Intégrer VirusTotal v3 à Google SecOps
Ce document explique comment intégrer VirusTotal v3 à Google Security Operations (Google SecOps).
Version de l'intégration : 34.0
Cette intégration utilise l'API VirusTotal v3. Pour en savoir plus sur l'API VirusTotal v3, consultez la présentation de l'API VirusTotal v3.
Cette intégration utilise un ou plusieurs composants Open Source. Vous pouvez télécharger une copie compressée du code source complet de cette intégration à partir du bucket Cloud Storage.
Cas d'utilisation
L'intégration VirusTotal v3 peut vous aider à résoudre les cas d'utilisation suivants :
Analyse de fichiers : utilisez les fonctionnalités Google SecOps pour envoyer un hachage de fichier ou un fichier à VirusTotal afin de l'analyser, et récupérez les résultats de l'analyse de plusieurs moteurs antivirus pour déterminer si l'élément envoyé est malveillant.
Analyse des URL : utilisez les fonctionnalités Google SecOps pour exécuter une URL dans la base de données VirusTotal afin d'identifier les sites Web ou les pages d'hameçonnage potentiellement malveillants.
Analyse des adresses IP : utilisez les fonctionnalités Google SecOps pour examiner une adresse IP, identifier sa réputation et toute activité malveillante associée.
Analyse de domaine : utilisez les fonctionnalités Google SecOps pour analyser un nom de domaine et identifier sa réputation ainsi que toute activité malveillante associée, comme l'hameçonnage ou la distribution de logiciels malveillants.
Retrochasse : utilisez les fonctionnalités Google SecOps pour parcourir les données historiques de VirusTotal et rechercher les fichiers, URL, adresses IP ou domaines qui ont déjà été signalés comme malveillants.
Enrichissement automatique : utilisez les fonctionnalités Google SecOps pour enrichir automatiquement les données des incidents avec des informations sur les menaces.
Enquête sur l'hameçonnage : utilisez les fonctionnalités Google SecOps pour analyser les e-mails et les pièces jointes suspects en les envoyant à VirusTotal pour analyse.
Analyse des logiciels malveillants : utilisez les fonctionnalités Google SecOps pour importer des échantillons de logiciels malveillants dans VirusTotal afin de les analyser de manière dynamique et statique, et obtenir des informations sur leur comportement et leur impact potentiel.
Avant de commencer
Pour fonctionner correctement, cette intégration nécessite l'API VirusTotal Premium. Pour en savoir plus sur l'API VirusTotal Premium, consultez API publique et API Premium.
Avant de configurer l'intégration VirusTotal v3 dans Google SecOps, configurez une clé API dans VirusTotal.
Pour configurer la clé API, procédez comme suit :
- Connectez-vous au portail VirusTotal.
- Sous votre nom d'utilisateur, cliquez sur Clé API.
- Copiez la clé API générée pour l'utiliser dans les paramètres d'intégration.
- Cliquez sur Enregistrer.
Paramètres d'intégration
L'intégration VirusTotal v3 nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
API Key |
Obligatoire. Clé API VirusTotal. |
Verify SSL |
Facultatif. Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion à VirusTotal. Cette option est sélectionnée par défaut. |
Pour obtenir des instructions sur la configuration d'une intégration dans Google SecOps, consultez Configurer des intégrations.
Vous pourrez apporter des modifications ultérieurement, si nécessaire. Une fois que vous avez configuré une instance d'intégration, vous pouvez l'utiliser dans des playbooks. Pour savoir comment configurer et prendre en charge plusieurs instances, consultez Prise en charge de plusieurs instances.
Actions
Pour en savoir plus sur les actions, consultez Répondre aux actions en attente dans Votre espace de travail et Effectuer une action manuelle.
Ajouter un commentaire à une entité
Utilisez l'action Ajouter un commentaire à une entité pour ajouter un commentaire aux entités dans VirusTotal.
Cette action s'exécute sur les entités Google SecOps suivantes :
File HashHostnameIP AddressURL
Cette action n'est compatible qu'avec les hachages MD5, SHA-1 et SHA-256.
Entrées d'action
L'action Ajouter un commentaire à l'entité nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Comment |
Obligatoire. Commentaire à ajouter aux entités. |
Sorties d'action
L'action Ajouter un commentaire à l'entité fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre les résultats JSON reçus lors de l'utilisation de l'action Ajouter un commentaire à l'entité :
{
"Status": "Done"
}
{
"Status": "Not done"
}
Messages de sortie
L'action Ajouter un commentaire à l'entité peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Add Comment To Entity". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Ajouter un commentaire à l'entité :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Ajouter un vote à une entité
Utilisez l'action Ajouter un vote à une entité pour ajouter un vote aux entités dans VirusTotal.
Cette action s'exécute sur les entités Google SecOps suivantes :
File HashHostnameIP AddressURL
Cette action n'est compatible qu'avec les hachages MD5, SHA-1 et SHA-256.
Entrées d'action
L'action Ajouter un vote à une entité nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Vote |
Obligatoire. Vote à ajouter aux entités. Voici les valeurs possibles :
|
Sorties d'action
L'action Ajouter un vote à l'entité fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Ajouter un vote à l'entité :
{
"Status": "Done"
}
{
"Status": "Not done"
}
Messages de sortie
L'action Add Vote To Entity peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Add Vote To Entity". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Ajouter un vote à l'entité :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Télécharger le fichier
Utilisez l'action Download File (Télécharger le fichier) pour télécharger un fichier depuis VirusTotal.
Pour exécuter l'action Télécharger le fichier, vous devez disposer de VirusTotal Enterprise (VTE).
Cette action s'exécute sur l'entité Hash de Google SecOps.
Cette action n'est compatible qu'avec les hachages MD5, SHA-1 et SHA-256.
Entrées d'action
L'action Télécharger le fichier nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Download Folder Path |
Obligatoire. Chemin d'accès au dossier dans lequel stocker les fichiers téléchargés. |
Overwrite |
Facultatif. Si cette option est sélectionnée, l'action écrase un fichier existant avec le nouveau fichier si les noms de fichiers sont identiques. Cette option est sélectionnée par défaut. |
Sorties d'action
L'action Télécharger le fichier fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Télécharger le fichier :
{
"absolute_file_paths": ["file_path_1","file_path_2"]
}
Messages de sortie
L'action Télécharger le fichier peut renvoyer les messages de résultat suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Download File". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Hachage d'enrichissement
Utilisez l'action Enrichir le hachage pour enrichir les hachages avec des informations provenant de VirusTotal.
Cette action s'exécute sur l'entité Hash de Google SecOps.
Cette action n'est compatible qu'avec les hachages MD5, SHA-1 et SHA-256.
