Integra VirusTotal v3 con Google SecOps
En este documento, se explica cómo integrar VirusTotal v3 con Google Security Operations (Google SecOps).
Versión de integración: 34.0
Esta integración usa la API de VirusTotal v3. Para obtener más información sobre la API de VirusTotal v3, consulta la Descripción general de la API de VirusTotal v3.
Esta integración usa uno o más componentes de código abierto. Puedes descargar una copia comprimida del código fuente completo de esta integración desde el bucket de Cloud Storage.
Casos de uso
La integración de VirusTotal v3 puede ayudarte a resolver los siguientes casos de uso:
Análisis de archivos: Usa las capacidades de Google SecOps para enviar un hash de archivo o un archivo a VirusTotal para su análisis y recuperar los resultados del análisis de varios motores de antivirus para determinar si el elemento enviado es malicioso.
Análisis de URL: Usa las capacidades de Google SecOps para ejecutar una URL en la base de datos de VirusTotal y, así, identificar sitios web o páginas de phishing potencialmente maliciosos.
Análisis de direcciones IP: Usa las capacidades de SecOps de Google para investigar una dirección IP y determinar su reputación y cualquier actividad maliciosa asociada.
Análisis de dominio: Usa las capacidades de Google SecOps para analizar un nombre de dominio y determinar su reputación y cualquier actividad maliciosa asociada, como la distribución de software malicioso o la suplantación de identidad.
Retrohunting: Usa las capacidades de Google SecOps para analizar los datos históricos de VirusTotal y buscar archivos, URLs, IPs o dominios que se hayan marcado como maliciosos anteriormente.
Enriquecimiento automático: Usa las capacidades de Google SecOps para enriquecer automáticamente los datos de incidentes con inteligencia sobre amenazas.
Investigación de phishing: Usa las capacidades de Google SecOps para analizar correos electrónicos y archivos adjuntos sospechosos. Para ello, envíalos a VirusTotal para su análisis.
Análisis de software malicioso: Usa las capacidades de Google SecOps para subir muestras de software malicioso a VirusTotal para realizar análisis dinámicos y estáticos, y obtener estadísticas sobre el comportamiento y el impacto potencial de las muestras.
Antes de comenzar
Para que funcione correctamente, esta integración requiere la API de VirusTotal Premium. Para obtener más información sobre la API de VirusTotal Premium, consulta API pública vs. API Premium.
Antes de configurar la integración de VirusTotal v3 en Google SecOps, configura una clave de API en VirusTotal.
Para configurar la clave de API, completa los siguientes pasos:
- Accede al portal de VirusTotal.
- Debajo de tu nombre de usuario, haz clic en Clave de API.
- Copia la clave de API generada para usarla en los parámetros de integración.
- Haz clic en Guardar.
Parámetros de integración
La integración de VirusTotal v3 requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
API Key |
Obligatorio. Es la clave de la API de VirusTotal. |
Verify SSL |
Opcional. Si se selecciona, la integración valida el certificado SSL cuando se conecta a VirusTotal. Esta opción se selecciona de forma predeterminada. |
Si quieres obtener instrucciones para configurar una integración en Google SecOps, consulta Configura integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en las guías. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta Compatibilidad con varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Cómo responder a las acciones pendientes de Tu Workdesk y Cómo realizar una acción manual.
Agregar comentario a la entidad
Usa la acción Add Comment To Entity para agregar un comentario a las entidades en VirusTotal.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
File HashHostnameIP AddressURL
Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
Entradas de acción
La acción Add Comment To Entity requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Comment |
Obligatorio. Es un comentario para agregar a las entidades. |
Resultados de la acción
La acción Add Comment To Entity proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestran los resultados JSON que se reciben cuando se usa la acción Add Comment To Entity:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Mensajes de salida
La acción Add Comment To Entity puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Add Comment To Entity". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Add Comment To Entity:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Agregar voto a la entidad
Usa la acción Add Vote To Entity para agregar un voto a las entidades en VirusTotal.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
File HashHostnameIP AddressURL
Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
Entradas de acción
La acción Add Vote To Entity requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Vote |
Obligatorio. Es un voto para agregar a las entidades. Los valores posibles son los siguientes:
|
Resultados de la acción
La acción Add Vote To Entity proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Add Vote To Entity:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Mensajes de salida
La acción Add Vote To Entity puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Add Vote To Entity". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Add Vote To Entity:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Descargar archivo
Usa la acción Download File para descargar un archivo de VirusTotal.
Para ejecutar la acción Download File, se requiere VirusTotal Enterprise (VTE).
Esta acción se ejecuta en la entidad Hash de Google SecOps.
Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
Entradas de acción
La acción Download File requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Download Folder Path |
Obligatorio. Ruta de acceso a la carpeta en la que se almacenarán los archivos descargados. |
Overwrite |
Opcional. Si se selecciona esta opción, la acción reemplaza un archivo existente por el archivo nuevo si los nombres de archivo son idénticos. Esta opción se selecciona de forma predeterminada. |
Resultados de la acción
La acción Descargar archivo proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Download File:
{
"absolute_file_paths": ["file_path_1","file_path_2"]
}
Mensajes de salida
La acción Download File puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Download File". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Hash de enriquecimiento
Usa la acción Enrich Hash para enriquecer los hashes con información de VirusTotal.
Esta acción se ejecuta en la entidad Hash de Google SecOps.
Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
Entradas de acción
La acción Enrich Hash requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Engine Threshold |
Opcional. Es la cantidad mínima de motores que deben clasificar una entidad como maliciosa o sospechosa para que se considere sospechosa. Si configuras |
Engine Percentage Threshold |
Opcional. Es el porcentaje mínimo de motores que marcan la entidad como maliciosa o sospechosa para considerarla sospechosa. Si configuras Los valores válidos para este parámetro son del |
Engine Whitelist |
Opcional. Es una lista separada por comas de los nombres de los motores que la acción debe tener en cuenta cuando determina si un hash es malicioso. Si no estableces un valor, la acción usa todos los motores disponibles. El cálculo del umbral no incluye los motores que no proporcionan información sobre las entidades. |
Resubmit Hash |
Opcional. Si se selecciona, la acción vuelve a enviar el hash para su análisis en lugar de usar los resultados existentes. No está seleccionada de forma predeterminada. |
Resubmit After (Days) |
Opcional. Es la cantidad de días para volver a enviar el hash después del análisis más reciente. Este parámetro solo se aplica si seleccionas el parámetro El valor predeterminado es |
Retrieve Comments |
Opcional. Si se selecciona, la acción recupera los comentarios que se asocian con el hash. Esta opción se selecciona de forma predeterminada. |
Retrieve Sigma Analysis |
Opcional. Si se selecciona, la acción recupera los resultados del análisis de Sigma para el hash. Esta opción se selecciona de forma predeterminada. |
Sandbox |
Opcional. Es una lista separada por comas de los entornos de zona de pruebas que se usarán para el análisis del comportamiento. Si no estableces un valor, la acción usará el valor predeterminado. El valor predeterminado es |
Retrieve Sandbox Analysis |
Opcional. Si se selecciona, la acción recupera los resultados del análisis de zona de pruebas para el hash y crea una sección separada en el resultado JSON para cada zona de pruebas especificada. Esta opción se selecciona de forma predeterminada. |
Create Insight |
Opcional. Si se selecciona, la acción crea una estadística que contiene información sobre el hash analizado. Esta opción se selecciona de forma predeterminada. |
Only Suspicious Entity Insight |
Opcional. Si se selecciona, la acción genera estadísticas solo para los hashes que se consideran sospechosos según los parámetros de umbral. Este parámetro solo se aplica si seleccionas el parámetro No está seleccionada de forma predeterminada. |
Max Comments To Return |
Opcional. Es la cantidad máxima de comentarios que se recuperarán para cada ejecución de acción. El valor predeterminado es |
Widget Theme |
Opcional. Es el tema que se usará para el widget de VirusTotal. El valor predeterminado es Los valores posibles son los siguientes:
|
Fetch Widget |
Opcional. Si se selecciona, la acción recupera un widget aumentado que está relacionado con el hash. Esta opción se selecciona de forma predeterminada. |
Fetch MITRE Details |
Opcional. Si se selecciona, la acción recupera las técnicas y tácticas de MITRE ATT&CK® relacionadas con el hash. No está seleccionada de forma predeterminada. |
Lowest MITRE Technique Severity |
Opcional. Es el nivel de gravedad mínimo para que se incluya una técnica de MITRE ATT&CK en los resultados. La acción trata la gravedad Los valores posibles son los siguientes:
El valor predeterminado es |
Resultados de la acción
La acción Enrich Hash proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | Disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento de entidades | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Vínculo al muro de casos
La acción Enrich Hash puede proporcionar el siguiente vínculo para cada entidad enriquecida:
Nombre: Vínculo del informe
Valor: URL
Tabla del muro de casos
La acción Enrich Hash puede proporcionar la siguiente tabla para cada entidad enriquecida:
Nombre de la tabla: ENTITY_ID
Columnas de la tabla:
- Nombre
- Categoría
- Método
- Resultado
La acción Enrich Hash puede proporcionar la siguiente tabla para cada entidad que tenga comentarios:
Nombre de la tabla: Comments: ENTITY_ID
Columnas de la tabla:
- Fecha
- Comentario
- Votos de abuso
- Votos negativos
- Votos positivos
- ID
La acción Enrich Hash puede proporcionar la siguiente tabla para cada entidad que tenga los resultados del análisis de Sigma:
Nombre de la tabla: Análisis de Sigma: ENTITY_ID
Columnas de la tabla:
- ID
- Gravedad
- Origen
- Título
- Descripción
- Contexto de la coincidencia
Tabla de enriquecimiento de entidades
En la siguiente tabla, se enumeran los campos enriquecidos con la acción Enrich Hash:
| Nombre del campo de enriquecimiento | Aplicabilidad |
|---|---|
VT3_id |
Se aplica cuando está disponible en el resultado JSON. |
VT3_magic |
Se aplica cuando está disponible en el resultado JSON. |
VT3_md5 |
Se aplica cuando está disponible en el resultado JSON. |
VT3_sha1 |
Se aplica cuando está disponible en el resultado JSON. |
VT3_sha256 |
Se aplica cuando está disponible en el resultado JSON. |
VT3_ssdeep |
Se aplica cuando está disponible en el resultado JSON. |
VT3_tlsh |
Se aplica cuando está disponible en el resultado JSON. |
VT3_vhash |
Se aplica cuando está disponible en el resultado JSON. |
VT3_meaningful_name |
Se aplica cuando está disponible en el resultado JSON. |
VT3_magic |
Se aplica cuando está disponible en el resultado JSON. |
VT3_harmless_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_malicious_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_suspicious_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_undetected_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_reputation |
Se aplica cuando está disponible en el resultado JSON. |
VT3_tags |
Se aplica cuando está disponible en el resultado JSON. |
VT3_malicious_vote_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_harmless_vote_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_report_link |
Se aplica cuando está disponible en el resultado JSON. |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Enrich Hash:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}]
}
Mensajes de salida
La acción Enrich Hash puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Enrich Hash". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Enrich Hash:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Enriquece el IOC
Usa la acción Enrich IOC para enriquecer los indicadores de compromiso (IoC) con información de VirusTotal.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Enrich IOC requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
IOC Type |
Opcional. Es el tipo de IOC que se enriquecerá. El valor predeterminado es Los valores posibles son los siguientes:
|
IOCs |
Obligatorio. Es una lista separada por comas de los IOC que se deben enriquecer. |
Widget Theme |
Opcional. Es el tema que se usará para el widget. El valor predeterminado es Los valores posibles son los siguientes:
|
Fetch Widget |
Opcional. Si se selecciona, la acción recupera el widget para el IOC. Esta opción se selecciona de forma predeterminada. |
Resultados de la acción
La acción Enrich IOC proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | Disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Vínculo al muro de casos
La acción Enrich IOC puede proporcionar el siguiente vínculo para cada entidad enriquecida:
Nombre: Vínculo del informe
Valor: URL
Tabla del muro de casos
La acción Enrich IOC puede proporcionar la siguiente tabla para cada entidad enriquecida:
Nombre de la tabla: IOC_ID
Columnas de la tabla:
- Nombre
- Categoría
- Método
- Resultado
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Enrich IOC:
{
"ioc": {
"identifier": "203.0.113.1",
"details": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"report_link": "{generated report link}",
"widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
}
}
}
Mensajes de salida
La acción Ping puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Enrich IOC". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Enrich IOC:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Enriquecer IP
Usa la acción Enrich IP para enriquecer las direcciones IP con información de VirusTotal.
