VirusTotal v3 in Google SecOps einbinden
In diesem Dokument wird beschrieben, wie Sie VirusTotal v3 in Google Security Operations (Google SecOps) einbinden.
Integrationsversion: 34.0
Für diese Integration wird die VirusTotal API v3 verwendet. Weitere Informationen zur VirusTotal API v3 finden Sie in der Übersicht zur VirusTotal API v3.
In dieser Integration werden eine oder mehrere Open-Source-Komponenten verwendet. Sie können eine gezippte Kopie des vollständigen Quellcodes dieser Integration aus dem Cloud Storage-Bucket herunterladen.
Anwendungsfälle
Die VirusTotal v3-Integration kann Ihnen bei den folgenden Anwendungsfällen helfen:
Dateianalyse: Mit den Google SecOps-Funktionen können Sie einen Dateihash oder eine Datei zur Analyse an VirusTotal senden und Scanergebnisse von mehreren Antivirenprogrammen abrufen, um festzustellen, ob das gesendete Element schädlich ist.
URL-Analyse: Mit den Google SecOps-Funktionen können Sie eine URL mit der VirusTotal-Datenbank abgleichen, um potenziell schädliche Websites oder Phishing-Seiten zu identifizieren.
IP-Adressanalyse: Nutzen Sie die Google SecOps-Funktionen, um eine IP-Adresse zu untersuchen und ihren Ruf sowie alle damit verbundenen schädlichen Aktivitäten zu ermitteln.
Domainanalyse: Nutzen Sie die Google SecOps-Funktionen, um einen Domainnamen zu analysieren und seinen Ruf sowie alle damit verbundenen schädlichen Aktivitäten wie Phishing oder Malware-Verbreitung zu ermitteln.
Retrohunting: Mit den Google SecOps-Funktionen können Sie die VirusTotal-Verlaufsdaten nach Dateien, URLs, IP-Adressen oder Domains durchsuchen, die zuvor als schädlich gekennzeichnet wurden.
Automatisierte Anreicherung: Nutzen Sie die Google SecOps-Funktionen, um Vorfalldaten automatisch mit Informationen zu Bedrohungen anzureichern.
Phishing-Untersuchung: Mit den Google SecOps-Funktionen können Sie verdächtige E‑Mails und Anhänge analysieren, indem Sie sie zur Analyse an VirusTotal senden.
Malware-Analyse: Mit den Google SecOps-Funktionen können Sie Malware-Beispiele zur dynamischen und statischen Analyse in VirusTotal hochladen und Informationen zum Verhalten und zur potenziellen Auswirkung der Beispiele erhalten.
Hinweise
Damit diese Integration richtig funktioniert, ist die VirusTotal Premium API erforderlich. Weitere Informationen zur VirusTotal Premium API finden Sie unter Public vs Premium API.
Bevor Sie die VirusTotal v3-Integration in Google SecOps konfigurieren, müssen Sie einen API-Schlüssel in VirusTotal konfigurieren.
Führen Sie die folgenden Schritte aus, um den API-Schlüssel zu konfigurieren:
- Melden Sie sich im VirusTotal-Portal an.
- Klicken Sie unter Ihrem Nutzernamen auf API-Schlüssel.
- Kopieren Sie den generierten API-Schlüssel, um ihn in den Integrationsparametern zu verwenden.
- Klicken Sie auf Speichern.
Integrationsparameter
Für die VirusTotal v3-Integration sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
API Key |
Erforderlich. Der VirusTotal API-Schlüssel. |
Verify SSL |
Optional. Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zu VirusTotal validiert. Standardmäßig ausgewählt. |
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
Aktionen
Weitere Informationen zu Aktionen finden Sie unter Auf ausstehende Aktionen in „Mein Arbeitsbereich“ reagieren und Manuelle Aktion ausführen.
Kommentar zu Entität hinzufügen
Mit der Aktion Add Comment To Entity (Kommentar zu Entität hinzufügen) können Sie Entitäten in VirusTotal einen Kommentar hinzufügen.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
File HashHostnameIP AddressURL
Für diese Aktion werden nur die MD5-, SHA-1- und SHA-256-Hashes unterstützt.
Aktionseingaben
Für die Aktion Add Comment To Entity (Kommentar zu Rechtssubjekt hinzufügen) sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Comment |
Erforderlich. Ein Kommentar, der Entitäten hinzugefügt werden soll. |
Aktionsausgaben
Die Aktion Add Comment To Entity (Kommentar zur Entität hinzufügen) gibt Folgendes aus:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel sehen Sie die JSON-Ergebnisausgaben, die bei Verwendung der Aktion Add Comment To Entity (Kommentar zu Rechtssubjekt hinzufügen) empfangen werden:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Ausgabemeldungen
Die Aktion Add Comment To Entity kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Add Comment To Entity". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Add Comment To Entity (Kommentar zu Einheit hinzufügen) aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Entität eine Stimme geben
Mit der Aktion Add Vote To Entity (Stimme für Entität hinzufügen) können Sie Entitäten in VirusTotal eine Stimme hinzufügen.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
File HashHostnameIP AddressURL
Für diese Aktion werden nur die MD5-, SHA-1- und SHA-256-Hashes unterstützt.
Aktionseingaben
Für die Aktion Add Vote To Entity sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Vote |
Erforderlich. Eine Stimme, die Entitäten hinzugefügt werden soll. Folgende Werte sind möglich:
|
Aktionsausgaben
Die Aktion Add Vote To Entity (Stimme für Entität hinzufügen) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel sehen Sie die JSON-Ausgabe, die bei Verwendung der Aktion Add Vote To Entity (Stimme für Rechtssubjekt hinzufügen) zurückgegeben wird:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Ausgabemeldungen
Die Aktion Add Vote To Entity (Stimme für Entität hinzufügen) kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Add Vote To Entity". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Add Vote To Entity verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Datei herunterladen
Mit der Aktion Datei herunterladen können Sie eine Datei von VirusTotal herunterladen.
Für die Ausführung der Aktion Datei herunterladen ist VirusTotal Enterprise (VTE) erforderlich.
Diese Aktion wird für die Google SecOps-Hash-Entität ausgeführt.
Für diese Aktion werden nur die MD5-, SHA-1- und SHA-256-Hashes unterstützt.
Aktionseingaben
Für die Aktion Datei herunterladen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Download Folder Path |
Erforderlich. Der Pfad zum Ordner, in dem heruntergeladene Dateien gespeichert werden sollen. |
Overwrite |
Optional. Wenn diese Option ausgewählt ist, wird eine vorhandene Datei mit der neuen Datei überschrieben, wenn die Dateinamen identisch sind. Standardmäßig ausgewählt. |
Aktionsausgaben
Die Aktion Datei herunterladen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Datei herunterladen empfangen wird:
{
"absolute_file_paths": ["file_path_1","file_path_2"]
}
Ausgabemeldungen
Die Aktion Datei herunterladen kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Download File". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Hash anreichern
Mit der Aktion Hash anreichern können Sie Hashes mit Informationen von VirusTotal anreichern.
Diese Aktion wird für die Google SecOps-Hash-Entität ausgeführt.
Für diese Aktion werden nur die MD5-, SHA-1- und SHA-256-Hashes unterstützt.