Entrées d'action
L'action Enrichir le hachage nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Engine Threshold |
Facultatif. Nombre minimal de moteurs qui doivent classer une entité comme malveillante ou suspecte pour qu'elle soit considérée comme suspecte. Si vous configurez |
Engine Percentage Threshold |
Facultatif. Pourcentage minimal de moteurs qui marquent l'entité comme malveillante ou suspecte pour que l'entité soit considérée comme suspecte. Si vous configurez Les valeurs valides pour ce paramètre sont comprises entre |
Engine Whitelist |
Facultatif. Liste de noms de moteurs séparés par une virgule pour l'action à prendre en compte lors de la détermination du caractère malveillant d'un hachage. Si vous ne définissez pas de valeur, l'action utilise tous les moteurs disponibles. Le calcul du seuil n'inclut pas les moteurs qui ne fournissent aucune information sur les entités. |
Resubmit Hash |
Facultatif. Si cette option est sélectionnée, l'action renvoie le hachage pour analyse au lieu d'utiliser les résultats existants. (non sélectionnée par défaut). |
Resubmit After (Days) |
Facultatif. Nombre de jours pour renvoyer le hachage après la dernière analyse. Ce paramètre ne s'applique que si vous sélectionnez le paramètre La valeur par défaut est |
Retrieve Comments |
Facultatif. Si cette option est sélectionnée, l'action récupère les commentaires associés au hachage. Cette option est sélectionnée par défaut. |
Retrieve Sigma Analysis |
Facultatif. Si cette option est sélectionnée, l'action récupère les résultats de l'analyse Sigma pour le hachage. Cette option est sélectionnée par défaut. |
Sandbox |
Facultatif. Liste d'environnements de bac à sable séparés par une virgule à utiliser pour l'analyse du comportement. Si vous ne définissez pas de valeur, l'action utilise la valeur par défaut. La valeur par défaut est |
Retrieve Sandbox Analysis |
Facultatif. Si cette option est sélectionnée, l'action récupère les résultats de l'analyse du bac à sable pour le hachage et crée une section distincte dans la sortie JSON pour chaque bac à sable spécifié. Cette option est sélectionnée par défaut. |
Create Insight |
Facultatif. Si cette option est sélectionnée, l'action crée un insight contenant des informations sur le hachage analysé. Cette option est sélectionnée par défaut. |
Only Suspicious Entity Insight |
Facultatif. Si cette option est sélectionnée, l'action ne génère des insights que pour les hachages considérés comme suspects en fonction des paramètres de seuil. Ce paramètre ne s'applique que si vous sélectionnez le paramètre (non sélectionnée par défaut). |
Max Comments To Return |
Facultatif. Nombre maximal de commentaires à récupérer pour chaque exécution d'action. La valeur par défaut est |
Widget Theme |
Facultatif. Thème à utiliser pour le widget VirusTotal. La valeur par défaut est Les valeurs possibles sont les suivantes :
|
Fetch Widget |
Facultatif. Si cette option est sélectionnée, l'action récupère un widget enrichi associé au hachage. Cette option est sélectionnée par défaut. |
Fetch MITRE Details |
Facultatif. Si cette option est sélectionnée, l'action récupère les techniques et tactiques MITRE ATT&CK qui sont liées au hachage. (non sélectionnée par défaut). |
Lowest MITRE Technique Severity |
Facultatif. Niveau de gravité minimal pour qu'une technique MITRE ATT&CK soit incluse dans les résultats. L'action traite la gravité Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Sorties d'action
L'action Enrichir le hachage fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Disponible |
| Table du mur des cas | Disponible |
| Table d'enrichissement des entités | Disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Lien vers le mur des cas
L'action Enrichir le hachage peut fournir le lien suivant pour chaque entité enrichie :
Nom : Lien vers le rapport
Valeur : URL
Table du mur des cas
L'action Enrichir le hachage peut fournir le tableau suivant pour chaque entité enrichie :
Nom de la table : ENTITY_ID
Colonnes du tableau :
- Nom
- Catégorie
- Méthode
- Résultat
L'action Enrichir le hachage peut fournir le tableau suivant pour chaque entité comportant des commentaires :
Nom de la table : Comments: ENTITY_ID
Colonnes du tableau :
- Date
- Commentaire
- Votes pour utilisation abusive
- Votes négatifs
- Votes positifs
- ID
L'action Enrichir le hachage peut fournir le tableau suivant pour chaque entité contenant les résultats de l'analyse Sigma :
Nom de la table : Analyse Sigma : ENTITY_ID
Colonnes du tableau :
- ID
- Gravité
- Source
- Title
- Description
- Contexte du match
Table d'enrichissement des entités
Le tableau suivant liste les champs enrichis à l'aide de l'action Enrichir le hachage :
| Nom du champ d'enrichissement | Applicabilité |
|---|---|
VT3_id |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_magic |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_md5 |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_sha1 |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_sha256 |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_ssdeep |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_tlsh |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_vhash |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_meaningful_name |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_magic |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_harmless_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_malicious_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_suspicious_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_undetected_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_reputation |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_tags |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_malicious_vote_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_harmless_vote_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_report_link |
S'applique lorsqu'il est disponible dans le résultat JSON. |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Enrichir le hachage :
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}]
}
Messages de sortie
L'action Enrichir le hachage peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Enrich Hash". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Enrichir le hachage :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Enrichir un IOC
Utilisez l'action Enrichir les IOC pour enrichir les indicateurs de compromission (IOC) à l'aide des informations de VirusTotal.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Enrichir l'IOC nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
IOC Type |
Facultatif. Type d'IOC à enrichir. La valeur par défaut est Les valeurs possibles sont les suivantes :
|
IOCs |
Obligatoire. Liste d'IOC à enrichir, séparés par une virgule. |
Widget Theme |
Facultatif. Thème à utiliser pour le widget. La valeur par défaut est Les valeurs possibles sont les suivantes :
|
Fetch Widget |
Facultatif. Si cette option est sélectionnée, l'action récupère le widget pour l'IOC. Cette option est sélectionnée par défaut. |
Sorties d'action
L'action Enrichir l'IOC fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Disponible |
| Table du mur des cas | Disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Lien vers le mur des cas
L'action Enrichir l'IOC peut fournir le lien suivant pour chaque entité enrichie :
Nom : Lien vers le rapport
Valeur : URL
Table du mur des cas
L'action Enrichir l'IOC peut fournir le tableau suivant pour chaque entité enrichie :
Nom de la table : IOC_ID
Colonnes du tableau :
- Nom
- Catégorie
- Méthode
- Résultat
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Enrichir l'IOC :
{
"ioc": {
"identifier": "203.0.113.1",
"details": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"report_link": "{generated report link}",
"widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
}
}
}
Messages de sortie
L'action Ping peut renvoyer les messages de résultat suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Enrich IOC". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Enrichir l'IOC :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Enrichir l'adresse IP
Utilisez l'action Enrichir l'adresse IP pour enrichir les adresses IP à l'aide des informations de VirusTotal.