Esta acción se ejecuta en la entidad IP Address de Google SecOps.
Entradas de acción
La acción Enrich IP requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Engine Threshold |
Opcional. Es la cantidad mínima de motores que deben clasificar una entidad como maliciosa o sospechosa para que se considere sospechosa. Si configuras |
Engine Percentage Threshold |
Opcional. Es el porcentaje mínimo de motores que deben clasificar la entidad como maliciosa o sospechosa para que se considere sospechosa. Si configuras el parámetro Los valores válidos para este parámetro son del |
Engine Whitelist |
Opcional. Es una lista separada por comas de los nombres de los motores que la acción debe tener en cuenta cuando determina si un hash es malicioso. Si no estableces un valor, la acción usa todos los motores disponibles. El cálculo del umbral no incluye los motores que no proporcionan información sobre las entidades. |
Retrieve Comments |
Opcional. Si se selecciona, la acción recupera los comentarios que se asocian con el hash. Esta opción se selecciona de forma predeterminada. |
Create Insight |
Opcional. Si se selecciona, la acción crea una estadística que contiene información sobre el hash analizado. Esta opción se selecciona de forma predeterminada. |
Only Suspicious Entity Insight |
Opcional. Si se selecciona, la acción genera estadísticas solo para los hashes que se consideran sospechosos según los parámetros de umbral. Este parámetro solo se aplica si seleccionas el parámetro No está seleccionada de forma predeterminada. |
Max Comments To Return |
Opcional. Es la cantidad máxima de comentarios que se recuperarán para cada ejecución de acción. El valor predeterminado es |
Widget Theme |
Opcional. Es el tema que se usará para el widget de VirusTotal. El valor predeterminado es Los valores posibles son los siguientes:
|
Fetch Widget |
Opcional. Si se selecciona, la acción recupera un widget aumentado que está relacionado con el hash. Esta opción se selecciona de forma predeterminada. |
Resultados de la acción
La acción Enrich IP proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | Disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento de entidades | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Vínculo al muro de casos
La acción Enrich IP puede proporcionar el siguiente vínculo para cada entidad enriquecida:
Nombre: Vínculo del informe
Valor: URL
Tabla del muro de casos
La acción Enrich IP puede proporcionar la siguiente tabla para cada entidad enriquecida:
Nombre de la tabla: ENTITY_ID
Columnas de la tabla:
- Nombre
- Categoría
- Método
- Resultado
La acción Enrich IP puede proporcionar la siguiente tabla para cada entidad que tenga comentarios:
Nombre de la tabla: Comments: ENTITY_ID
Columnas de la tabla:
- Fecha
- Comentario
- Votos de abuso
- Votos negativos
- Votos positivos
- ID
Tabla de enriquecimiento de entidades
En la siguiente tabla, se enumeran los campos enriquecidos con la acción Enrich IP:
| Nombre del campo de enriquecimiento | Aplicabilidad |
|---|---|
VT3_id |
Se aplica cuando está disponible en el resultado JSON. |
VT3_owner |
Se aplica cuando está disponible en el resultado JSON. |
VT3_asn |
Se aplica cuando está disponible en el resultado JSON. |
VT3_continent |
Se aplica cuando está disponible en el resultado JSON. |
VT3_country |
Se aplica cuando está disponible en el resultado JSON. |
VT3_harmless_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_malicious_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_suspicious_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_undetected_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_certificate_valid_not_after |
Se aplica cuando está disponible en el resultado JSON. |
VT3_certificate_valid_not_before |
Se aplica cuando está disponible en el resultado JSON. |
VT3_reputation |
Se aplica cuando está disponible en el resultado JSON. |
VT3_tags |
Se aplica cuando está disponible en el resultado JSON. |
VT3_malicious_vote_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_harmless_vote_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_report_link |
Se aplica cuando está disponible en el resultado JSON. |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Enrich IP:
{
"data": {
"attributes": {
"as_owner": "Example",
"asn": 50673,
"continent": "EU",
"country": "NL",
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "ExampleLabs",
"method": "blacklist",
"result": "clean"
},
"example.com URL checker": {
"category": "harmless",
"engine_name": "example.com URL checker",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 81,
"malicious": 5,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_https_certificate": {
"cert_signature": {
"signature": "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",
"signature_algorithm": "sha256RSA"
},
"extensions": {
"1.3.6.1.4.1.11129.2.4.2": "0481f200f00075007d3ef2f88fff88556824c2c0ca9e5289792bc50e78097f2e",
"CA": true,
"authority_key_identifier": {
"keyid": "KEY_ID"
},
"ca_information_access": {
"CA Issuers": "http://example.RSADomainValidationSecureServerCA.crt",
"OCSP": "http://example.com"
},
"certificate_policies": [
"1.3.6.1.4.1.6449.1.2.2.7",
"2.23.140.1.2.1"
],
"extended_key_usage": [
"serverAuth",
"clientAuth"
],
"key_usage": [
"ff"
],
"subject_alternative_name": [
"example-panel.xyz",
"www.example-panel.xyz"
],
"subject_key_identifier": "4f6429eaccd761eca91d9120b004f9d962453fef",
"tags": []
},
"issuer": {
"C": "US",
"CN": "Example RSA Domain Validation Secure Server CA",
"L": "Mountain View",
"O": "Example Ltd.",
},
"public_key": {
"algorithm": "RSA",
"rsa": {
"exponent": "010001",
"key_size": 2048,
"modulus": "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"
}
},
"serial_number": "248562d360bcc919bb97883f0dfc609d",
"signature_algorithm": "sha256RSA",
"size": 1472,
"subject": {
"CN": "example-panel.xyz"
},
"tags": [],
"thumbprint": "f9aae62cc9262302e45d94fcc512d65529ea1b31",
"thumbprint_sha256": "406ac0efb0ef67de743b1ab0f4e0352564a7d5ebbd71e3a883c067acc3563016",
"validity": {
"not_after": "2021-08-06 23:59:59",
"not_before": "2020-08-06 00:00:00"
},
"version": "V3"
},
"last_https_certificate_date": 1605415789,
"last_modification_date": 1605430702,
"network": "203.0.113.0/24",
"regional_internet_registry": "EXAMPLE",
"reputation": -95,
"tags": [],
"total_votes": {
"harmless": 0,
"malicious": 10
},
"whois": "NetRange: 203.0.113.0 - 203.0.113.255\nCIDR: 203.0.113.0/24\nNetName: EXAMPLE-5\nNetHandle: NET-203-0-113-0-1\nParent: ()\nNetType: Allocated to EXAMPLE\nOrig",
"whois_date": 1603912270
},
"id": "203.0.113.1",
"links": {
"self": "https://www.virustotal.com/api/v3/ip_addresses/203.0.113.1"
},
"type": "ip_address"
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Mensajes de salida
La acción Enrich IP puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Enrich IP:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
URL de enriquecimiento
Usa la acción Enrich URL para enriquecer una URL con información de VirusTotal.