Aktionseingaben
Für die Aktion Hash anreichern sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Engine Threshold |
Optional. Die Mindestanzahl von Engines, die eine Entität als schädlich oder verdächtig einstufen müssen, damit sie als verdächtig gilt. Wenn Sie |
Engine Percentage Threshold |
Optional. Der Mindestprozentsatz der Engines, die die Entität als schädlich oder verdächtig markieren müssen, damit die Entität als verdächtig gilt. Wenn Sie Die gültigen Werte für diesen Parameter liegen zwischen |
Engine Whitelist |
Optional. Eine durch Kommas getrennte Liste von Engine-Namen, die bei der Entscheidung, ob ein Hash schädlich ist, für die Aktion berücksichtigt werden sollen. Wenn Sie keinen Wert festlegen, werden alle verfügbaren Engines verwendet. Bei der Berechnung des Grenzwerts werden keine Engines berücksichtigt, die keine Informationen zu Entitäten liefern. |
Resubmit Hash |
Optional. Wenn diese Option ausgewählt ist, wird der Hash zur Analyse noch einmal gesendet, anstatt vorhandene Ergebnisse zu verwenden. Diese Option ist standardmäßig nicht ausgewählt. |
Resubmit After (Days) |
Optional. Die Anzahl der Tage, nach denen der Hash nach der letzten Analyse noch einmal eingereicht werden kann. Dieser Parameter gilt nur, wenn Sie den Parameter Der Standardwert ist |
Retrieve Comments |
Optional. Wenn diese Option ausgewählt ist, werden Kommentare abgerufen, die mit dem Hash verknüpft sind. Standardmäßig ausgewählt. |
Retrieve Sigma Analysis |
Optional. Wenn diese Option ausgewählt ist, ruft die Aktion die Sigma-Analyseergebnisse für den Hash ab. Standardmäßig ausgewählt. |
Sandbox |
Optional. Eine durch Kommas getrennte Liste von Sandbox-Umgebungen, die für die Verhaltensanalyse verwendet werden sollen. Wenn Sie keinen Wert festlegen, wird der Standardwert verwendet. Der Standardwert ist |
Retrieve Sandbox Analysis |
Optional. Wenn diese Option ausgewählt ist, ruft die Aktion Sandbox-Analyseergebnisse für den Hash ab und erstellt für jede angegebene Sandbox einen separaten Bereich in der JSON-Ausgabe. Standardmäßig ausgewählt. |
Create Insight |
Optional. Wenn diese Option ausgewählt ist, wird durch die Aktion ein Insight erstellt, der Informationen zum analysierten Hash enthält. Standardmäßig ausgewählt. |
Only Suspicious Entity Insight |
Optional. Wenn diese Option ausgewählt ist, werden nur für Hashes, die aufgrund der Schwellenwertparameter als verdächtig eingestuft werden, Statistiken generiert. Dieser Parameter gilt nur, wenn Sie den Parameter Diese Option ist standardmäßig nicht ausgewählt. |
Max Comments To Return |
Optional. Die maximale Anzahl der Kommentare, die für jede Aktionsausführung abgerufen werden sollen. Der Standardwert ist |
Widget Theme |
Optional. Das Design, das für das VirusTotal-Widget verwendet werden soll. Der Standardwert ist Folgende Werte sind möglich:
|
Fetch Widget |
Optional. Wenn diese Option ausgewählt ist, wird mit der Aktion ein erweitertes Widget abgerufen, das mit dem Hash verknüpft ist. Standardmäßig ausgewählt. |
Fetch MITRE Details |
Optional. Wenn diese Option ausgewählt ist, ruft die Aktion MITRE ATT&CK-Techniken und ‑Taktiken ab, die mit dem Hash zusammenhängen. Diese Option ist standardmäßig nicht ausgewählt. |
Lowest MITRE Technique Severity |
Optional. Der Mindestschweregrad für eine MITRE-ATT&CK-Technik, die in die Ergebnisse aufgenommen werden soll. Bei der Aktion wird die Schwere Folgende Werte sind möglich:
Der Standardwert ist |
Aktionsausgaben
Die Aktion Hash anreichern liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Tabelle zur Elementanreicherung | Verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Link zum Fall‑Repository
Mit der Aktion Hash anreichern kann für jede angereicherte Einheit der folgende Link bereitgestellt werden:
Name: Berichtslink
Wert: URL
Tabelle „Fall-Repository“
Die Aktion Hash anreichern kann für jede angereicherte Entität die folgende Tabelle bereitstellen:
Tabellenname: ENTITY_ID
Tabellenspalten:
- Name
- Kategorie
- Methode
- Ergebnis
Mit der Aktion Hash anreichern kann für jede Einheit mit Kommentaren die folgende Tabelle erstellt werden:
Tabellenname: Kommentare: ENTITY_ID
Tabellenspalten:
- Datum
- Kommentar
- Missbrauchsmeldungen
- Negative Bewertungen
- Positive Bewertungen
- ID
Mit der Aktion Hash anreichern kann für jede Einheit, für die die Sigma-Analyseergebnisse vorliegen, die folgende Tabelle erstellt werden:
Tabellenname: Sigma-Analyse: ENTITY_ID
Tabellenspalten:
- ID
- Schweregrad
- Quelle
- Titel
- Beschreibung
- Kontext des Abgleichs
Tabelle zur Elementanreicherung
In der folgenden Tabelle sind die Felder aufgeführt, die mit der Aktion Hash anreichern angereichert werden:
| Name des Anreicherungsfelds | Gültigkeit |
|---|---|
VT3_id |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_magic |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_md5 |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_sha1 |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_sha256 |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_ssdeep |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_tlsh |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_vhash |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_meaningful_name |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_magic |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_harmless_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_malicious_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_suspicious_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_undetected_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_reputation |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_tags |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_malicious_vote_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_harmless_vote_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_report_link |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Hash anreichern empfangen wird:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}]
}
Ausgabemeldungen
Die Aktion Hash anreichern kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Enrich Hash". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Hash anreichern aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
IOC anreichern
Verwenden Sie die Aktion IOC anreichern, um die Indicators of Compromise (IOCs) mit Informationen von VirusTotal anzureichern.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion IOC anreichern sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
IOC Type |
Optional. Der Typ des anzureichernden IOC. Der Standardwert ist Folgende Werte sind möglich:
|
IOCs |
Erforderlich. Eine durch Kommas getrennte Liste der zu erweiternden IOCs. |
Widget Theme |
Optional. Das für das Widget zu verwendende Design. Der Standardwert ist Folgende Werte sind möglich:
|
Fetch Widget |
Optional. Wenn diese Option ausgewählt ist, wird das Widget für den IOC abgerufen. Standardmäßig ausgewählt. |
Aktionsausgaben
Die Aktion IOC anreichern liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Link zum Fall‑Repository
Die Aktion IOC anreichern kann für jede angereicherte Einheit den folgenden Link bereitstellen:
Name: Berichtslink
Wert: URL
Tabelle „Fall-Repository“
Die Aktion IOC anreichern kann für jede angereicherte Einheit die folgende Tabelle bereitstellen:
Tabellenname: IOC_ID
Tabellenspalten:
- Name
- Kategorie
- Methode
- Ergebnis
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion IOC anreichern empfangen wird:
{
"ioc": {
"identifier": "203.0.113.1",
"details": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"report_link": "{generated report link}",
"widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
}
}
}
Ausgabemeldungen
Die Aktion Ping kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Enrich IOC". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion IOC anreichern aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
IP anreichern
Mit der Aktion IP anreichern können Sie IP-Adressen mit Informationen von VirusTotal anreichern.
