

預設為停用。
Lowest MITRE Technique Severity

選填。

將 MITRE ATT&CK 技術納入結果的最低嚴重程度。

這個動作會將 Unknown 視為 Info

可能的值如下:

  • High
  • Medium
  • Low
  • Info

預設值為 Low
Retrieve AI Summary

選填。

選取後,系統會擷取檔案的 AI 生成摘要。

這個選項僅適用於私人提交內容。

這項參數屬於實驗性質。

預設為停用。

動作輸出內容

「提交檔案」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 可用
案件總覽表格 可用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用

「提交檔案」動作可以傳回下列連結:

名稱:報表連結:PATH

值:URL

案件總覽表格

「提交檔案」動作可為每個提交的檔案提供下表:

表格名稱:Results: PATH

資料表欄:

  • 名稱
  • 類別
  • 方法
  • 結果

如果提交的檔案含有註解,系統會針對每個檔案提供下表:提交檔案動作

表格名稱:Comments:PATH

資料表欄:

  • 日期
  • 註解
  • 濫用投票
  • 負評
  • 贊成票
  • ID

「提交檔案」動作可為每個有 Sigma 分析結果的實體提供下表:

表格名稱:Sigma Analysis:ENTITY_ID

資料表欄:

  • ID
  • 嚴重性
  • 來源
  • 標題
  • 說明
  • 比對內容
JSON 結果

以下範例顯示使用「提交檔案」動作時收到的 JSON 結果輸出內容:

{
    "data": {
        "attributes": {
            "categories": {
                "Dr.Web": "known infection source/not recommended site",
                "Forcepoint ThreatSeeker": "compromised websites",
                "sophos": "malware repository, spyware and malware"
            },
            "first_submission_date": 1582300443,
            "html_meta": {},
            "last_analysis_date": 1599853405,
            "last_analysis_results": {
                "EXAMPLELabs": {
                    "category": "harmless",
                    "engine_name": "EXAMPLELabs",
                    "method": "blacklist",
                    "result": "clean"
                },
                "Example": {
                    "category": "harmless",
                    "engine_name": "Example",
                    "method": "blacklist",
                    "result": "clean"
                },
            },
            "last_analysis_stats": {
                "harmless": 64,
                "malicious": 6,
                "suspicious": 1,
                "timeout": 0,
                "undetected": 8
            },
            "last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
            "last_http_response_code": 404,
            "last_http_response_content_length": 204,
            "last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
            "last_http_response_headers": {
                "connection": "keep-alive",
                "content-length": "204",
                "content-type": "text/html; charset=iso-8859-1",
                "date": "Fri, 11 Sep 2020 19:51:50 GMT",
                "keep-alive": "timeout=60",
                "server": "nginx"
            },
            "last_modification_date": 1599853921,
            "last_submission_date": 1599853405,
            "reputation": 0,
            "tags": [
                "ip"
            ],
            "targeted_brand": {},
            "threat_names": [
                "Mal/HTMLGen-A"
            ],
            "times_submitted": 3,
            "title": "404 Not Found",
            "total_votes": {
                "harmless": 0,
                "malicious": 0
            },
            "trackers": {},
            "url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
        },
        "id": "ID",
        "links": {
            "self": "https://www.virustotal.com/api/v3/urls/ID"
        },
        "type": "url",
        "comments": [
"text": "attributes/text",
"date": "attributes/date"
]
    }
    "is_risky": true
}
輸出訊息

「提交檔案」動作可以傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully returned details about the following files using VirusTotal: PATHS

Action wasn't able to return details about the following files using VirusTotal: PATHS

No details about the files were retrieved.

The following whitelisted engines were not found in VirusTotal: ENGINE_NAMES

Waiting for results for the following files: PATHS

 動作成功。
Error executing action "Submit File". Reason: ERROR_REASON

動作失敗。

請檢查伺服器連線、輸入參數或憑證。
指令碼結果

下表列出使用「提交檔案」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success truefalse

連接器

如要進一步瞭解如何在 Google SecOps 中設定連接器,請參閱「擷取資料 (連接器)」。

VirusTotal - Livehunt Connector

使用 VirusTotal - Livehunt 連接器,擷取有關 VirusTotal Livehunt 通知和相關檔案的資訊。

連接器規則

VirusTotal - Livehunt 連接器支援 Proxy。

連接器輸入內容

「VirusTotal - Livehunt Connector」需要下列參數:

參數 說明
API Key

必填。

VirusTotal API 金鑰。
Engine Percentage Threshold To Fetch

必填。

安全引擎 (0100) 必須將檔案標示為惡意或可疑,連線器才會擷取檔案,此為最低百分比門檻。

預設值為 0
Engine Whitelist

選填。

以半形逗號分隔的引擎名稱清單,用於判斷雜湊是否為惡意時,考量動作。

計算時會排除未提供實體資訊的引擎。

如未提供值,動作會使用所有可用的引擎。
Environment Field Name

選填。

儲存環境名稱的欄位名稱。

如果缺少環境欄位,連接器會使用預設值。

預設值為 ""
Environment Regex Pattern

選填。

要在「Environment Field Name」欄位中找到的值上執行的規則運算式模式。這個參數可讓您使用規則運算式邏輯,操控環境欄位。

使用預設值 .* 擷取必要的原始 Environment Field Name 值。

如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。
Event Field Name

必填。

決定事件名稱 (子類型) 的欄位名稱。

預設值為 type
Max Hours Backwards

選填。

要擷取快訊的回溯時數。

這個參數可套用至首次啟用連接器後的初始連接器疊代,或套用至過期連接器時間戳記的回溯值。

預設值為 1
Max Notifications To Fetch

選填。

每次執行連接器時要處理的通知數量上限。

預設值為 40
Product Field Name

必填。

儲存產品名稱的欄位名稱。

產品名稱主要會影響對應。為簡化及改善連接器的對應程序,預設值會解析為程式碼參照的回退值。這個參數的任何無效輸入內容,預設都會解析為備用值。

預設值為 Product Name
Proxy Password

選填。

Proxy 伺服器驗證的密碼。
Proxy Server Address

選填。

要使用的 Proxy 伺服器位址。
Proxy Username

選填。

Proxy 伺服器驗證的使用者名稱。
PythonProcessTimeout

必填。

執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。

預設值為 180
Use dynamic list as a blacklist

選填。

如果選取這個選項,連接器會將動態清單做為封鎖清單。

預設為停用。
Verify SSL

選填。

如果選取這個選項,整合服務會在連線至 VirusTotal 伺服器時驗證 SSL 憑證。

(預設為啟用)。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。