Esta acción se ejecuta en la entidad URL de Google SecOps.
Entradas de acción
La acción Enrich URL requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Engine Threshold |
Opcional. Es la cantidad mínima de motores que deben clasificar una URL como maliciosa o sospechosa para que se considere sospechosa. Si configuras |
Engine Percentage Threshold |
Opcional. Es el porcentaje mínimo de motores que deben clasificar la URL como maliciosa o sospechosa para que se considere sospechosa. Si configuras el parámetro Los valores válidos para este parámetro son del |
Engine Whitelist |
Opcional. Es una lista separada por comas de los nombres de los motores que la acción debe tener en cuenta cuando determina si un hash es malicioso. |
Resubmit URL |
Opcional. Si se selecciona, la acción vuelve a enviar la URL para su análisis en lugar de usar los resultados existentes. No está seleccionada de forma predeterminada. |
Resubmit After (Days) |
Opcional. Es la cantidad de días que deben transcurrir para volver a enviar la URL después del análisis más reciente. Este parámetro solo se aplica si seleccionas el parámetro El valor predeterminado es |
Retrieve Comments |
Opcional. Si se selecciona, la acción recupera los comentarios asociados a la URL. Esta opción se selecciona de forma predeterminada. |
Create Insight |
Opcional. Si se selecciona, la acción crea una estadística que contiene información sobre la URL analizada. Esta opción se selecciona de forma predeterminada. |
Only Suspicious Entity Insight |
Opcional. Si se selecciona esta opción, la acción solo generará estadísticas para las URLs que se consideren sospechosas según los parámetros de umbral. Este parámetro solo se aplica si seleccionas el parámetro No está seleccionada de forma predeterminada. |
Max Comments To Return |
Opcional. Es la cantidad máxima de comentarios que se recuperarán para cada ejecución de acción. El valor predeterminado es |
Widget Theme |
Opcional. Es el tema que se usará para el widget de VirusTotal. El valor predeterminado es Los valores posibles son los siguientes:
|
Fetch Widget |
Opcional. Si se selecciona, la acción recupera un widget aumentado que está relacionado con el hash. Esta opción se selecciona de forma predeterminada. |
Resultados de la acción
La acción Enrich URL proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | Disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento de entidades | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Vínculo al muro de casos
La acción Enrich URL puede proporcionar el siguiente vínculo para cada entidad enriquecida:
Nombre: Vínculo del informe
Valor: URL
Tabla del muro de casos
La acción Enrich URL puede proporcionar la siguiente tabla para cada entidad enriquecida:
Nombre de la tabla: ENTITY_ID
Columnas de la tabla:
- Nombre
- Categoría
- Método
- Resultado
La acción Enrich URL puede proporcionar la siguiente tabla para cada entidad que tenga comentarios:
Nombre de la tabla: Comments: ENTITY_ID
Columnas de la tabla:
- Fecha
- Comentario
- Votos de abuso
- Votos negativos
- Votos positivos
- ID
Tabla de enriquecimiento de entidades
En la siguiente tabla, se enumeran los campos enriquecidos con la acción Enrich URL:
| Nombre del campo de enriquecimiento | Aplicabilidad |
|---|---|
VT3_id |
Se aplica cuando está disponible en el resultado JSON. |
VT3_title |
Se aplica cuando está disponible en el resultado JSON. |
VT3_last_http_response_code |
Se aplica cuando está disponible en el resultado JSON. |
VT3_last_http_response_content_length |
Se aplica cuando está disponible en el resultado JSON. |
VT3_threat_names |
Se aplica cuando está disponible en el resultado JSON. |
VT3_harmless_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_malicious_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_suspicious_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_undetected_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_reputation |
Se aplica cuando está disponible en el resultado JSON. |
VT3_tags |
Se aplica cuando está disponible en el resultado JSON. |
VT3_malicious_vote_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_harmless_vote_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_report_link |
Se aplica cuando está disponible en el resultado JSON. |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Enrich URL:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"AEXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Mensajes de salida
La acción Enrich URL puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Enrich URL". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Enrich URL:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtén detalles del dominio
Usa la acción Get Domain Details para recuperar información detallada sobre el dominio con la información de VirusTotal.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
URLHostname
Entradas de acción
La acción Get Domain Details requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Engine Threshold |
Opcional. Es la cantidad mínima de motores que deben clasificar un dominio como malicioso o sospechoso para que se considere sospechoso. |
Engine Percentage Threshold |
Opcional. Es el porcentaje mínimo de motores que deben clasificar el dominio como malicioso o sospechoso para que se considere sospechoso. |
Engine Whitelist |
Opcional. Es una lista separada por comas de los nombres de los motores de búsqueda que se deben tener en cuenta cuando se evalúa el riesgo del dominio. |
Retrieve Comments |
Opcional. Si se selecciona, la acción recupera los comentarios asociados al dominio desde VirusTotal. Esta opción se selecciona de forma predeterminada. |
Create Insight |
Opcional. Si se selecciona, la acción crea una estadística con información sobre el dominio. Esta opción se selecciona de forma predeterminada. |
Only Suspicious Entity Insight |
Opcional. Si se selecciona, la acción genera estadísticas solo para las entidades que se consideran sospechosas según los parámetros de umbral. No está seleccionada de forma predeterminada. |
Max Comments To Return |
Opcional. Es la cantidad máxima de comentarios que se recuperarán para el dominio en cada ejecución de acción. El valor predeterminado es |
Widget Theme |
Opcional. Es el tema que se usará para el widget de VirusTotal. El valor predeterminado es Los valores posibles son los siguientes:
|
Fetch Widget |
Opcional. Si se selecciona, la acción recupera y muestra el widget de VirusTotal para el dominio. Esta opción se selecciona de forma predeterminada. |
Resultados de la acción
La acción Get Domain Details proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | Disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Vínculo al muro de casos
La acción Get Domain Details puede proporcionar el siguiente vínculo para cada entidad enriquecida:
Nombre: Vínculo del informe
Valor: URL
Tabla del muro de casos
La acción Get Domain Details puede proporcionar la siguiente tabla para cada entidad enriquecida:
Nombre de la tabla: ENTITY_ID
Columnas de la tabla:
- Nombre
- Categoría
- Método
- Resultado
La acción Get Domain Details puede proporcionar la siguiente tabla para cada entidad que tenga comentarios:
Nombre de la tabla: Comments: ENTITY_ID
Columnas de la tabla:
- Fecha