Diese Aktion wird für die Google SecOps-IP Address-Entität ausgeführt.
Aktionseingaben
Für die Aktion IP anreichern sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Engine Threshold |
Optional. Die Mindestanzahl von Engines, die eine Entität als schädlich oder verdächtig einstufen müssen, damit sie als verdächtig gilt. Wenn Sie |
Engine Percentage Threshold |
Optional. Der Mindestprozentsatz der Engines, die die Entität als schädlich oder verdächtig einstufen müssen, damit sie als verdächtig gilt. Wenn Sie den Parameter Die gültigen Werte für diesen Parameter liegen zwischen |
Engine Whitelist |
Optional. Eine durch Kommas getrennte Liste von Engine-Namen, die bei der Entscheidung, ob ein Hash schädlich ist, für die Aktion berücksichtigt werden sollen. Wenn Sie keinen Wert festlegen, werden alle verfügbaren Engines verwendet. Bei der Berechnung des Grenzwerts werden keine Engines berücksichtigt, die keine Informationen zu Entitäten liefern. |
Retrieve Comments |
Optional. Wenn diese Option ausgewählt ist, werden Kommentare abgerufen, die mit dem Hash verknüpft sind. Standardmäßig ausgewählt. |
Create Insight |
Optional. Wenn diese Option ausgewählt ist, wird durch die Aktion ein Insight erstellt, der Informationen zum analysierten Hash enthält. Standardmäßig ausgewählt. |
Only Suspicious Entity Insight |
Optional. Wenn diese Option ausgewählt ist, werden nur für Hashes, die aufgrund der Schwellenwertparameter als verdächtig eingestuft werden, Statistiken generiert. Dieser Parameter gilt nur, wenn Sie den Parameter Diese Option ist standardmäßig nicht ausgewählt. |
Max Comments To Return |
Optional. Die maximale Anzahl der Kommentare, die für jede Aktionsausführung abgerufen werden sollen. Der Standardwert ist |
Widget Theme |
Optional. Das Design, das für das VirusTotal-Widget verwendet werden soll. Der Standardwert ist Folgende Werte sind möglich:
|
Fetch Widget |
Optional. Wenn diese Option ausgewählt ist, wird mit der Aktion ein erweitertes Widget abgerufen, das mit dem Hash verknüpft ist. Standardmäßig ausgewählt. |
Aktionsausgaben
Die Aktion IP anreichern liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Tabelle zur Elementanreicherung | Verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Link zum Fall‑Repository
Die Aktion IP anreichern kann für jede angereicherte Einheit den folgenden Link bereitstellen:
Name: Berichtslink
Wert: URL
Tabelle „Fall-Repository“
Die Aktion IP anreichern kann für jede angereicherte Einheit die folgende Tabelle bereitstellen:
Tabellenname: ENTITY_ID
Tabellenspalten:
- Name
- Kategorie
- Methode
- Ergebnis
Die Aktion IP anreichern kann für jede Einheit mit Kommentaren die folgende Tabelle bereitstellen:
Tabellenname: Kommentare: ENTITY_ID
Tabellenspalten:
- Datum
- Kommentar
- Missbrauchsmeldungen
- Negative Bewertungen
- Positive Bewertungen
- ID
Tabelle zur Elementanreicherung
In der folgenden Tabelle sind die Felder aufgeführt, die mit der Aktion IP anreichern angereichert werden:
| Name des Anreicherungsfelds | Gültigkeit |
|---|---|
VT3_id |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_owner |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_asn |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_continent |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_country |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_harmless_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_malicious_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_suspicious_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_undetected_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_certificate_valid_not_after |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_certificate_valid_not_before |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_reputation |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_tags |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_malicious_vote_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_harmless_vote_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_report_link |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ausgabe, die bei Verwendung der Aktion IP anreichern empfangen wird:
{
"data": {
"attributes": {
"as_owner": "Example",
"asn": 50673,
"continent": "EU",
"country": "NL",
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "ExampleLabs",
"method": "blacklist",
"result": "clean"
},
"example.com URL checker": {
"category": "harmless",
"engine_name": "example.com URL checker",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 81,
"malicious": 5,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_https_certificate": {
"cert_signature": {
"signature": "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",
"signature_algorithm": "sha256RSA"
},
"extensions": {
"1.3.6.1.4.1.11129.2.4.2": "0481f200f00075007d3ef2f88fff88556824c2c0ca9e5289792bc50e78097f2e",
"CA": true,
"authority_key_identifier": {
"keyid": "KEY_ID"
},
"ca_information_access": {
"CA Issuers": "http://example.RSADomainValidationSecureServerCA.crt",
"OCSP": "http://example.com"
},
"certificate_policies": [
"1.3.6.1.4.1.6449.1.2.2.7",
"2.23.140.1.2.1"
],
"extended_key_usage": [
"serverAuth",
"clientAuth"
],
"key_usage": [
"ff"
],
"subject_alternative_name": [
"example-panel.xyz",
"www.example-panel.xyz"
],
"subject_key_identifier": "4f6429eaccd761eca91d9120b004f9d962453fef",
"tags": []
},
"issuer": {
"C": "US",
"CN": "Example RSA Domain Validation Secure Server CA",
"L": "Mountain View",
"O": "Example Ltd.",
},
"public_key": {
"algorithm": "RSA",
"rsa": {
"exponent": "010001",
"key_size": 2048,
"modulus": "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"
}
},
"serial_number": "248562d360bcc919bb97883f0dfc609d",
"signature_algorithm": "sha256RSA",
"size": 1472,
"subject": {
"CN": "example-panel.xyz"
},
"tags": [],
"thumbprint": "f9aae62cc9262302e45d94fcc512d65529ea1b31",
"thumbprint_sha256": "406ac0efb0ef67de743b1ab0f4e0352564a7d5ebbd71e3a883c067acc3563016",
"validity": {
"not_after": "2021-08-06 23:59:59",
"not_before": "2020-08-06 00:00:00"
},
"version": "V3"
},
"last_https_certificate_date": 1605415789,
"last_modification_date": 1605430702,
"network": "203.0.113.0/24",
"regional_internet_registry": "EXAMPLE",
"reputation": -95,
"tags": [],
"total_votes": {
"harmless": 0,
"malicious": 10
},
"whois": "NetRange: 203.0.113.0 - 203.0.113.255\nCIDR: 203.0.113.0/24\nNetName: EXAMPLE-5\nNetHandle: NET-203-0-113-0-1\nParent: ()\nNetType: Allocated to EXAMPLE\nOrig",
"whois_date": 1603912270
},
"id": "203.0.113.1",
"links": {
"self": "https://www.virustotal.com/api/v3/ip_addresses/203.0.113.1"
},
"type": "ip_address"
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Ausgabemeldungen
Die Aktion IP anreichern kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion IP anreichern aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
URL anreichern
Mit der Aktion URL anreichern können Sie eine URL mit Informationen von VirusTotal anreichern.