Cette action s'exécute sur l'entité IP Address de Google SecOps.
Entrées d'action
L'action Enrichir l'adresse IP nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Engine Threshold |
Facultatif. Nombre minimal de moteurs qui doivent classer une entité comme malveillante ou suspecte pour qu'elle soit considérée comme suspecte. Si vous configurez |
Engine Percentage Threshold |
Facultatif. Pourcentage minimal de moteurs qui doivent classer l'entité comme malveillante ou suspecte pour qu'elle soit considérée comme suspecte. Si vous configurez le paramètre Les valeurs valides pour ce paramètre sont comprises entre |
Engine Whitelist |
Facultatif. Liste de noms de moteurs séparés par une virgule pour l'action à prendre en compte lors de la détermination du caractère malveillant d'un hachage. Si vous ne définissez pas de valeur, l'action utilise tous les moteurs disponibles. Le calcul du seuil n'inclut pas les moteurs qui ne fournissent aucune information sur les entités. |
Retrieve Comments |
Facultatif. Si cette option est sélectionnée, l'action récupère les commentaires associés au hachage. Cette option est sélectionnée par défaut. |
Create Insight |
Facultatif. Si cette option est sélectionnée, l'action crée un insight contenant des informations sur le hachage analysé. Cette option est sélectionnée par défaut. |
Only Suspicious Entity Insight |
Facultatif. Si cette option est sélectionnée, l'action ne génère des insights que pour les hachages considérés comme suspects en fonction des paramètres de seuil. Ce paramètre ne s'applique que si vous sélectionnez le paramètre (non sélectionnée par défaut). |
Max Comments To Return |
Facultatif. Nombre maximal de commentaires à récupérer pour chaque exécution d'action. La valeur par défaut est |
Widget Theme |
Facultatif. Thème à utiliser pour le widget VirusTotal. La valeur par défaut est Les valeurs possibles sont les suivantes :
|
Fetch Widget |
Facultatif. Si cette option est sélectionnée, l'action récupère un widget enrichi associé au hachage. Cette option est sélectionnée par défaut. |
Sorties d'action
L'action Enrichir l'adresse IP fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Disponible |
| Table du mur des cas | Disponible |
| Table d'enrichissement des entités | Disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Lien vers le mur des cas
L'action Enrichir l'adresse IP peut fournir le lien suivant pour chaque entité enrichie :
Nom : Lien vers le rapport
Valeur : URL
Table du mur des cas
L'action Enrichir l'adresse IP peut fournir le tableau suivant pour chaque entité enrichie :
Nom de la table : ENTITY_ID
Colonnes du tableau :
- Nom
- Catégorie
- Méthode
- Résultat
L'action Enrichir l'adresse IP peut fournir le tableau suivant pour chaque entité comportant des commentaires :
Nom de la table : Comments: ENTITY_ID
Colonnes du tableau :
- Date
- Commentaire
- Votes pour utilisation abusive
- Votes négatifs
- Votes positifs
- ID
Table d'enrichissement des entités
Le tableau suivant liste les champs enrichis à l'aide de l'action Enrichir l'adresse IP :
| Nom du champ d'enrichissement | Applicabilité |
|---|---|
VT3_id |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_owner |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_asn |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_continent |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_country |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_harmless_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_malicious_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_suspicious_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_undetected_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_certificate_valid_not_after |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_certificate_valid_not_before |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_reputation |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_tags |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_malicious_vote_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_harmless_vote_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_report_link |
S'applique lorsqu'il est disponible dans le résultat JSON. |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Enrichir l'adresse IP :
{
"data": {
"attributes": {
"as_owner": "Example",
"asn": 50673,
"continent": "EU",
"country": "NL",
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "ExampleLabs",
"method": "blacklist",
"result": "clean"
},
"example.com URL checker": {
"category": "harmless",
"engine_name": "example.com URL checker",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 81,
"malicious": 5,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_https_certificate": {
"cert_signature": {
"signature": "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",
"signature_algorithm": "sha256RSA"
},
"extensions": {
"1.3.6.1.4.1.11129.2.4.2": "0481f200f00075007d3ef2f88fff88556824c2c0ca9e5289792bc50e78097f2e",
"CA": true,
"authority_key_identifier": {
"keyid": "KEY_ID"
},
"ca_information_access": {
"CA Issuers": "http://example.RSADomainValidationSecureServerCA.crt",
"OCSP": "http://example.com"
},
"certificate_policies": [
"1.3.6.1.4.1.6449.1.2.2.7",
"2.23.140.1.2.1"
],
"extended_key_usage": [
"serverAuth",
"clientAuth"
],
"key_usage": [
"ff"
],
"subject_alternative_name": [
"example-panel.xyz",
"www.example-panel.xyz"
],
"subject_key_identifier": "4f6429eaccd761eca91d9120b004f9d962453fef",
"tags": []
},
"issuer": {
"C": "US",
"CN": "Example RSA Domain Validation Secure Server CA",
"L": "Mountain View",
"O": "Example Ltd.",
},
"public_key": {
"algorithm": "RSA",
"rsa": {
"exponent": "010001",
"key_size": 2048,
"modulus": "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"
}
},
"serial_number": "248562d360bcc919bb97883f0dfc609d",
"signature_algorithm": "sha256RSA",
"size": 1472,
"subject": {
"CN": "example-panel.xyz"
},
"tags": [],
"thumbprint": "f9aae62cc9262302e45d94fcc512d65529ea1b31",
"thumbprint_sha256": "406ac0efb0ef67de743b1ab0f4e0352564a7d5ebbd71e3a883c067acc3563016",
"validity": {
"not_after": "2021-08-06 23:59:59",
"not_before": "2020-08-06 00:00:00"
},
"version": "V3"
},
"last_https_certificate_date": 1605415789,
"last_modification_date": 1605430702,
"network": "203.0.113.0/24",
"regional_internet_registry": "EXAMPLE",
"reputation": -95,
"tags": [],
"total_votes": {
"harmless": 0,
"malicious": 10
},
"whois": "NetRange: 203.0.113.0 - 203.0.113.255\nCIDR: 203.0.113.0/24\nNetName: EXAMPLE-5\nNetHandle: NET-203-0-113-0-1\nParent: ()\nNetType: Allocated to EXAMPLE\nOrig",
"whois_date": 1603912270
},
"id": "203.0.113.1",
"links": {
"self": "https://www.virustotal.com/api/v3/ip_addresses/203.0.113.1"
},
"type": "ip_address"
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Messages de sortie
L'action Enrichir l'adresse IP peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Enrichir l'adresse IP :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
URL d'enrichissement
Utilisez l'action Enrichir l'URL pour enrichir une URL à l'aide des informations de VirusTotal.