- Comentario
- Votos de abuso
- Votos negativos
- Votos positivos
- ID
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Domain Details:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Mensajes de salida
La acción Get Domain Details puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Get Domain Details". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Get Domain Details:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtén detalles del gráfico
Usa la acción Get Graph Details para obtener información detallada sobre los gráficos en VirusTotal.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Get Graph Details requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Graph ID |
Obligatorio. Es una lista separada por comas de los IDs de los gráficos para los que se recuperarán detalles. |
Max Links To Return |
Opcional. Es la cantidad máxima de vínculos que se devolverán para cada gráfico. El valor predeterminado es |
Resultados de la acción
La acción Get Graph Details proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Tabla del muro de casos
La acción Get Graph Details puede proporcionar la siguiente tabla para cada entidad enriquecida:
Nombre de la tabla: Vínculos de Graph ENTITY_ID
Columnas de la tabla:
- Origen
- Target
- Tipo de conexión
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Graph Details:
{
"data": {
"attributes": {
"comments_count": 0,
"creation_date": 1603219837,
"graph_data": {
"description": "Example LLC",
"version": "api-5.0.0"
},
"last_modified_date": 1603219837,
"links": [
{
"connection_type": "last_serving_ip_address",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "last_serving_ip_address",
"source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "network_location",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "network_location",
"source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "communicating_files",
"source": "203.0.113.3",
"target": "relationships_communicating_files_20301133"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
}
],
"nodes": [
{
"entity_attributes": {
"has_detections": false
},
"entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 0,
"text": "",
"type": "url",
"x": 51.22276722115952,
"y": 65.7811310194184
},
{
"entity_attributes": {},
"entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 1,
"text": "",
"type": "relationship",
"x": 25.415664700492094,
"y": 37.66636498768037
},
{
"entity_attributes": {
"country": "US"
},
"entity_id": "203.0.113.3",
"fx": -19.03611541222395,
"fy": 24.958500220062717,
"index": 2,
"text": "",
"type": "ip_address",
"x": -19.03611541222395,
"y": 24.958500220062717
},
{
"entity_attributes": {},
"entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 3,
"text": "",
"type": "relationship",
"x": 14.37403861978968,
"y": 56.85562691824892
},
{
"entity_attributes": {},
"entity_id": "relationships_communicating_files_20301133",
"index": 4,
"text": "",
"type": "relationship",
"x": -51.78097726144755,
"y": 10.087893225996158
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
"index": 5,
"text": "",
"type": "file",
"x": -79.11606194776019,
"y": -18.475026322309112
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
"index": 6,
"text": "",
"type": "file",
"x": -64.80938048199627,
"y": 46.75892061191275
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
"index": 7,
"text": "",
"type": "file",
"x": -43.54064004476819,
"y": -28.547923020662786
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
"index": 8,
"text": "",
"type": "file",
"x": -15.529860440278318,
"y": -2.068209789825876
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
"index": 9,
"text": "",
"type": "file",
"x": -42.55971948293377,
"y": 46.937155845680415
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "html"
},
"entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
"index": 10,
"text": "",
"type": "file",
"x": -62.447976875107706,
"y": -28.172418384729067
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
"index": 11,
"text": "",
"type": "file",
"x": -89.0326649183805,
"y": -2.2638551448322484
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
"index": 12,
"text": "",
"type": "file",
"x": -26.35260716195174,
"y": -20.25669077264115
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
"index": 13,
"text": "",
"type": "file",
"x": -82.1415994911387,
"y": 34.89636762607467
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "ENTITY_ID",
"index": 14,
"text": "",
"type": "file",
"x": -90.87738694680043,
"y": 16.374462198116138
}
],
"private": false,
"views_count": 30
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
}
}
Mensajes de salida
La acción Get Graph Details puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Get Graph Details". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Get Graph Details:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtener dominios relacionados
Usa la acción Get Related Domains para obtener los dominios relacionados con las entidades proporcionadas de VirusTotal.
Para ejecutar la acción Get Related Domains, se requiere VirusTotal Enterprise (VTE).
Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
HashHostnameIP AddressURL
Entradas de acción
La acción Get Related Domains requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Results |
Opcional. Es el orden en el que se devuelven los resultados en formato JSON. Los valores posibles son los siguientes:
Si seleccionas El valor predeterminado es |
Max Domains To Return |
Opcional. Es la cantidad de dominios que se devolverán. Si seleccionas El valor predeterminado es |
Resultados de la acción
La acción Get Related Domains proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Related Domains:
{
"domain": ["example.com"]
}
Mensajes de salida
La acción Get Related Domains puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Get Related Domains". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Get Related Domains:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtener hashes relacionados
Usa la acción Get Related Hashes para obtener los hashes relacionados con las entidades proporcionadas de VirusTotal.
Para ejecutar la acción Get Related Hashes, se requiere VirusTotal Enterprise (VTE).
Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
HashHostnameIP AddressURL
Entradas de acción
La acción Get Related Hashes requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Results |
Opcional. Es el orden en el que se devuelven los resultados en formato JSON. Los valores posibles son los siguientes:
Si seleccionas El valor predeterminado es |
Max Hashes To Return |
Opcional. Es la cantidad de hashes de archivos que se devolverán. Si seleccionas El valor predeterminado es |
Resultados de la acción
La acción Get Related Hashes proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Related Hashes:
{
"sha256_hashes": ["http://example.com"]
}
Mensajes de salida
La acción Get Related Hashes puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Get Related Hashes". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Get Related Hashes:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtener IPs relacionadas
Usa la acción Get Related IPs para obtener las direcciones IP relacionadas con las entidades proporcionadas de VirusTotal.