Diese Aktion wird für die Google SecOps-URL-Entität ausgeführt.
Aktionseingaben
Für die Aktion URL anreichern sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Engine Threshold |
Optional. Die Mindestanzahl von Engines, die eine URL als schädlich oder verdächtig einstufen müssen, damit sie als verdächtig gilt. Wenn Sie |
Engine Percentage Threshold |
Optional. Der Mindestprozentsatz der Engines, die die URL als schädlich oder verdächtig einstufen müssen, damit sie als verdächtig gilt. Wenn Sie den Parameter Die gültigen Werte für diesen Parameter liegen zwischen |
Engine Whitelist |
Optional. Eine durch Kommas getrennte Liste von Engine-Namen, die bei der Entscheidung, ob ein Hash schädlich ist, für die Aktion berücksichtigt werden sollen. |
Resubmit URL |
Optional. Wenn diese Option ausgewählt ist, wird die URL noch einmal zur Analyse eingereicht, anstatt vorhandene Ergebnisse zu verwenden. Diese Option ist standardmäßig nicht ausgewählt. |
Resubmit After (Days) |
Optional. Die Anzahl der Tage, nach denen die URL nach der letzten Analyse noch einmal eingereicht werden kann. Dieser Parameter gilt nur, wenn Sie den Parameter Der Standardwert ist |
Retrieve Comments |
Optional. Wenn diese Option ausgewählt ist, werden mit der Aktion Kommentare abgerufen, die mit der URL verknüpft sind. Standardmäßig ausgewählt. |
Create Insight |
Optional. Wenn diese Option ausgewählt ist, wird durch die Aktion ein Insight erstellt, der Informationen zur analysierten URL enthält. Standardmäßig ausgewählt. |
Only Suspicious Entity Insight |
Optional. Wenn diese Option ausgewählt ist, werden nur für URLs, die aufgrund der Schwellenwertparameter als verdächtig eingestuft werden, Statistiken generiert. Dieser Parameter gilt nur, wenn Sie den Parameter Diese Option ist standardmäßig nicht ausgewählt. |
Max Comments To Return |
Optional. Die maximale Anzahl der Kommentare, die für jede Aktionsausführung abgerufen werden sollen. Der Standardwert ist |
Widget Theme |
Optional. Das Design, das für das VirusTotal-Widget verwendet werden soll. Der Standardwert ist Folgende Werte sind möglich:
|
Fetch Widget |
Optional. Wenn diese Option ausgewählt ist, wird mit der Aktion ein erweitertes Widget abgerufen, das mit dem Hash verknüpft ist. Standardmäßig ausgewählt. |
Aktionsausgaben
Die Aktion URL anreichern liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Tabelle zur Elementanreicherung | Verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Link zum Fall‑Repository
Mit der Aktion URL anreichern kann für jede angereicherte Einheit der folgende Link bereitgestellt werden:
Name: Berichtslink
Wert: URL
Tabelle „Fall-Repository“
Mit der Aktion URL anreichern kann für jede angereicherte Einheit die folgende Tabelle bereitgestellt werden:
Tabellenname: ENTITY_ID
Tabellenspalten:
- Name
- Kategorie
- Methode
- Ergebnis
Die Aktion URL anreichern kann für jede Einheit mit Kommentaren die folgende Tabelle bereitstellen:
Tabellenname: Kommentare: ENTITY_ID
Tabellenspalten:
- Datum
- Kommentar
- Missbrauchsmeldungen
- Negative Bewertungen
- Positive Bewertungen
- ID
Tabelle zur Elementanreicherung
In der folgenden Tabelle sind die Felder aufgeführt, die mit der Aktion URL anreichern angereichert werden:
| Name des Anreicherungsfelds | Gültigkeit |
|---|---|
VT3_id |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_title |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_last_http_response_code |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_last_http_response_content_length |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_threat_names |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_harmless_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_malicious_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_suspicious_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_undetected_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_reputation |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_tags |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_malicious_vote_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_harmless_vote_count |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
VT3_report_link |
Wird angewendet, wenn im JSON-Ergebnis verfügbar. |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ausgabe, die bei Verwendung der Aktion URL anreichern empfangen wird:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"AEXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Ausgabemeldungen
Die Aktion URL anreichern kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Enrich URL". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion URL anreichern verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Domaindetails abrufen
Mit der Aktion Get Domain Details (Domänendetails abrufen) können Sie detaillierte Informationen zur Domain mithilfe von Informationen von VirusTotal abrufen.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
URLHostname
Aktionseingaben
Für die Aktion Get Domain Details sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Engine Threshold |
Optional. Die Mindestanzahl von Engines, die eine Domain als schädlich oder verdächtig einstufen müssen, damit sie als verdächtig gilt. |
Engine Percentage Threshold |
Optional. Der Mindestprozentsatz der Engines, die die Domain als schädlich oder verdächtig einstufen müssen, damit sie als verdächtig gilt. |
Engine Whitelist |
Optional. Eine durch Kommas getrennte Liste von Engine-Namen, die bei der Bewertung des Domainrisikos berücksichtigt werden sollen. |
Retrieve Comments |
Optional. Wenn diese Option ausgewählt ist, werden mit der Aktion Kommentare abgerufen, die mit der Domain von VirusTotal verknüpft sind. Standardmäßig ausgewählt. |
Create Insight |
Optional. Wenn diese Option ausgewählt ist, wird durch die Aktion ein Insight mit Informationen zur Domain erstellt. Standardmäßig ausgewählt. |
Only Suspicious Entity Insight |
Optional. Wenn diese Option ausgewählt ist, werden nur für Entitäten, die aufgrund der Schwellenwertparameter als verdächtig eingestuft werden, Statistiken generiert. Diese Option ist standardmäßig nicht ausgewählt. |
Max Comments To Return |
Optional. Die maximale Anzahl von Kommentaren, die für die Domain bei jeder Ausführung einer Aktion abgerufen werden sollen. Der Standardwert ist |
Widget Theme |
Optional. Das Design, das für das VirusTotal-Widget verwendet werden soll. Der Standardwert ist Folgende Werte sind möglich:
|
Fetch Widget |
Optional. Wenn diese Option ausgewählt ist, wird das VirusTotal-Widget für die Domain abgerufen und angezeigt. Standardmäßig ausgewählt. |
Aktionsausgaben
Die Aktion Get Domain Details (Domaindetails abrufen) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Link zum Fall‑Repository
Mit der Aktion Get Domain Details (Domaindetails abrufen) kann für jede angereicherte Entität der folgende Link bereitgestellt werden:
Name: Berichtslink
Wert: URL
Tabelle „Fall-Repository“
Mit der Aktion Get Domain Details (Domaindetails abrufen) kann für jede angereicherte Entität die folgende Tabelle bereitgestellt werden:
Tabellenname: ENTITY_ID
Tabellenspalten:
- Name
- Kategorie
- Methode
- Ergebnis
Mit der Aktion Get Domain Details (Domänendetails abrufen) kann für jede Einheit mit Kommentaren die folgende Tabelle bereitgestellt werden:
Tabellenname: Kommentare: ENTITY_ID
Tabellenspalten:
- Datum
- Kommentar
- Missbrauchsmeldungen
- Negative Bewertungen
- Positive Bewertungen
- ID
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get Domain Details (Domaindetails abrufen) empfangen wird:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Ausgabemeldungen