Cette action s'exécute sur l'entité URL de Google SecOps.
Entrées d'action
L'action Enrichir l'URL nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Engine Threshold |
Facultatif. Nombre minimal de moteurs qui doivent classer une URL comme malveillante ou suspecte pour qu'elle soit considérée comme suspecte. Si vous configurez |
Engine Percentage Threshold |
Facultatif. Pourcentage minimal de moteurs qui doivent classer l'URL comme malveillante ou suspecte pour qu'elle soit considérée comme suspecte. Si vous configurez le paramètre Les valeurs valides pour ce paramètre sont comprises entre |
Engine Whitelist |
Facultatif. Liste de noms de moteurs séparés par une virgule pour l'action à prendre en compte lors de la détermination du caractère malveillant d'un hachage. |
Resubmit URL |
Facultatif. Si cette option est sélectionnée, l'action renvoie l'URL pour analyse au lieu d'utiliser les résultats existants. (non sélectionnée par défaut). |
Resubmit After (Days) |
Facultatif. Nombre de jours pour renvoyer l'URL après la dernière analyse. Ce paramètre ne s'applique que si vous sélectionnez le paramètre La valeur par défaut est |
Retrieve Comments |
Facultatif. Si cette option est sélectionnée, l'action récupère les commentaires associés à l'URL. Cette option est sélectionnée par défaut. |
Create Insight |
Facultatif. Si cette option est sélectionnée, l'action crée un insight contenant des informations sur l'URL analysée. Cette option est sélectionnée par défaut. |
Only Suspicious Entity Insight |
Facultatif. Si cette option est sélectionnée, l'action ne génère des insights que pour les URL considérées comme suspectes en fonction des paramètres de seuil. Ce paramètre ne s'applique que si vous sélectionnez le paramètre (non sélectionnée par défaut). |
Max Comments To Return |
Facultatif. Nombre maximal de commentaires à récupérer pour chaque exécution d'action. La valeur par défaut est |
Widget Theme |
Facultatif. Thème à utiliser pour le widget VirusTotal. La valeur par défaut est Les valeurs possibles sont les suivantes :
|
Fetch Widget |
Facultatif. Si cette option est sélectionnée, l'action récupère un widget enrichi associé au hachage. Cette option est sélectionnée par défaut. |
Sorties d'action
L'action Enrichir l'URL fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Disponible |
| Table du mur des cas | Disponible |
| Table d'enrichissement des entités | Disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Lien vers le mur des cas
L'action Enrichir l'URL peut fournir le lien suivant pour chaque entité enrichie :
Nom : Lien vers le rapport
Valeur : URL
Table du mur des cas
L'action Enrichir l'URL peut fournir le tableau suivant pour chaque entité enrichie :
Nom de la table : ENTITY_ID
Colonnes du tableau :
- Nom
- Catégorie
- Méthode
- Résultat
L'action Enrichir l'URL peut fournir le tableau suivant pour chaque entité comportant des commentaires :
Nom de la table : Comments: ENTITY_ID
Colonnes du tableau :
- Date
- Commentaire
- Votes pour utilisation abusive
- Votes négatifs
- Votes positifs
- ID
Table d'enrichissement des entités
Le tableau suivant répertorie les champs enrichis à l'aide de l'action Enrichir l'URL :
| Nom du champ d'enrichissement | Applicabilité |
|---|---|
VT3_id |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_title |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_last_http_response_code |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_last_http_response_content_length |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_threat_names |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_harmless_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_malicious_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_suspicious_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_undetected_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_reputation |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_tags |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_malicious_vote_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_harmless_vote_count |
S'applique lorsqu'il est disponible dans le résultat JSON. |
VT3_report_link |
S'applique lorsqu'il est disponible dans le résultat JSON. |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Enrichir l'URL :
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"AEXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Messages de sortie
L'action Enrichir l'URL peut renvoyer les messages de résultat suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Enrich URL". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Enrichir l'URL :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir les détails du domaine
Utilisez l'action Obtenir les détails du domaine pour récupérer des informations détaillées sur le domaine à l'aide des informations de VirusTotal.
Cette action s'exécute sur les entités Google SecOps suivantes :
URLHostname
Entrées d'action
L'action Obtenir les détails du domaine nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Engine Threshold |
Facultatif. Nombre minimal de moteurs qui doivent classer un domaine comme malveillant ou suspect pour qu'il soit considéré comme suspect. |
Engine Percentage Threshold |
Facultatif. Pourcentage minimal de moteurs qui doivent classer le domaine comme malveillant ou suspect pour qu'il soit considéré comme suspect. |
Engine Whitelist |
Facultatif. Liste de noms de moteurs séparés par une virgule à prendre en compte lors de l'évaluation du risque de domaine. |
Retrieve Comments |
Facultatif. Si cette option est sélectionnée, l'action récupère les commentaires associés au domaine à partir de VirusTotal. Cette option est sélectionnée par défaut. |
Create Insight |
Facultatif. Si cette option est sélectionnée, l'action crée un insight contenant des informations sur le domaine. Cette option est sélectionnée par défaut. |
Only Suspicious Entity Insight |
Facultatif. Si cette option est sélectionnée, l'action ne génère des insights que pour les entités considérées comme suspectes en fonction des paramètres de seuil. (non sélectionnée par défaut). |
Max Comments To Return |
Facultatif. Nombre maximal de commentaires à récupérer pour le domaine lors de chaque exécution d'action. La valeur par défaut est |
Widget Theme |
Facultatif. Thème à utiliser pour le widget VirusTotal. La valeur par défaut est Les valeurs possibles sont les suivantes :
|
Fetch Widget |
Facultatif. Si cette option est sélectionnée, l'action récupère et affiche le widget VirusTotal pour le domaine. Cette option est sélectionnée par défaut. |
Sorties d'action
L'action Obtenir les détails du domaine fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Disponible |
| Table du mur des cas | Disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Lien vers le mur des cas
L'action Obtenir les détails du domaine peut fournir le lien suivant pour chaque entité enrichie :
Nom : Lien vers le rapport
Valeur : URL
Table du mur des cas
L'action Obtenir les détails du domaine peut fournir le tableau suivant pour chaque entité enrichie :
Nom de la table : ENTITY_ID
Colonnes du tableau :
- Nom
- Catégorie
- Méthode
- Résultat
L'action Obtenir les détails du domaine peut fournir le tableau suivant pour chaque entité comportant des commentaires :
Nom de la table : Comments: ENTITY_ID
Colonnes du tableau :
- Date
- Commentaire
- Votes pour utilisation abusive
- Votes négatifs
- Votes positifs
- ID
Résultat JSON
L'exemple suivant montre le résultat JSON obtenu lors de l'utilisation de l'action Obtenir les détails du domaine :
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Messages de sortie