Para ejecutar la acción Get Related IPs, se requiere VirusTotal Enterprise (VTE).
Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
HashHostnameIP AddressURL
Entradas de acción
La acción Get Related IPs requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Results |
Opcional. Es el orden en el que se devuelven los resultados en formato JSON. Los valores posibles son los siguientes:
Si seleccionas El valor predeterminado es |
Max IPs To Return |
Opcional. Es la cantidad de direcciones IP que se devolverán. Si seleccionas El valor predeterminado es |
Resultados de la acción
La acción Get Related IPs proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Related IPs:
{
"ips": ["203.0.113.1"]
}
Mensajes de salida
La acción Get Related IPs puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Get Related IPs". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Get Related IPs:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Obtener URLs relacionadas
Usa la acción Get Related URLs para obtener las URLs relacionadas con las entidades proporcionadas de VirusTotal.
Para ejecutar la acción Get Related URLs, se requiere VirusTotal Enterprise (VTE).
Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
HashjsHostnameIP AddressURL
Entradas de acción
La acción Get Related URLs requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Results |
Opcional. Es el orden en el que se devuelven los resultados en formato JSON. Los valores posibles son los siguientes:
Si seleccionas El valor predeterminado es |
Max URLs To Return |
Opcional. Es la cantidad de URLs que se devolverán. Si seleccionas El valor predeterminado es |
Resultados de la acción
La acción Get Related URLs proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Get Related URLs:
{
"urls": ["http://example.com"]
}
Mensajes de salida
La acción Get Related URLs puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Get Related URLs". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Get Related URLs:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Ping
Usa la acción Ping para probar la conectividad a VirusTotal.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
Ninguno
Resultados de la acción
La acción Ping proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Mensajes de salida
La acción Ping puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Failed to connect to the VirusTotal server! Error is
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado de la secuencia de comandos cuando se usa la acción Ping:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Gráficos de entidades de búsqueda
Usa la acción Search Entity Graphs para buscar gráficos basados en las entidades de VirusTotal.
Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
HashIP AddressThreat ActorURLUser
Entradas de acción
La acción Search Entity Graphs requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Sort Field |
Opcional. Es el valor del campo por el que se ordenarán los gráficos de VirusTotal. El valor predeterminado es Los valores posibles son los siguientes:
|
Max Graphs To Return |
Opcional. Es la cantidad máxima de gráficos que se mostrarán para cada ejecución de acción. El valor predeterminado es |
Resultados de la acción
La acción Search Entity Graphs proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Search Entity Graphs:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
Mensajes de salida
La acción Search Entity Graphs puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Search Entity Graphs". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Gráficos de búsqueda
Usa la acción Search Graphs para buscar gráficos basados en filtros personalizados en VirusTotal.
Esta acción no se ejecuta en las entidades de Google SecOps.
| Parámetro | Descripción |
|---|---|
Query |
Obligatorio. Es el filtro de consulta del gráfico. Para obtener más información sobre las consultas, consulta Cómo crear consultas y Modificadores relacionados con gráficos. |
Sort Field |
Opcional. Es el valor del campo por el que se ordenarán los gráficos de VirusTotal. El valor predeterminado es Los valores posibles son los siguientes:
|
Max Graphs To Return |
Opcional. Es la cantidad máxima de gráficos que se mostrarán para cada ejecución de acción. El valor predeterminado es |
Cómo crear consultas
Para definir mejor los resultados de la búsqueda de gráficos, crea consultas que contengan modificadores relacionados con gráficos. Para mejorar la búsqueda, puedes combinar modificadores con los operadores AND, OR y NOT.
Los campos numéricos y de fecha admiten sufijos de más (+) o menos (-). Un sufijo de signo más coincide con los valores mayores que el valor proporcionado. El sufijo de signo menos coincide con los valores inferiores al valor proporcionado. Sin un sufijo, la búsqueda devuelve coincidencias exactas.
Para definir rangos, puedes usar el mismo modificador varias veces en una búsqueda. Por ejemplo, para buscar gráficos creados entre el 15 y el 20 de noviembre de 2018, usa la siguiente consulta:
creation_date:2018-11-15+ creation_date:2018-11-20-
En el caso de las fechas o los meses que comienzan con 0, quita el carácter 0 de la búsqueda.
Por ejemplo, dale formato a la fecha 2018-11-01 como 2018-11-1.
Modificadores relacionados con gráficos
En la siguiente tabla, se enumeran los modificadores que puedes usar para crear la búsqueda:
| Modificador | Descripción | Ejemplo |
|---|---|---|
Id |
Filtra por identificador de gráfico. | id:g675a2fd4c8834e288af |
Name |
Filtra por nombre del gráfico. | name:Example-name |
Owner |
Filtra por los gráficos que son propiedad del usuario. | owner:example_user |
Group |
Filtra los gráficos que son propiedad de un grupo. | group:example |
Visible_to_user |
Filtra por los gráficos visibles para el usuario. | visible_to_user:example_user |
Visible_to_group |
Filtra por los gráficos visibles para el grupo. | visible_to_group:example |
Private |
Filtra por gráficos privados. | private:true, private:false |
Creation_date |
Filtra por la fecha de creación del gráfico. | creation_date:2018-11-15 |
last_modified_date |
Filtra por la fecha de la modificación más reciente del gráfico. | last_modified_date:2018-11-20 |
Total_nodes |
Filtra por gráficos que contienen una cantidad específica de nodos. | total_nodes:100 |
Comments_count |
Filtra por la cantidad de comentarios en el gráfico. | comments_count:10+ |
Views_count |
Filtra por la cantidad de vistas del gráfico. | views_count:1000+ |
Label |
Filtra los gráficos que contienen nodos con una etiqueta específica. | label:Kill switch |
File |
Filtra los gráficos que contienen el archivo específico. | file:131f95c51cc819465fa17 |
Domain |
Filtra los gráficos que contienen el dominio específico. | domain:example.com |
Ip_address |
Filtra por los gráficos que contienen la dirección IP específica. | ip_address:203.0.113.1 |
Url |
Filtra por los gráficos que contienen la URL específica. | url:https://example.com/example/ |
Actor |
Filtra los gráficos que contienen el actor específico. | actor:example actor |
Victim |
Se filtra por los gráficos que contienen a la víctima específica. | victim:example_user |
Email |
Filtra por los gráficos que contienen la dirección de correo electrónico específica. | email:user@example.com |
Department |
Filtra los gráficos que contienen el departamento específico. | department:engineers |
Resultados de la acción
La acción Search Graphs proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Search Graphs:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
Mensajes de salida
La acción Search Graphs puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Search Graphs". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Search Graphs:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Buscar IOC
Usa la acción Search IOCs para buscar IOC en el conjunto de datos de VirusTotal.