Die Aktion Get Domain Details (Domaindetails abrufen) kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Get Domain Details". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Domain Details (Domaindetails abrufen) verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Diagrammdetails abrufen
Mit der Aktion Get Graph Details (Grafikdetails abrufen) können Sie detaillierte Informationen zu Grafiken in VirusTotal abrufen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Graph-Details abrufen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Graph ID |
Erforderlich. Eine durch Kommas getrennte Liste von Diagramm-IDs, für die Details abgerufen werden sollen. |
Max Links To Return |
Optional. Die maximale Anzahl der Links, die für jedes Diagramm zurückgegeben werden sollen. Der Standardwert ist |
Aktionsausgaben
Die Aktion Get Graph Details (Diagrammdetails abrufen) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Tabelle „Fall-Repository“
Mit der Aktion Get Graph Details (Graph-Details abrufen) kann für jede angereicherte Einheit die folgende Tabelle bereitgestellt werden:
Tabellenname: Graph ENTITY_ID Links
Tabellenspalten:
- Quelle
- Ziel-
- Verbindungstyp
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ausgabe, die bei Verwendung der Aktion Get Graph Details (Diagrammdetails abrufen) empfangen wird:
{
"data": {
"attributes": {
"comments_count": 0,
"creation_date": 1603219837,
"graph_data": {
"description": "Example LLC",
"version": "api-5.0.0"
},
"last_modified_date": 1603219837,
"links": [
{
"connection_type": "last_serving_ip_address",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "last_serving_ip_address",
"source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "network_location",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "network_location",
"source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "communicating_files",
"source": "203.0.113.3",
"target": "relationships_communicating_files_20301133"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
}
],
"nodes": [
{
"entity_attributes": {
"has_detections": false
},
"entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 0,
"text": "",
"type": "url",
"x": 51.22276722115952,
"y": 65.7811310194184
},
{
"entity_attributes": {},
"entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 1,
"text": "",
"type": "relationship",
"x": 25.415664700492094,
"y": 37.66636498768037
},
{
"entity_attributes": {
"country": "US"
},
"entity_id": "203.0.113.3",
"fx": -19.03611541222395,
"fy": 24.958500220062717,
"index": 2,
"text": "",
"type": "ip_address",
"x": -19.03611541222395,
"y": 24.958500220062717
},
{
"entity_attributes": {},
"entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 3,
"text": "",
"type": "relationship",
"x": 14.37403861978968,
"y": 56.85562691824892
},
{
"entity_attributes": {},
"entity_id": "relationships_communicating_files_20301133",
"index": 4,
"text": "",
"type": "relationship",
"x": -51.78097726144755,
"y": 10.087893225996158
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
"index": 5,
"text": "",
"type": "file",
"x": -79.11606194776019,
"y": -18.475026322309112
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
"index": 6,
"text": "",
"type": "file",
"x": -64.80938048199627,
"y": 46.75892061191275
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
"index": 7,
"text": "",
"type": "file",
"x": -43.54064004476819,
"y": -28.547923020662786
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
"index": 8,
"text": "",
"type": "file",
"x": -15.529860440278318,
"y": -2.068209789825876
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
"index": 9,
"text": "",
"type": "file",
"x": -42.55971948293377,
"y": 46.937155845680415
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "html"
},
"entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
"index": 10,
"text": "",
"type": "file",
"x": -62.447976875107706,
"y": -28.172418384729067
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
"index": 11,
"text": "",
"type": "file",
"x": -89.0326649183805,
"y": -2.2638551448322484
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
"index": 12,
"text": "",
"type": "file",
"x": -26.35260716195174,
"y": -20.25669077264115
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
"index": 13,
"text": "",
"type": "file",
"x": -82.1415994911387,
"y": 34.89636762607467
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "ENTITY_ID",
"index": 14,
"text": "",
"type": "file",
"x": -90.87738694680043,
"y": 16.374462198116138
}
],
"private": false,
"views_count": 30
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
}
}
Ausgabemeldungen
Die Aktion Get Graph Details (Grafikdetails abrufen) kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Get Graph Details". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Get Graph Details (Diagrammdetails abrufen) aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Zugehörige Domains abrufen
Mit der Aktion Get Related Domains (Zugehörige Domains abrufen) können Sie die Domains abrufen, die mit den bereitgestellten Einheiten von VirusTotal verknüpft sind.
Für die Ausführung der Aktion Get Related Domains (Zugehörige Domains abrufen) ist VirusTotal Enterprise (VTE) erforderlich.
Für diese Aktion werden nur die MD5-, SHA-1- und SHA-256-Hashes unterstützt.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
HashHostnameIP AddressURL
Aktionseingaben
Für die Aktion Get Related Domains sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Results |
Optional. Die Reihenfolge, in der JSON-Ergebnisse zurückgegeben werden sollen. Folgende Werte sind möglich:
Wenn Sie Der Standardwert ist |
Max Domains To Return |
Optional. Die Anzahl der zurückzugebenden Domains. Wenn Sie Der Standardwert ist |
Aktionsausgaben
Die Aktion Get Related Domains (Zugehörige Domains abrufen) gibt Folgendes aus:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get Related Domains (Zugehörige Domains abrufen) empfangen wird:
{
"domain": ["example.com"]
}
Ausgabemeldungen
Die Aktion Get Related Domains (Zugehörige Domains abrufen) kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Get Related Domains". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Related Domains verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Zugehörige Hashes abrufen
Mit der Aktion Get Related Hashes (Zugehörige Hashes abrufen) können Sie die Hashes, die mit den angegebenen Entitäten in VirusTotal verknüpft sind, abrufen.
Für die Ausführung der Aktion Get Related Hashes (Zugehörige Hashes abrufen) ist VirusTotal Enterprise (VTE) erforderlich.
Für diese Aktion werden nur die MD5-, SHA-1- und SHA-256-Hashes unterstützt.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
HashHostnameIP AddressURL
Aktionseingaben
Für die Aktion Get Related Hashes sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Results |
Optional. Die Reihenfolge, in der JSON-Ergebnisse zurückgegeben werden sollen. Folgende Werte sind möglich:
Wenn Sie Der Standardwert ist |
Max Hashes To Return |
Optional. Die Anzahl der zurückzugebenden Dateihashes. Wenn Sie Der Standardwert ist |
Aktionsausgaben
Die Aktion Get Related Hashes (Zugehörige Hashes abrufen) gibt Folgendes aus:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get Related Hashes (Zugehörige Hashes abrufen) empfangen wird:
{
"sha256_hashes": ["http://example.com"]
}
Ausgabemeldungen
Die Aktion Get Related Hashes (Zugehörige Hashes abrufen) kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Get Related Hashes". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Get Related Hashes (Zugehörige Hashes abrufen) aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Zugehörige IPs abrufen
Verwenden Sie die Aktion Get Related IPs (Zugehörige IPs abrufen), um die IP-Adressen abzurufen, die mit den bereitgestellten Entitäten von VirusTotal verknüpft sind.