L'action Obtenir les détails du domaine peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Get Domain Details". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Get Domain Details (Obtenir les détails du domaine) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir les détails du graphique
Utilisez l'action Get Graph Details (Obtenir les détails du graphique) pour obtenir des informations détaillées sur les graphiques dans VirusTotal.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Obtenir les détails du graphique nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Graph ID |
Obligatoire. Liste d'ID de graphiques séparés par une virgule pour lesquels récupérer les détails. |
Max Links To Return |
Facultatif. Nombre maximal de liens à renvoyer pour chaque graphique. La valeur par défaut est |
Sorties d'action
L'action Obtenir les détails du graphique fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Table du mur des cas
L'action Obtenir les détails du graphique peut fournir le tableau suivant pour chaque entité enrichie :
Nom de la table : Liens du graphique ENTITY_ID
Colonnes du tableau :
- Source
- Cible
- Type de connexion
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Obtenir les détails du graphique :
{
"data": {
"attributes": {
"comments_count": 0,
"creation_date": 1603219837,
"graph_data": {
"description": "Example LLC",
"version": "api-5.0.0"
},
"last_modified_date": 1603219837,
"links": [
{
"connection_type": "last_serving_ip_address",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "last_serving_ip_address",
"source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "network_location",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "network_location",
"source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "communicating_files",
"source": "203.0.113.3",
"target": "relationships_communicating_files_20301133"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
}
],
"nodes": [
{
"entity_attributes": {
"has_detections": false
},
"entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 0,
"text": "",
"type": "url",
"x": 51.22276722115952,
"y": 65.7811310194184
},
{
"entity_attributes": {},
"entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 1,
"text": "",
"type": "relationship",
"x": 25.415664700492094,
"y": 37.66636498768037
},
{
"entity_attributes": {
"country": "US"
},
"entity_id": "203.0.113.3",
"fx": -19.03611541222395,
"fy": 24.958500220062717,
"index": 2,
"text": "",
"type": "ip_address",
"x": -19.03611541222395,
"y": 24.958500220062717
},
{
"entity_attributes": {},
"entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 3,
"text": "",
"type": "relationship",
"x": 14.37403861978968,
"y": 56.85562691824892
},
{
"entity_attributes": {},
"entity_id": "relationships_communicating_files_20301133",
"index": 4,
"text": "",
"type": "relationship",
"x": -51.78097726144755,
"y": 10.087893225996158
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
"index": 5,
"text": "",
"type": "file",
"x": -79.11606194776019,
"y": -18.475026322309112
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
"index": 6,
"text": "",
"type": "file",
"x": -64.80938048199627,
"y": 46.75892061191275
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
"index": 7,
"text": "",
"type": "file",
"x": -43.54064004476819,
"y": -28.547923020662786
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
"index": 8,
"text": "",
"type": "file",
"x": -15.529860440278318,
"y": -2.068209789825876
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
"index": 9,
"text": "",
"type": "file",
"x": -42.55971948293377,
"y": 46.937155845680415
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "html"
},
"entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
"index": 10,
"text": "",
"type": "file",
"x": -62.447976875107706,
"y": -28.172418384729067
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
"index": 11,
"text": "",
"type": "file",
"x": -89.0326649183805,
"y": -2.2638551448322484
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
"index": 12,
"text": "",
"type": "file",
"x": -26.35260716195174,
"y": -20.25669077264115
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
"index": 13,
"text": "",
"type": "file",
"x": -82.1415994911387,
"y": 34.89636762607467
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "ENTITY_ID",
"index": 14,
"text": "",
"type": "file",
"x": -90.87738694680043,
"y": 16.374462198116138
}
],
"private": false,
"views_count": 30
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
}
}
Messages de sortie
L'action Obtenir les détails du graphique peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Get Graph Details". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant indique la valeur de la sortie du résultat du script lorsque vous utilisez l'action Get Graph Details (Obtenir les détails du graphique) :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir les domaines associés
Utilisez l'action Obtenir les domaines associés pour obtenir les domaines associés aux entités fournies à partir de VirusTotal.
Pour exécuter l'action Obtenir les domaines associés, vous devez disposer de VirusTotal Enterprise (VTE).
Cette action n'est compatible qu'avec les hachages MD5, SHA-1 et SHA-256.
Cette action s'exécute sur les entités Google SecOps suivantes :
HashHostnameIP AddressURL
Entrées d'action
L'action Obtenir les domaines associés nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Results |
Facultatif. Ordre de renvoi des résultats JSON. Les valeurs possibles sont les suivantes :
Si vous sélectionnez La valeur par défaut est |
Max Domains To Return |
Facultatif. Nombre de domaines à renvoyer. Si vous sélectionnez La valeur par défaut est |
Sorties d'action
L'action Obtenir les domaines associés fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Get Related Domains (Obtenir les domaines associés) :
{
"domain": ["example.com"]
}
Messages de sortie
L'action Get Related Domains (Obtenir les domaines associés) peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Get Related Domains". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir les domaines associés :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir les hachages associés
Utilisez l'action Obtenir les hachages associés pour obtenir les hachages associés aux entités fournies à partir de VirusTotal.
Pour exécuter l'action Obtenir les hachages associés, vous devez disposer de VirusTotal Enterprise (VTE).
Cette action n'est compatible qu'avec les hachages MD5, SHA-1 et SHA-256.
Cette action s'exécute sur les entités Google SecOps suivantes :
HashHostnameIP AddressURL
Entrées d'action
L'action Get Related Hashes (Obtenir les hachages associés) nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Results |
Facultatif. Ordre de renvoi des résultats JSON. Les valeurs possibles sont les suivantes :
Si vous sélectionnez La valeur par défaut est |
Max Hashes To Return |
Facultatif. Nombre de hachages de fichiers à renvoyer. Si vous sélectionnez La valeur par défaut est |
Sorties d'action
L'action Obtenir les hachages associés fournit les sorties suivantes :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Get Related Hashes (Obtenir les hachages associés) :
{
"sha256_hashes": ["http://example.com"]
}
Messages de sortie
L'action Obtenir les hachages associés peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Get Related Hashes". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir les hachages associés :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir les adresses IP associées
Utilisez l'action Get Related IPs (Obtenir les adresses IP associées) pour obtenir les adresses IP associées aux entités fournies à partir de VirusTotal.
Pour exécuter l'action Get Related IPs (Obtenir les adresses IP associées), vous devez disposer de VirusTotal Enterprise (VTE).
Cette action n'est compatible qu'avec les hachages MD5, SHA-1 et SHA-256.
Cette action s'exécute sur les entités Google SecOps suivantes :
HashHostnameIP AddressURL
Entrées d'action
L'action Obtenir les adresses IP associées nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Results |
Facultatif. Ordre de renvoi des résultats JSON. Les valeurs possibles sont les suivantes :
Si vous sélectionnez La valeur par défaut est |
Max IPs To Return |
Facultatif. Nombre d'adresses IP à renvoyer. Si vous sélectionnez La valeur par défaut est |
Sorties d'action
L'action Obtenir les adresses IP associées fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Get Related IPs (Obtenir les adresses IP associées) :
{
"ips": ["203.0.113.1"]
}
Messages de sortie
L'action Obtenir les adresses IP associées peut renvoyer les messages de résultat suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Get Related IPs". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir les adresses IP associées :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Obtenir les URL associées
Utilisez l'action Obtenir les URL associées pour obtenir les URL associées aux entités fournies à partir de VirusTotal.
Pour exécuter l'action Obtenir les URL associées, vous devez disposer de VirusTotal Enterprise (VTE).
Cette action n'est compatible qu'avec les hachages MD5, SHA-1 et SHA-256.
Cette action s'exécute sur les entités Google SecOps suivantes :
HashjsHostnameIP AddressURL
Entrées d'action
L'action Obtenir les URL associées nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Results |
Facultatif. Ordre de renvoi des résultats JSON. Les valeurs possibles sont les suivantes :
Si vous sélectionnez La valeur par défaut est |
Max URLs To Return |
Facultatif. Nombre d'URL à renvoyer. Si vous sélectionnez La valeur par défaut est |
Sorties d'action
L'action Obtenir les URL associées fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON obtenu lors de l'utilisation de l'action Obtenir les URL associées :
{
"urls": ["http://example.com"]
}
Messages de sortie
L'action Obtenir les URL associées peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Get Related URLs". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Obtenir les URL associées :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Ping
Utilisez l'action Ping pour tester la connectivité à VirusTotal.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
Aucun
Sorties d'action
L'action Ping fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Non disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Messages de sortie
L'action Ping peut renvoyer les messages de résultat suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Failed to connect to the VirusTotal server! Error is
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur du résultat du script lorsque vous utilisez l'action Ping :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Graphiques des entités de recherche
Utilisez l'action Search Entity Graphs (Rechercher des graphiques d'entités) pour rechercher des graphiques basés sur les entités de VirusTotal.
Cette action n'est compatible qu'avec les hachages MD5, SHA-1 et SHA-256.
Cette action s'exécute sur les entités Google SecOps suivantes :
HashIP AddressThreat ActorURLUser
Entrées d'action
L'action Search Entity Graphs (Rechercher des graphiques d'entités) nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Sort Field |
Facultatif. Valeur du champ permettant de trier les graphiques VirusTotal. La valeur par défaut est Les valeurs possibles sont les suivantes :
|
Max Graphs To Return |
Facultatif. Nombre maximal de graphiques à renvoyer pour chaque exécution d'action. La valeur par défaut est |
Sorties d'action
L'action Rechercher des graphiques d'entités fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Rechercher des graphiques d'entités :
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
Messages de sortie
L'action Rechercher des graphiques d'entités peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Search Entity Graphs". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Graphiques de recherche
Utilisez l'action Search Graphs (Rechercher des graphiques) pour rechercher des graphiques en fonction de filtres personnalisés dans VirusTotal.
Cette action ne s'applique pas aux entités Google SecOps.
| Paramètre | Description |
|---|---|
Query |
Obligatoire. Filtre de requête pour le graphique. Pour en savoir plus sur les requêtes, consultez Créer des requêtes et Modificateurs liés aux graphiques. |
Sort Field |
Facultatif. Valeur du champ permettant de trier les graphiques VirusTotal. La valeur par défaut est Les valeurs possibles sont les suivantes :
|
Max Graphs To Return |
Facultatif. Nombre maximal de graphiques à renvoyer pour chaque exécution d'action. La valeur par défaut est |
Créer des requêtes
Pour affiner les résultats de recherche à partir de graphiques, créez des requêtes contenant des modificateurs liés aux graphiques. Pour améliorer la recherche, vous pouvez combiner des modificateurs avec les opérateurs AND, OR et NOT.
Les champs de date et numériques acceptent les suffixes plus (+) ou moins (-). Un suffixe "plus" correspond aux valeurs supérieures à la valeur fournie. Un suffixe moins correspond aux valeurs inférieures à la valeur fournie. Sans suffixe, la requête renvoie des correspondances exactes.
Pour définir des plages, vous pouvez utiliser le même modificateur plusieurs fois dans une requête. Par exemple, pour rechercher les graphiques créés entre le 15/11/2018 et le 20/11/2018, utilisez la requête suivante :
creation_date:2018-11-15+ creation_date:2018-11-20-
Pour les dates ou les mois qui commencent par 0, supprimez le caractère 0 dans la requête.
Par exemple, formatez la date 2018-11-01 en 2018-11-1.
Modificateurs liés aux graphiques
Le tableau suivant répertorie les modificateurs que vous pouvez utiliser pour créer la requête de recherche :
| Modificateur | Description | Exemple |
|---|---|---|
Id |
Filtre par identifiant de graphique. | id:g675a2fd4c8834e288af |
Name |
Filtre par nom de graphique. | name:Example-name |
Owner |
Filtre les graphiques appartenant à l'utilisateur. | owner:example_user |
Group |
Filtre les graphiques appartenant à un groupe. | group:example |
Visible_to_user |
Filtre les graphiques visibles par l'utilisateur. | visible_to_user:example_user |
Visible_to_group |
Filtre les graphiques visibles par le groupe. | visible_to_group:example |
Private |
Filtre par graphiques privés. | private:true, private:false |
Creation_date |
Filtre les données par date de création du graphique. | creation_date:2018-11-15 |
last_modified_date |
Filtre en fonction de la date de la dernière modification du graphique. | last_modified_date:2018-11-20 |
Total_nodes |
Filtre les graphiques qui contiennent un nombre spécifique de nœuds. | total_nodes:100 |
Comments_count |
Filtre en fonction du nombre de commentaires dans le graphique. | comments_count:10+ |
Views_count |
Filtre le nombre de vues du graphique. | views_count:1000+ |
Label |
Filtre les graphiques qui contiennent des nœuds avec un libellé spécifique. | label:Kill switch |
File |
Filtre les graphiques contenant le fichier spécifique. | file:131f95c51cc819465fa17 |
Domain |
Filtre les graphiques contenant le domaine spécifique. | domain:example.com |
Ip_address |
Filtre les graphiques qui contiennent l'adresse IP spécifique. | ip_address:203.0.113.1 |
Url |
Filtre les graphiques qui contiennent l'URL spécifique. | url:https://example.com/example/ |
Actor |
Filtre les graphiques contenant l'acteur spécifique. | actor:example actor |
Victim |
Filtre les graphiques contenant la victime spécifique. | victim:example_user |
Email |
Filtre les graphiques contenant l'adresse e-mail spécifique. | email:user@example.com |
Department |
Filtre les graphiques contenant le service spécifique. | department:engineers |
Sorties d'action
L'action Search Graphs (Rechercher des graphiques) fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Search Graphs :
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
Messages de sortie
L'action Rechercher des graphiques peut renvoyer les messages de sortie suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Search Graphs". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie des résultats du script lorsque vous utilisez l'action Rechercher des graphiques :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Rechercher des IOC
Utilisez l'action Rechercher des IoC pour rechercher des IoC dans l'ensemble de données VirusTotal.
Pour exécuter l'action Search IOCs (Rechercher des IOC), VirusTotal Enterprise (VTE) est requis.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Rechercher des IOC nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Query |
Obligatoire. Requête permettant de rechercher des IOC. La valeur par défaut est Pour configurer la requête, suivez la syntaxe de requête applicable à l'interface utilisateur VirusTotal Intelligence. |
Create Entities |
Facultatif. Si cette option est sélectionnée, l'action crée des entités pour les IOC renvoyés. Cette action n'enrichit pas les entités. (non sélectionnée par défaut). |
Order By |
Obligatoire. Champ de tri des résultats. Les valeurs possibles sont les suivantes :
Les types d'entités peuvent avoir des champs d'ordre différents. Pour savoir comment rechercher des fichiers dans VirusTotal, consultez Recherche avancée dans le corpus. La valeur par défaut est |
Sort Order |
Facultatif. Ordre de tri des résultats. Les valeurs possibles sont les suivantes :
Si vous définissez la valeur La valeur par défaut est |
Max IOCs To Return |
Facultatif. Nombre d'IOC à renvoyer. La valeur maximale est de La valeur par défaut est |
Sorties d'action
L'action Rechercher des IOC fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Non disponible |
| Table du mur des cas | Non disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Rechercher des IOC :
{
"data": [
{
"attributes": {
"type_description": "Email",
"tlsh": "T1B4D31F04BE452B3093E7238E064E6FDBAFCC135F6611F1C60881AAD6C5C77A2E57D689",
"exiftool": {
"MIMEType": "text/plain",
"FileType": "TXT",
"WordCount": "2668",
"LineCount": "1820",
"MIMEEncoding": "us-ascii",
"FileTypeExtension": "txt",
"Newlines": "Windows CRLF"
},
"type_tags": [
"internet",
"email"
],
"threat_severity": {
"threat_severity_level": "SEVERITY_HIGH",
"threat_severity_data": {
"num_gav_detections": 3,
"has_vulnerabilities": true,
"popular_threat_category": "trojan",
"type_tag": "email",
"has_embedded_ips_with_detections": true
},
"last_analysis_date": "1698050597",
"version": 2,
"level_description": "Severity HIGH because it was considered trojan. Other contributing factors were that it has known exploits, it contains embedded IPs with detections and it could not be run in sandboxes."
},
"names": [
"Re Example.eml"
],
"last_modification_date": 1698057197,
"type_tag": "email",
"times_submitted": 1,
"total_votes": {
"harmless": 0,
"malicious": 0
},
"size": 132299,
"popular_threat_classification": {
"suggested_threat_label": "obfsobjdat/malformed",
"popular_threat_name": [
{
"count": 8,
"value": "obfsobjdat"
},
{
"count": 2,
"value": "malformed"
}
]
},
"last_submission_date": 1698049979,
"last_analysis_results": {
"Bkav": {
"category": "undetected",
"engine_name": "Example1",
"engine_version": "2.0.0.1",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
"Lionic": {
"category": "undetected",
"engine_name": "Example2",
"engine_version": "7.5",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
},
"downloadable": true,
"trid": [
{
"file_type": "file seems to be plain text/ASCII",
"probability": 0
}
],
"sha256": "2d9df36964fe2e477e6e0f7a73391e4d4b2eeb0995dd488b431c4abfb4c27dbf",
"type_extension": "eml",
"tags": [
"exploit",
"cve-2018-0802",
"cve-2018-0798",
"email",
"cve-2017-11882"
],
"last_analysis_date": 1698049979,
"unique_sources": 1,
"first_submission_date": 1698049979,
"ssdeep": "768:MedEkBNnx8ueVV+fitChi9KbpK0fixbRwHbcElIK944tCVQOgzdsSuom+cWmsCGY:Meo+fitC0mKuixYxlI1OO1cSPo0gptA",
"md5": "bdfe36052e0c083869505ef4fd77e865",
"sha1": "3a350de97009efe517ceffcea406534bb1ab800c",
"magic": "SMTP mail, ASCII text, with CRLF line terminators",
"last_analysis_stats": {
"harmless": 0,
"type-unsupported": 16,
"suspicious": 0,
"confirmed-timeout": 0,
"timeout": 0,
"failure": 0,
"malicious": 28,
"undetected": 32
},
"meaningful_name": "Re Example.eml",
"reputation": 0
},
"type": "file",
"id": "ID",
"links": {
"self": "URL"
}
},
]
}
Messages de sortie
L'action Rechercher des IOC peut renvoyer les messages de résultat suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Search IOCs". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Rechercher des IOC :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Envoyer le fichier
Utilisez l'action Submit File (Envoyer un fichier) pour envoyer un fichier et renvoyer les résultats de VirusTotal.
Cette action ne s'applique pas aux entités Google SecOps.
Entrées d'action
L'action Envoyer le fichier nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
File Paths |
Obligatoire. Liste de chemins absolus des fichiers à envoyer, séparés par une virgule. Si vous configurez le paramètre |
Engine Threshold |
Facultatif. Nombre minimal de moteurs qui doivent classer un fichier comme malveillant ou suspect pour qu'il soit considéré comme suspect. Si vous configurez |
Engine Percentage Threshold |
Facultatif. Pourcentage minimal de moteurs qui doivent classer le fichier comme malveillant ou suspect pour qu'il soit considéré comme suspect. |
Engine Whitelist |
Facultatif. Liste de noms de moteurs séparés par une virgule à prendre en compte lors de l'évaluation du risque, par exemple Si vous ne définissez pas de valeur, l'action utilise tous les moteurs disponibles. Le calcul du seuil n'inclut pas les moteurs qui ne fournissent aucune information sur les entités. |
Retrieve Comments |
Facultatif. Si cette option est sélectionnée, l'action récupère les commentaires associés au fichier depuis VirusTotal. Cette option est sélectionnée par défaut. Lorsque l'envoi privé est activé, les commentaires ne sont pas récupérés. |
Retrieve Sigma Analysis |
Facultatif. Si cette option est sélectionnée, l'action récupère les résultats de l'analyse Sigma pour le fichier. Cette option est sélectionnée par défaut. |
Max Comments To Return |
Facultatif. Nombre maximal de commentaires à récupérer pour chaque exécution d'action. La valeur par défaut est |
Linux Server Address |
Facultatif. Adresse IP ou nom d'hôte d'un serveur Linux distant sur lequel se trouvent les fichiers. |
Linux Username |
Facultatif. Nom d'utilisateur pour s'authentifier auprès du serveur Linux distant. |
Linux Password |
Facultatif. Mot de passe pour s'authentifier auprès du serveur Linux distant. |
Private Submission |
Facultatif. Si cette option est sélectionnée, l'action envoie le fichier de manière privée. Pour envoyer le fichier de manière privée, vous devez disposer d'un accès VirusTotal Premium. (non sélectionnée par défaut). |
Fetch MITRE Details |
Facultatif. Si cette option est sélectionnée, l'action récupère les techniques et tactiques MITRE ATT&CK qui sont liées au hachage. (non sélectionnée par défaut). |
Lowest MITRE Technique Severity |
Facultatif. Niveau de gravité minimal pour qu'une technique MITRE ATT&CK soit incluse dans les résultats. L'action traite la gravité Les valeurs possibles sont les suivantes :
La valeur par défaut est |
Retrieve AI Summary |
Facultatif. Ce paramètre est expérimental. Si cette option est sélectionnée, l'action récupère un résumé du fichier généré par l'IA. Cette option n'est disponible que pour les envois privés. (non sélectionnée par défaut). |
Sorties d'action
L'action Envoyer le fichier fournit les résultats suivants :
| Type de sortie de l'action | Disponibilité |
|---|---|
| Pièce jointe au mur des cas | Non disponible |
| Lien vers le mur des cas | Disponible |
| Table du mur des cas | Disponible |
| Table d'enrichissement | Non disponible |
| Résultat JSON | Disponible |
| Messages de sortie | Disponible |
| Résultat du script | Disponible |
Lien vers le mur des cas
L'action Envoyer le fichier peut fournir le lien suivant pour chaque entité enrichie :
Nom : Lien vers le rapport : PATH
Valeur : URL
Table du mur des cas
L'action Envoyer un fichier peut fournir le tableau suivant pour chaque fichier envoyé :
Nom de la table : Résultats : PATH
Colonnes du tableau :
- Nom
- Catégorie
- Méthode
- Résultat
L'action Envoyer le fichier peut fournir le tableau suivant pour chaque fichier envoyé qui comporte des commentaires :
Nom de la table : Comments: PATH
Colonnes du tableau :
- Date
- Commentaire
- Votes pour utilisation abusive
- Votes négatifs
- Votes positifs
- ID
L'action Envoyer le fichier peut fournir le tableau suivant pour chaque entité ayant des résultats d'analyse Sigma :
Nom de la table : Analyse Sigma : ENTITY_ID
Colonnes du tableau :
- ID
- Gravité
- Source
- Title
- Description
- Contexte du match
Résultat JSON
L'exemple suivant montre le résultat JSON reçu lors de l'utilisation de l'action Envoyer le fichier :
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Messages de sortie
L'action Envoyer le fichier peut renvoyer les messages de résultat suivants :
| Message affiché | Description du message |
|---|---|
|
L'action a réussi. |
Error executing action "Submit File". Reason:
ERROR_REASON |
Échec de l'action. Vérifiez la connexion au serveur, les paramètres d'entrée ou les identifiants. |
Résultat du script
Le tableau suivant répertorie la valeur de la sortie du résultat du script lorsque vous utilisez l'action Envoyer le fichier :
| Nom du résultat du script | Valeur |
|---|---|
is_success |
True ou False |
Connecteurs
Pour en savoir plus sur la configuration des connecteurs dans Google SecOps, consultez Ingérer vos données (connecteurs).
VirusTotal – Connecteur Livehunt
Utilisez le connecteur VirusTotal – Livehunt pour extraire des informations sur les notifications VirusTotal Livehunt et les fichiers associés.
Ce connecteur nécessite un jeton d'API VirusTotal Premium. La liste dynamique fonctionne avec le paramètre rule_name.
Entrées du connecteur
Le connecteur VirusTotal – Livehunt nécessite les paramètres suivants :
| Paramètre | Description |
|---|---|
Product Field Name |
Obligatoire. Nom du champ dans lequel le nom du produit est stocké. La valeur par défaut est Le nom du produit a un impact majeur sur le mappage. Pour simplifier et améliorer le processus de mappage du connecteur, la valeur par défaut |
Event Field Name |
Obligatoire. Nom du champ dans lequel le nom (sous-type) de l'événement est stocké. La valeur par défaut est |
Environment Field Name |
Facultatif. Nom du champ dans lequel le nom de l'environnement est stocké. Si le champ d'environnement est introuvable, le connecteur utilise la valeur par défaut. La valeur par défaut est |
Environment Regex Pattern |
Facultatif. Modèle d'expression régulière à exécuter sur la valeur trouvée dans le champ Utilisez la valeur par défaut Si le modèle d'expression régulière est nul ou vide, ou si la valeur d'environnement est nulle, le résultat final de l'environnement est l'environnement par défaut. |
PythonProcessTimeout |
Obligatoire. Délai limite en secondes pour le processus Python qui exécute le script actuel. La valeur par défaut est |
API Key |
Obligatoire. Clé API VirusTotal. |
Verify SSL |
Obligatoire. Si cette option est sélectionnée, l'intégration valide le certificat SSL lors de la connexion à VirusTotal. Cette option est sélectionnée par défaut. |
Engine Whitelist |
Facultatif. Liste de noms de moteurs séparés par une virgule à prendre en compte lors de l'évaluation de la valeur du paramètre Si vous ne définissez pas de valeur, l'action utilise tous les moteurs disponibles. |
Engine Percentage Threshold To Fetch |
Obligatoire. Pourcentage minimal de moteurs qui marquent le fichier comme malveillant ou suspect pour que le connecteur l'ingère. Les valeurs valides sont comprises entre La valeur par défaut est |
Max Hours Backwards |
Facultatif. Nombre d'heures avant la première itération du connecteur pour récupérer les incidents. Ce paramètre peut s'appliquer à l'itération initiale du connecteur après l'avoir activé pour la première fois, ou à la valeur de remplacement pour un code temporel de connecteur expiré. La valeur par défaut est |
Max Notifications To Fetch |
Facultatif. Nombre maximal de notifications à traiter à chaque exécution du connecteur. La valeur par défaut est |
Use dynamic list as a blacklist |
Obligatoire. Si cette option est sélectionnée, la liste dynamique est utilisée comme liste de blocage. Non sélectionnée par défaut. |
Proxy Server Address |
Facultatif. Adresse du serveur proxy à utiliser. |
Proxy Username |
Facultatif. Nom d'utilisateur pour l'authentification du serveur proxy. |
Proxy Password |
Facultatif. Mot de passe pour l'authentification du serveur proxy. |
Règles du connecteur
Le connecteur est compatible avec les proxys.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.