Para ejecutar la acción Search IOCs, se requiere VirusTotal Enterprise (VTE).
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Search IOCs requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Query |
Obligatorio. Es la búsqueda para encontrar IOCs. El valor predeterminado es Para configurar la consulta, sigue la sintaxis de consulta aplicable a la interfaz de usuario de VirusTotal Intelligence. |
Create Entities |
Opcional. Si se selecciona, la acción crea entidades para los IOC devueltos. Esta acción no enriquece las entidades. No está seleccionada de forma predeterminada. |
Order By |
Obligatorio. Es el campo de ordenamiento para devolver los resultados. Los valores posibles son los siguientes:
Los tipos de entidades pueden tener diferentes campos de orden. Para obtener más información sobre cómo buscar archivos en VirusTotal, consulta Búsqueda avanzada en el corpus. El valor predeterminado es |
Sort Order |
Opcional. Es el orden en que se deben ordenar los resultados. Los valores posibles son los siguientes:
Si estableces el valor El valor predeterminado es |
Max IOCs To Return |
Opcional. Es la cantidad de IOCs que se devolverán. El valor máximo es El valor predeterminado es |
Resultados de la acción
La acción Search IOCs proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | No disponible |
| Tabla del muro de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Search IOCs:
{
"data": [
{
"attributes": {
"type_description": "Email",
"tlsh": "T1B4D31F04BE452B3093E7238E064E6FDBAFCC135F6611F1C60881AAD6C5C77A2E57D689",
"exiftool": {
"MIMEType": "text/plain",
"FileType": "TXT",
"WordCount": "2668",
"LineCount": "1820",
"MIMEEncoding": "us-ascii",
"FileTypeExtension": "txt",
"Newlines": "Windows CRLF"
},
"type_tags": [
"internet",
"email"
],
"threat_severity": {
"threat_severity_level": "SEVERITY_HIGH",
"threat_severity_data": {
"num_gav_detections": 3,
"has_vulnerabilities": true,
"popular_threat_category": "trojan",
"type_tag": "email",
"has_embedded_ips_with_detections": true
},
"last_analysis_date": "1698050597",
"version": 2,
"level_description": "Severity HIGH because it was considered trojan. Other contributing factors were that it has known exploits, it contains embedded IPs with detections and it could not be run in sandboxes."
},
"names": [
"Re Example.eml"
],
"last_modification_date": 1698057197,
"type_tag": "email",
"times_submitted": 1,
"total_votes": {
"harmless": 0,
"malicious": 0
},
"size": 132299,
"popular_threat_classification": {
"suggested_threat_label": "obfsobjdat/malformed",
"popular_threat_name": [
{
"count": 8,
"value": "obfsobjdat"
},
{
"count": 2,
"value": "malformed"
}
]
},
"last_submission_date": 1698049979,
"last_analysis_results": {
"Bkav": {
"category": "undetected",
"engine_name": "Example1",
"engine_version": "2.0.0.1",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
"Lionic": {
"category": "undetected",
"engine_name": "Example2",
"engine_version": "7.5",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
},
"downloadable": true,
"trid": [
{
"file_type": "file seems to be plain text/ASCII",
"probability": 0
}
],
"sha256": "2d9df36964fe2e477e6e0f7a73391e4d4b2eeb0995dd488b431c4abfb4c27dbf",
"type_extension": "eml",
"tags": [
"exploit",
"cve-2018-0802",
"cve-2018-0798",
"email",
"cve-2017-11882"
],
"last_analysis_date": 1698049979,
"unique_sources": 1,
"first_submission_date": 1698049979,
"ssdeep": "768:MedEkBNnx8ueVV+fitChi9KbpK0fixbRwHbcElIK944tCVQOgzdsSuom+cWmsCGY:Meo+fitC0mKuixYxlI1OO1cSPo0gptA",
"md5": "bdfe36052e0c083869505ef4fd77e865",
"sha1": "3a350de97009efe517ceffcea406534bb1ab800c",
"magic": "SMTP mail, ASCII text, with CRLF line terminators",
"last_analysis_stats": {
"harmless": 0,
"type-unsupported": 16,
"suspicious": 0,
"confirmed-timeout": 0,
"timeout": 0,
"failure": 0,
"malicious": 28,
"undetected": 32
},
"meaningful_name": "Re Example.eml",
"reputation": 0
},
"type": "file",
"id": "ID",
"links": {
"self": "URL"
}
},
]
}
Mensajes de salida
La acción Search IOCs puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Search IOCs". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Search IOCs:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Enviar archivo
Usa la acción Submit File para enviar un archivo y obtener resultados de VirusTotal.
Esta acción no se ejecuta en las entidades de Google SecOps.
Entradas de acción
La acción Submit File requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
File Paths |
Obligatorio. Lista separada por comas de las rutas de acceso absolutas de los archivos que se enviarán. Si configuras el parámetro |
Engine Threshold |
Opcional. Es la cantidad mínima de motores que deben clasificar un archivo como malicioso o sospechoso para que se considere sospechoso. Si configuras |
Engine Percentage Threshold |
Opcional. Es el porcentaje mínimo de motores que deben clasificar el archivo como malicioso o sospechoso para que se considere sospechoso. |
Engine Whitelist |
Opcional. Es una lista separada por comas de los nombres de los motores que se deben tener en cuenta cuando se evalúa el riesgo, como Si no estableces un valor, la acción usa todos los motores disponibles. El cálculo del umbral no incluye los motores que no proporcionan información sobre las entidades. |
Retrieve Comments |
Opcional. Si se selecciona, la acción recupera los comentarios asociados al archivo de VirusTotal. Esta opción se selecciona de forma predeterminada. Cuando se habilita el envío privado, no se recuperan los comentarios. |
Retrieve Sigma Analysis |
Opcional. Si se selecciona, la acción recupera los resultados del análisis de Sigma para el archivo. Esta opción se selecciona de forma predeterminada. |
Max Comments To Return |
Opcional. Es la cantidad máxima de comentarios que se recuperarán para cada ejecución de acción. El valor predeterminado es |
Linux Server Address |
Opcional. Dirección IP o nombre de host de un servidor Linux remoto en el que se encuentran los archivos. |
Linux Username |
Opcional. Nombre de usuario para autenticarse en el servidor Linux remoto. |
Linux Password |
Opcional. Contraseña para autenticarse en el servidor Linux remoto. |
Private Submission |
Opcional. Si se selecciona, la acción envía el archivo de forma privada. Para enviar el archivo de forma privada, se requiere acceso a VirusTotal Premium. No está seleccionada de forma predeterminada. |
Fetch MITRE Details |
Opcional. Si se selecciona, la acción recupera las técnicas y tácticas de MITRE ATT&CK® relacionadas con el hash. No está seleccionada de forma predeterminada. |
Lowest MITRE Technique Severity |
Opcional. Es el nivel de gravedad mínimo para que se incluya una técnica de MITRE ATT&CK en los resultados. La acción trata la gravedad Los valores posibles son los siguientes:
El valor predeterminado es |
Retrieve AI Summary |
Opcional. Este parámetro es experimental. Si se selecciona, la acción recupera un resumen generado por IA para el archivo. Esta opción solo está disponible para los envíos privados. No está seleccionada de forma predeterminada. |
Resultados de la acción
La acción Submit File proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del muro de casos | No disponible |
| Vínculo al muro de casos | Disponible |
| Tabla del muro de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de secuencia de comandos | Disponible |
Vínculo al muro de casos
La acción Submit File puede proporcionar el siguiente vínculo para cada entidad enriquecida:
Nombre: Vínculo del informe: PATH
Valor: URL
Tabla del muro de casos
La acción Submit File puede proporcionar la siguiente tabla para cada archivo enviado:
Nombre de la tabla: Resultados: PATH
Columnas de la tabla:
- Nombre
- Categoría
- Método
- Resultado
La acción Submit File puede proporcionar la siguiente tabla para cada archivo enviado que tenga comentarios:
Nombre de la tabla: Comments: PATH
Columnas de la tabla:
- Fecha
- Comentario
- Votos de abuso
- Votos negativos
- Votos positivos
- ID
La acción Submit File puede proporcionar la siguiente tabla para cada entidad que tenga los resultados del análisis de Sigma:
Nombre de la tabla: Análisis de Sigma: ENTITY_ID
Columnas de la tabla:
- ID
- Gravedad
- Origen
- Título
- Descripción
- Contexto de la coincidencia
Resultado de JSON
En el siguiente ejemplo, se muestra el resultado JSON que se recibe cuando se usa la acción Submit File:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Mensajes de salida
La acción Submit File puede devolver los siguientes mensajes de salida:
| Mensaje de salida | Descripción del mensaje |
|---|---|
|
La acción se completó correctamente. |
Error executing action "Submit File". Reason:
ERROR_REASON |
No se pudo realizar la acción. Verifica la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de secuencia de comandos
En la siguiente tabla, se indica el valor del resultado del script cuando se usa la acción Submit File:
| Nombre del resultado de la secuencia de comandos | Valor |
|---|---|
is_success |
True o False |
Conectores
Para obtener más detalles sobre cómo configurar conectores en Google SecOps, consulta Ingiere tus datos (conectores).
Conector de Livehunt de VirusTotal
Usa el conector de VirusTotal Livehunt para extraer información sobre las notificaciones de VirusTotal Livehunt y los archivos relacionados.
Este conector requiere un token de la API de VirusTotal Premium. La lista dinámica funciona con el parámetro rule_name.
Entradas del conector
El conector de Livehunt de VirusTotal requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio. Es el nombre del campo en el que se almacena el nombre del producto. El valor predeterminado es El nombre del producto afecta principalmente la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado |
Event Field Name |
Obligatorio. Es el nombre del campo en el que se almacena el nombre del evento (subtipo). El valor predeterminado es |
Environment Field Name |
Opcional. Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo del entorno, el conector usa el valor predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Opcional. Es un patrón de expresión regular que se ejecutará en el valor que se encuentra en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno es el entorno predeterminado. |
PythonProcessTimeout |
Obligatorio. Es el límite de tiempo de espera en segundos para el proceso de Python que ejecuta el script actual. El valor predeterminado es |
API Key |
Obligatorio. Es la clave de la API de VirusTotal. |
Verify SSL |
Obligatorio. Si se selecciona, la integración valida el certificado SSL cuando se conecta a VirusTotal. Esta opción se selecciona de forma predeterminada. |
Engine Whitelist |
Opcional. Es una lista separada por comas de los nombres de los motores que se deben tener en cuenta cuando se evalúa el valor del parámetro Si no estableces un valor, la acción usa todos los motores disponibles. |
Engine Percentage Threshold To Fetch |
Obligatorio. Es el porcentaje mínimo de motores que marcan el archivo como malicioso o sospechoso para que el conector lo ingiera. Los valores válidos van desde El valor predeterminado es |
Max Hours Backwards |
Opcional. Cantidad de horas previas a la primera iteración del conector para recuperar los incidentes. Este parámetro se puede aplicar a la iteración inicial del conector después de que lo habilites por primera vez o al valor de resguardo para una marca de tiempo del conector vencida. El valor predeterminado es |
Max Notifications To Fetch |
Opcional. Es la cantidad máxima de notificaciones que se procesarán en cada ejecución del conector. El valor predeterminado es |
Use dynamic list as a blacklist |
Obligatorio. Si se selecciona, la lista dinámica se usa como lista de bloqueo. No está seleccionada de forma predeterminada. |
Proxy Server Address |
Opcional. Es la dirección del servidor proxy que se usará. |
Proxy Username |
Opcional. Nombre de usuario para la autenticación del servidor proxy. |
Proxy Password |
Opcional. Es la contraseña para la autenticación del servidor proxy. |
Reglas del conector
El conector admite proxies.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.