Für die Ausführung der Aktion Get Related IPs (Zugehörige IPs abrufen) ist VirusTotal Enterprise (VTE) erforderlich.
Für diese Aktion werden nur die MD5-, SHA-1- und SHA-256-Hashes unterstützt.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
HashHostnameIP AddressURL
Aktionseingaben
Für die Aktion Get Related IPs sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Results |
Optional. Die Reihenfolge, in der JSON-Ergebnisse zurückgegeben werden sollen. Folgende Werte sind möglich:
Wenn Sie Der Standardwert ist |
Max IPs To Return |
Optional. Die Anzahl der zurückzugebenden IP-Adressen. Wenn Sie Der Standardwert ist |
Aktionsausgaben
Die Aktion Get Related IPs (Zugehörige IPs abrufen) gibt Folgendes aus:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get Related IPs (Zugehörige IPs abrufen) empfangen wird:
{
"ips": ["203.0.113.1"]
}
Ausgabemeldungen
Die Aktion Get Related IPs kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Get Related IPs". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Get Related IPs aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Zugehörige URLs abrufen
Mit der Aktion Get Related URLs (Zugehörige URLs abrufen) können Sie die URLs abrufen, die sich auf die angegebenen Entitäten von VirusTotal beziehen.
Für die Ausführung der Aktion Get Related URLs (Zugehörige URLs abrufen) ist VirusTotal Enterprise (VTE) erforderlich.
Für diese Aktion werden nur die MD5-, SHA-1- und SHA-256-Hashes unterstützt.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
HashjsHostnameIP AddressURL
Aktionseingaben
Für die Aktion Get Related URLs sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Results |
Optional. Die Reihenfolge, in der JSON-Ergebnisse zurückgegeben werden sollen. Folgende Werte sind möglich:
Wenn Sie Der Standardwert ist |
Max URLs To Return |
Optional. Die Anzahl der zurückzugebenden URLs. Wenn Sie Der Standardwert ist |
Aktionsausgaben
Die Aktion Get Related URLs (Zugehörige URLs abrufen) gibt Folgendes aus:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get Related URLs (Zugehörige URLs abrufen) empfangen wird:
{
"urls": ["http://example.com"]
}
Ausgabemeldungen
Die Aktion Get Related URLs kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Get Related URLs". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Related URLs (Zugehörige URLs abrufen) verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Ping
Verwenden Sie die Aktion Ping, um die Verbindung zu VirusTotal zu testen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Ping bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabemeldungen
Die Aktion Ping kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Failed to connect to the VirusTotal server! Error is
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Entitätsdiagramme durchsuchen
Mit der Aktion Search Entity Graphs (Entitätsdiagramme durchsuchen) können Sie Diagramme durchsuchen, die auf den Entitäten in VirusTotal basieren.
Für diese Aktion werden nur die MD5-, SHA-1- und SHA-256-Hashes unterstützt.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
HashIP AddressThreat ActorURLUser
Aktionseingaben
Für die Aktion Search Entity Graphs sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Sort Field |
Optional. Der Feldwert, nach dem die VirusTotal-Diagramme sortiert werden sollen. Der Standardwert ist Folgende Werte sind möglich:
|
Max Graphs To Return |
Optional. Die maximale Anzahl der Diagramme, die für jeden Aktionslauf zurückgegeben werden sollen. Der Standardwert ist |
Aktionsausgaben
Die Aktion Search Entity Graphs (Objektgrafiken durchsuchen) gibt Folgendes aus:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Search Entity Graphs empfangen wird:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
Ausgabemeldungen
Die Aktion Search Entity Graphs kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Search Entity Graphs". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Grafiken durchsuchen
Mit der Aktion Search Graphs können Sie in VirusTotal anhand benutzerdefinierter Filter nach Diagrammen suchen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
| Parameter | Beschreibung |
|---|---|
Query |
Erforderlich. Der Abfragefilter für das Diagramm. Weitere Informationen zu Abfragen finden Sie unter Abfragen erstellen und Diagrammbezogene Modifikatoren. |
Sort Field |
Optional. Der Feldwert, nach dem die VirusTotal-Diagramme sortiert werden sollen. Der Standardwert ist Folgende Werte sind möglich:
|
Max Graphs To Return |
Optional. Die maximale Anzahl der Diagramme, die für jeden Aktionslauf zurückgegeben werden sollen. Der Standardwert ist |
Abfragen erstellen
Wenn Sie Suchergebnisse aus Grafiken eingrenzen möchten, erstellen Sie Abfragen, die grafikbezogene Modifikatoren enthalten. Sie können Modifikatoren mit den Operatoren AND, OR und NOT kombinieren, um die Suche zu verbessern.
Datums- und numerische Felder unterstützen die Suffixe „plus“ (+) oder „minus“ (-). Ein Pluszeichen am Ende entspricht Werten, die größer als der angegebene Wert sind. Ein Minuszeichen als Suffix entspricht Werten, die kleiner als der angegebene Wert sind. Ohne Suffix werden bei der Abfrage genaue Übereinstimmungen zurückgegeben.
Sie können denselben Modifikator mehrmals in einer Abfrage verwenden, um Bereiche zu definieren. Wenn Sie beispielsweise nach Grafiken suchen möchten, die zwischen dem 15.11.2018 und dem 20.11.2018 erstellt wurden, verwenden Sie die folgende Abfrage:
creation_date:2018-11-15+ creation_date:2018-11-20-
Entfernen Sie bei Datumsangaben oder Monaten, die mit 0 beginnen, das Zeichen 0 in der Abfrage.
Formatieren Sie beispielsweise das Datum 2018-11-01 als 2018-11-1.
Diagrammbezogene Modifikatoren
In der folgenden Tabelle sind die Modifikatoren aufgeführt, die Sie zum Erstellen der Suchanfrage verwenden können:
| Modifizierer | Beschreibung | Beispiel |
|---|---|---|
Id |
Filtert nach der Diagrammkennung. | id:g675a2fd4c8834e288af |
Name |
Filtert nach dem Namen des Diagramms. | name:Example-name |
Owner |
Filtert nach Diagrammen, die dem Nutzer gehören. | owner:example_user |
Group |
Filtert nach Diagrammen, die einer Gruppe gehören. | group:example |
Visible_to_user |
Filtert nach Diagrammen, die für den Nutzer sichtbar sind. | visible_to_user:example_user |
Visible_to_group |
Filtert nach Diagrammen, die für die Gruppe sichtbar sind. | visible_to_group:example |
Private |
Filtert nach privaten Grafiken. | private:true, private:false |
Creation_date |
Filtert nach dem Erstellungsdatum des Diagramms. | creation_date:2018-11-15 |
last_modified_date |
Filtert nach dem Datum der letzten Änderung des Diagramms. | last_modified_date:2018-11-20 |
Total_nodes |
Filtert nach Grafiken, die eine bestimmte Anzahl von Knoten enthalten. | total_nodes:100 |
Comments_count |
Filtert nach der Anzahl der Kommentare im Diagramm. | comments_count:10+ |
Views_count |
Filtert nach der Anzahl der Diagrammansichten. | views_count:1000+ |
Label |
Filtert nach Grafiken, die Knoten mit einem bestimmten Label enthalten. | label:Kill switch |
File |
Filtert nach Diagrammen, die die angegebene Datei enthalten. | file:131f95c51cc819465fa17 |
Domain |
Filtert nach Grafiken, die die angegebene Domain enthalten. | domain:example.com |
Ip_address |
Filtert nach Grafiken, die die angegebene IP-Adresse enthalten. | ip_address:203.0.113.1 |
Url |
Filtert nach Grafiken, die die angegebene URL enthalten. | url:https://example.com/example/ |
Actor |
Filtert nach Grafiken, die den angegebenen Schauspieler enthalten. | actor:example actor |
Victim |
Filtert nach Grafiken, die das jeweilige Opfer enthalten. | victim:example_user |
Email |
Filtert nach Grafiken, die die angegebene E-Mail-Adresse enthalten. | email:user@example.com |
Department |
Filtert nach Grafiken, die die angegebene Abteilung enthalten. | department:engineers |
Aktionsausgaben
Die Aktion Search Graphs (Diagramme durchsuchen) gibt die folgenden Ausgaben zurück:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Search Graphs (Graphen durchsuchen) empfangen wird:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
Ausgabemeldungen
Die Aktion Search Graphs kann die folgenden Ausgabenachrichten zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Search Graphs". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Search Graphs aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
IOCs suchen
Mit der Aktion Search IOCs (IOCs suchen) können Sie im VirusTotal-Dataset nach IOCs suchen.
Für die Ausführung der Aktion Search IOCs (IOCs suchen) ist VirusTotal Enterprise (VTE) erforderlich.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion IOCs suchen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Query |
Erforderlich. Die Abfrage zum Suchen nach IOCs. Der Standardwert ist Konfigurieren Sie die Abfrage gemäß der Abfragesyntax, die für die VirusTotal Intelligence-Benutzeroberfläche gilt. |
Create Entities |
Optional. Wenn diese Option ausgewählt ist, werden Entitäten für die zurückgegebenen IOCs erstellt. Bei dieser Aktion werden keine Elemente angereichert. Diese Option ist standardmäßig nicht ausgewählt. |
Order By |
Erforderlich. Das Feld, nach dem die Ergebnisse sortiert werden sollen. Folgende Werte sind möglich:
Entitätstypen können unterschiedliche Sortierfelder haben. Weitere Informationen zum Suchen nach Dateien in VirusTotal finden Sie unter Erweiterte Korpus-Suche. Der Standardwert ist |
Sort Order |
Optional. Die Reihenfolge, in der die Ergebnisse sortiert werden sollen. Folgende Werte sind möglich:
Wenn Sie den Wert Der Standardwert ist |
Max IOCs To Return |
Optional. Die Anzahl der zurückzugebenden IOCs. Der Höchstwert ist Der Standardwert ist |
Aktionsausgaben
Die Aktion IOCs suchen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Search IOCs (IOCs suchen) empfangen wird:
{
"data": [
{
"attributes": {
"type_description": "Email",
"tlsh": "T1B4D31F04BE452B3093E7238E064E6FDBAFCC135F6611F1C60881AAD6C5C77A2E57D689",
"exiftool": {
"MIMEType": "text/plain",
"FileType": "TXT",
"WordCount": "2668",
"LineCount": "1820",
"MIMEEncoding": "us-ascii",
"FileTypeExtension": "txt",
"Newlines": "Windows CRLF"
},
"type_tags": [
"internet",
"email"
],
"threat_severity": {
"threat_severity_level": "SEVERITY_HIGH",
"threat_severity_data": {
"num_gav_detections": 3,
"has_vulnerabilities": true,
"popular_threat_category": "trojan",
"type_tag": "email",
"has_embedded_ips_with_detections": true
},
"last_analysis_date": "1698050597",
"version": 2,
"level_description": "Severity HIGH because it was considered trojan. Other contributing factors were that it has known exploits, it contains embedded IPs with detections and it could not be run in sandboxes."
},
"names": [
"Re Example.eml"
],
"last_modification_date": 1698057197,
"type_tag": "email",
"times_submitted": 1,
"total_votes": {
"harmless": 0,
"malicious": 0
},
"size": 132299,
"popular_threat_classification": {
"suggested_threat_label": "obfsobjdat/malformed",
"popular_threat_name": [
{
"count": 8,
"value": "obfsobjdat"
},
{
"count": 2,
"value": "malformed"
}
]
},
"last_submission_date": 1698049979,
"last_analysis_results": {
"Bkav": {
"category": "undetected",
"engine_name": "Example1",
"engine_version": "2.0.0.1",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
"Lionic": {
"category": "undetected",
"engine_name": "Example2",
"engine_version": "7.5",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
},
"downloadable": true,
"trid": [
{
"file_type": "file seems to be plain text/ASCII",
"probability": 0
}
],
"sha256": "2d9df36964fe2e477e6e0f7a73391e4d4b2eeb0995dd488b431c4abfb4c27dbf",
"type_extension": "eml",
"tags": [
"exploit",
"cve-2018-0802",
"cve-2018-0798",
"email",
"cve-2017-11882"
],
"last_analysis_date": 1698049979,
"unique_sources": 1,
"first_submission_date": 1698049979,
"ssdeep": "768:MedEkBNnx8ueVV+fitChi9KbpK0fixbRwHbcElIK944tCVQOgzdsSuom+cWmsCGY:Meo+fitC0mKuixYxlI1OO1cSPo0gptA",
"md5": "bdfe36052e0c083869505ef4fd77e865",
"sha1": "3a350de97009efe517ceffcea406534bb1ab800c",
"magic": "SMTP mail, ASCII text, with CRLF line terminators",
"last_analysis_stats": {
"harmless": 0,
"type-unsupported": 16,
"suspicious": 0,
"confirmed-timeout": 0,
"timeout": 0,
"failure": 0,
"malicious": 28,
"undetected": 32
},
"meaningful_name": "Re Example.eml",
"reputation": 0
},
"type": "file",
"id": "ID",
"links": {
"self": "URL"
}
},
]
}
Ausgabemeldungen
Die Aktion IOCs suchen kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Search IOCs". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Search IOCs (IOCs suchen) aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Datei einreichen
Mit der Aktion Datei senden können Sie eine Datei senden und Ergebnisse von VirusTotal zurückgeben.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Für die Aktion Datei einreichen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
File Paths |
Erforderlich. Eine durch Kommas getrennte Liste mit absoluten Pfaden zu den einzureichenden Dateien. Wenn Sie den Parameter |
Engine Threshold |
Optional. Die Mindestanzahl von Engines, die eine Datei als schädlich oder verdächtig einstufen müssen, damit sie als verdächtig gilt. Wenn Sie |
Engine Percentage Threshold |
Optional. Der Mindestprozentsatz der Engines, die die Datei als schädlich oder verdächtig einstufen müssen, damit sie als verdächtig gilt. |
Engine Whitelist |
Optional. Eine durch Kommas getrennte Liste von Engine-Namen, die bei der Risikobewertung berücksichtigt werden sollen, z. B. Wenn Sie keinen Wert festlegen, werden alle verfügbaren Engines verwendet. Bei der Berechnung des Schwellenwerts werden keine Engines berücksichtigt, die keine Informationen zu Entitäten liefern. |
Retrieve Comments |
Optional. Wenn diese Option ausgewählt ist, werden Kommentare, die mit der Datei verknüpft sind, von VirusTotal abgerufen. Standardmäßig ausgewählt. Wenn die private Einreichung aktiviert ist, werden keine Kommentare abgerufen. |
Retrieve Sigma Analysis |
Optional. Wenn diese Option ausgewählt ist, ruft die Aktion die Sigma-Analyseergebnisse für die Datei ab. Standardmäßig ausgewählt. |
Max Comments To Return |
Optional. Die maximale Anzahl der Kommentare, die für jede Aktionsausführung abgerufen werden sollen. Der Standardwert ist |
Linux Server Address |
Optional. Die IP-Adresse oder der Hostname eines Remote-Linux-Servers, auf dem sich die Dateien befinden. |
Linux Username |
Optional. Der Nutzername für die Authentifizierung beim Remote-Linux-Server. |
Linux Password |
Optional. Das Passwort für die Authentifizierung beim Remote-Linux-Server. |
Private Submission |
Optional. Wenn diese Option ausgewählt ist, wird die Datei privat eingereicht. Um die Datei privat einzureichen, ist der VirusTotal Premium-Zugriff erforderlich. Diese Option ist standardmäßig nicht ausgewählt. |
Fetch MITRE Details |
Optional. Wenn diese Option ausgewählt ist, ruft die Aktion MITRE ATT&CK-Techniken und ‑Taktiken ab, die mit dem Hash zusammenhängen. Diese Option ist standardmäßig nicht ausgewählt. |
Lowest MITRE Technique Severity |
Optional. Der Mindestschweregrad für eine MITRE-ATT&CK-Technik, die in die Ergebnisse aufgenommen werden soll. Bei der Aktion wird die Schwere Folgende Werte sind möglich:
Der Standardwert ist |
Retrieve AI Summary |
Optional. Dieser Parameter wird noch getestet. Wenn diese Option ausgewählt ist, wird für die Datei eine KI-generierte Zusammenfassung abgerufen. Diese Option ist nur für private Einsendungen verfügbar. Diese Option ist standardmäßig nicht ausgewählt. |
Aktionsausgaben
Die Aktion Datei einreichen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Link zum Fall‑Repository
Mit der Aktion Datei einreichen kann für jede angereicherte Einheit der folgende Link bereitgestellt werden:
Name: Berichtlink: PATH
Wert: URL
Tabelle „Fall-Repository“
Die Aktion Datei einreichen kann für jede eingereichte Datei die folgende Tabelle bereitstellen:
Tabellenname: Ergebnisse: PATH
Tabellenspalten:
- Name
- Kategorie
- Methode
- Ergebnis
Mit der Aktion Datei einreichen kann für jede eingereichte Datei mit Kommentaren die folgende Tabelle bereitgestellt werden:
Tabellenname: Kommentare: PATH
Tabellenspalten:
- Datum
- Kommentar
- Missbrauchsmeldungen
- Negative Bewertungen
- Positive Bewertungen
- ID
Mit der Aktion Datei einreichen kann für jede Einheit, für die die Sigma-Analyseergebnisse vorliegen, die folgende Tabelle bereitgestellt werden:
Tabellenname: Sigma-Analyse: ENTITY_ID
Tabellenspalten:
- ID
- Schweregrad
- Quelle
- Titel
- Beschreibung
- Kontext des Abgleichs
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die beim Verwenden der Aktion Datei einreichen empfangen wird:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Ausgabemeldungen
Die Aktion Datei einreichen kann die folgenden Ausgabemeldungen zurückgeben:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Submit File". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Datei senden verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Connectors
Weitere Informationen zum Konfigurieren von Connectors in Google SecOps finden Sie unter Daten aufnehmen (Connectors).
VirusTotal – Livehunt Connector
Mit dem VirusTotal – Livehunt Connector können Sie Informationen zu VirusTotal Livehunt-Benachrichtigungen und zugehörigen Dateien abrufen.
Für diesen Connector ist ein VirusTotal Premium API-Token erforderlich. Die dynamische Liste funktioniert mit dem Parameter rule_name.
Connector-Eingaben
Für den VirusTotal – Livehunt Connector sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Product Field Name |
Erforderlich. Der Name des Felds, in dem der Produktname gespeichert ist. Der Standardwert ist Der Produktname wirkt sich hauptsächlich auf die Zuordnung aus. Um den Zuordnungsprozess für den Connector zu optimieren und zu verbessern, wird der Standardwert |
Event Field Name |
Erforderlich. Der Name des Felds, in dem der Ereignisname (Untertyp) gespeichert ist. Der Standardwert ist |
Environment Field Name |
Optional. Der Name des Felds, in dem der Name der Umgebung gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, verwendet der Connector den Standardwert. Der Standardwert ist |
Environment Regex Pattern |
Optional. Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Verwenden Sie den Standardwert Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis die Standardumgebung. |
PythonProcessTimeout |
Erforderlich. Das Zeitlimit in Sekunden für den Python-Prozess, in dem das aktuelle Script ausgeführt wird. Der Standardwert ist |
API Key |
Erforderlich. Der VirusTotal API-Schlüssel. |
Verify SSL |
Erforderlich. Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung mit VirusTotal validiert. Standardmäßig ausgewählt. |
Engine Whitelist |
Optional. Eine durch Kommas getrennte Liste von Engine-Namen, die bei der Auswertung des Parameterwerts Wenn Sie keinen Wert festlegen, werden alle verfügbaren Engines verwendet. |
Engine Percentage Threshold To Fetch |
Erforderlich. Der Mindestprozentsatz der Engines, die die Datei als schädlich oder verdächtig kennzeichnen, damit der Connector die Datei aufnehmen kann. Gültige Werte sind Der Standardwert ist |
Max Hours Backwards |
Optional. Die Anzahl der Stunden vor der ersten Connector-Iteration, in denen die Vorfälle abgerufen werden sollen. Dieser Parameter kann für die erste Connector-Iteration gelten, nachdem Sie den Connector zum ersten Mal aktiviert haben, oder für den Fallback-Wert für einen abgelaufenen Connector-Zeitstempel. Der Standardwert ist |
Max Notifications To Fetch |
Optional. Die maximale Anzahl von Benachrichtigungen, die bei jeder Connector-Ausführung verarbeitet werden sollen. Der Standardwert ist |
Use dynamic list as a blacklist |
Erforderlich. Wenn diese Option ausgewählt ist, wird die dynamische Liste als Blockierliste verwendet. Standardmäßig nicht ausgewählt. |
Proxy Server Address |
Optional. Die Adresse des zu verwendenden Proxyservers. |
Proxy Username |
Optional. Der Nutzername für die Authentifizierung beim Proxyserver. |
Proxy Password |
Optional. Das Passwort für die Authentifizierung des Proxyservers. |
Connector-Regeln
Der Connector unterstützt Proxys.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten