Integrare VirusTotal v3 con Google SecOps
Questo documento spiega come integrare VirusTotal v3 con Google Security Operations (Google SecOps).
Versione integrazione: 34.0
Questa integrazione utilizza l'API VirusTotal v3. Per saperne di più sull'API VirusTotal v3, vedi la panoramica dell'API VirusTotal v3.
Questa integrazione utilizza uno o più componenti open source. Puoi scaricare una copia compressa del codice sorgente completo di questa integrazione dal bucket Cloud Storage.
Casi d'uso
L'integrazione di VirusTotal v3 può aiutarti a risolvere i seguenti casi d'uso:
Analisi dei file: utilizza le funzionalità di Google SecOps per inviare un hash di file o un file a VirusTotal per l'analisi e recuperare i risultati della scansione da più motori antivirus per determinare se l'elemento inviato è dannoso.
Analisi degli URL: utilizza le funzionalità di Google SecOps per confrontare un URL con il database VirusTotal per identificare siti web potenzialmente dannosi o pagine di phishing.
Analisi dell'indirizzo IP: utilizza le funzionalità di Google SecOps per esaminare un indirizzo IP e identificare la sua reputazione e qualsiasi attività dannosa associata.
Analisi del dominio: utilizza le funzionalità di Google SecOps per analizzare un nome di dominio e identificare la sua reputazione e qualsiasi attività dannosa associata, come phishing o distribuzione di malware.
Retrohunting: utilizza le funzionalità di Google SecOps per eseguire la scansione dei dati storici di VirusTotal per cercare file, URL, IP o domini precedentemente contrassegnati come dannosi.
Arricchimento automatico: utilizza le funzionalità di Google SecOps per arricchire automaticamente i dati sugli incidenti con la threat intelligence.
Indagine sul phishing: utilizza le funzionalità di Google SecOps per analizzare email e allegati sospetti inviandoli a VirusTotal per l'analisi.
Analisi del malware: utilizza le funzionalità di Google SecOps per caricare campioni di malware su VirusTotal per l'analisi dinamica e statica e ottenere informazioni sul comportamento e sul potenziale impatto dei campioni.
Prima di iniziare
Per funzionare correttamente, questa integrazione richiede l'API VirusTotal Premium. Per ulteriori informazioni sull'API VirusTotal Premium, consulta API pubblica e API Premium.
Prima di configurare l'integrazione di VirusTotal v3 in Google SecOps, configura una chiave API in VirusTotal.
Per configurare la chiave API, completa i seguenti passaggi:
- Accedi al portale VirusTotal.
- Sotto il tuo nome utente, fai clic su Chiave API.
- Copia la chiave API generata per utilizzarla nei parametri di integrazione.
- Fai clic su Salva.
Parametri di integrazione
L'integrazione di VirusTotal v3 richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
API Key |
Obbligatorio. La chiave API VirusTotal. |
Verify SSL |
Facoltativo. Se selezionata, l'integrazione convalida il certificato SSL quando si connette a VirusTotal. Questa opzione è selezionata per impostazione predefinita. |
Per istruzioni su come configurare un'integrazione in Google SecOps, consulta Configurare le integrazioni.
Se necessario, potrai apportare modifiche in un secondo momento. Dopo aver configurato un'istanza di integrazione, puoi utilizzarla nei playbook. Per saperne di più su come configurare e supportare più istanze, consulta Supportare più istanze.
Azioni
Per maggiori informazioni sulle azioni, vedi Rispondere alle azioni in attesa dalla tua scrivania ed Eseguire un'azione manuale.
Aggiungi commento all'entità
Utilizza l'azione Aggiungi commento all'entità per aggiungere un commento alle entità in VirusTotal.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
File HashHostnameIP AddressURL
Questa azione supporta solo gli hash MD5, SHA-1 e SHA-256.
Input azione
L'azione Aggiungi commento all'entità richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Comment |
Obbligatorio. Un commento da aggiungere alle entità. |
Output dell'azione
L'azione Aggiungi commento all'entità fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra gli output dei risultati JSON ricevuti quando si utilizza l'azione Aggiungi commento all'entità:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Messaggi di output
L'azione Aggiungi commento all'entità può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Add Comment To Entity". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Aggiungi commento all'entità:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Aggiungi voto all'entità
Utilizza l'azione Aggiungi voto all'entità per aggiungere un voto alle entità in VirusTotal.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
File HashHostnameIP AddressURL
Questa azione supporta solo gli hash MD5, SHA-1 e SHA-256.
Input azione
L'azione Aggiungi voto all'entità richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Vote |
Obbligatorio. Un voto da aggiungere alle entità. I valori possibili sono i seguenti:
|
Output dell'azione
L'azione Aggiungi voto all'entità fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Aggiungi voto all'entità:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Messaggi di output
L'azione Aggiungi voto all'entità può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Add Vote To Entity". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Aggiungi voto all'entità:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Scarica file
Utilizza l'azione Scarica file per scaricare un file da VirusTotal.
Per eseguire l'azione Scarica file, è necessario VirusTotal Enterprise (VTE).
Questa azione viene eseguita sull'entità Google SecOps Hash.
Questa azione supporta solo gli hash MD5, SHA-1 e SHA-256.
Input azione
L'azione Scarica file richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Download Folder Path |
Obbligatorio. Il percorso della cartella in cui archiviare i file scaricati. |
Overwrite |
Facoltativo. Se selezionata, l'azione sovrascrive un file esistente con il nuovo file se i nomi dei file sono identici. Questa opzione è selezionata per impostazione predefinita. |
Output dell'azione
L'azione Scarica file fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Scarica file:
{
"absolute_file_paths": ["file_path_1","file_path_2"]
}
Messaggi di output
L'azione Scarica file può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Download File". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Arricchisci hash
Utilizza l'azione Arricchisci hash per arricchire gli hash con informazioni provenienti da VirusTotal.
Questa azione viene eseguita sull'entità Google SecOps Hash.
Questa azione supporta solo gli hash MD5, SHA-1 e SHA-256.
Input azione
L'azione Arricchisci hash richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Engine Threshold |
Facoltativo. Il numero minimo di motori che devono classificare un'entità come dannosa o sospetta perché sia considerata sospetta. Se configuri
|
Engine Percentage Threshold |
Facoltativo. La percentuale minima di motori che contrassegnano l'entità come dannosa o sospetta per considerare l'entità sospetta. Se configuri
I valori validi per questo parametro sono compresi tra |
Engine Whitelist |
Facoltativo. Un elenco separato da virgole di nomi di motori da considerare per l'azione quando si determina se un hash è dannoso. Se non imposti un valore, l'azione utilizza tutti i motori disponibili. Il calcolo della soglia non include i motori che non forniscono informazioni sulle entità. |
Resubmit Hash |
Facoltativo. Se selezionata, l'azione invia nuovamente l'hash per l'analisi, anziché utilizzare i risultati esistenti. Non selezionato per impostazione predefinita. |
Resubmit After (Days) |
Facoltativo. Il numero di giorni per inviare nuovamente l'hash dopo l'ultima analisi. Questo parametro si applica solo se selezioni il parametro Il valore predefinito è |
Retrieve Comments |
Facoltativo. Se selezionata, l'azione recupera i commenti associati all'hash. Questa opzione è selezionata per impostazione predefinita. |
Retrieve Sigma Analysis |
Facoltativo. Se selezionata, l'azione recupera i risultati dell'analisi Sigma per l'hash. Questa opzione è selezionata per impostazione predefinita. |
Sandbox |
Facoltativo. Un elenco separato da virgole di ambienti sandbox da utilizzare per l'analisi del comportamento. Se non imposti un valore, l'azione utilizza il valore predefinito. Il valore predefinito è |
Retrieve Sandbox Analysis |
Facoltativo. Se selezionata, l'azione recupera i risultati dell'analisi della sandbox per l'hash e crea una sezione separata nell'output JSON per ogni sandbox specificata. Questa opzione è selezionata per impostazione predefinita. |
Create Insight |
Facoltativo. Se selezionata, l'azione crea un approfondimento che contiene informazioni sull'hash analizzato. Questa opzione è selezionata per impostazione predefinita. |
Only Suspicious Entity Insight |
Facoltativo. Se selezionata, l'azione genera approfondimenti solo per gli hash considerati sospetti in base ai parametri di soglia. Questo parametro si applica solo se selezioni il parametro Non selezionato per impostazione predefinita. |
Max Comments To Return |
Facoltativo. Il numero massimo di commenti da recuperare per ogni esecuzione dell'azione. Il valore predefinito è |
Widget Theme |
Facoltativo. Il tema da utilizzare per il widget VirusTotal. Il valore predefinito è I valori possibili sono:
|
Fetch Widget |
Facoltativo. Se selezionata, l'azione recupera un widget aumentato correlato all'hash. Questa opzione è selezionata per impostazione predefinita. |
Fetch MITRE Details |
Facoltativo. Se selezionata, l'azione recupera le tecniche e le tattiche MITRE ATT&CK correlate all'hash. Non selezionato per impostazione predefinita. |
Lowest MITRE Technique Severity |
Facoltativo. Il livello di gravità minimo per una tecnica MITRE ATT&CK da includere nei
risultati. L'azione considera la gravità I valori possibili sono:
Il valore predefinito è |
Output dell'azione
L'azione Arricchisci hash fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Disponibile |
| Tabella della bacheca casi | Disponibile |
| Tabella di arricchimento delle entità | Disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Link alla bacheca richieste
L'azione Arricchisci hash può fornire il seguente link per ogni entità arricchita:
Nome: Report Link
Valore: URL
Tabella della bacheca casi
L'azione Arricchisci hash può fornire la seguente tabella per ogni entità arricchita:
Nome tabella: ENTITY_ID
Colonne della tabella:
- Nome
- Category
- Metodo
- Risultato
L'azione Arricchisci hash può fornire la seguente tabella per ogni entità che ha commenti:
Nome tabella: Commenti: ENTITY_ID
Colonne della tabella:
- Data
- Commento
- Voti di abuso
- Voti negativi
- Voti positivi
- ID
L'azione Arricchisci hash può fornire la seguente tabella per ogni entità che contiene i risultati dell'analisi Sigma:
Nome tabella: Sigma Analysis: ENTITY_ID
Colonne della tabella:
- ID
- Gravità
- Origine
- Titolo
- Descrizione
- Contesto della corrispondenza
Tabella di arricchimento delle entità
La tabella seguente elenca i campi arricchiti utilizzando l'azione Arricchisci hash:
| Nome del campo di arricchimento | Applicabilità |
|---|---|
VT3_id |
Si applica se disponibile nel risultato JSON. |
VT3_magic |
Si applica se disponibile nel risultato JSON. |
VT3_md5 |
Si applica se disponibile nel risultato JSON. |
VT3_sha1 |
Si applica se disponibile nel risultato JSON. |
VT3_sha256 |
Si applica se disponibile nel risultato JSON. |
VT3_ssdeep |
Si applica se disponibile nel risultato JSON. |
VT3_tlsh |
Si applica se disponibile nel risultato JSON. |
VT3_vhash |
Si applica se disponibile nel risultato JSON. |
VT3_meaningful_name |
Si applica se disponibile nel risultato JSON. |
VT3_magic |
Si applica se disponibile nel risultato JSON. |
VT3_harmless_count |
Si applica se disponibile nel risultato JSON. |
VT3_malicious_count |
Si applica se disponibile nel risultato JSON. |
VT3_suspicious_count |
Si applica se disponibile nel risultato JSON. |
VT3_undetected_count |
Si applica se disponibile nel risultato JSON. |
VT3_reputation |
Si applica se disponibile nel risultato JSON. |
VT3_tags |
Si applica se disponibile nel risultato JSON. |
VT3_malicious_vote_count |
Si applica se disponibile nel risultato JSON. |
VT3_harmless_vote_count |
Si applica se disponibile nel risultato JSON. |
VT3_report_link |
Si applica se disponibile nel risultato JSON. |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Arricchisci hash:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}]
}
Messaggi di output
L'azione Arricchisci hash può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Enrich Hash". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Arricchisci hash:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Arricchisci IOC
Utilizza l'azione Arricchisci IOC per arricchire gli indicatori di compromissione (IOC) utilizzando le informazioni di VirusTotal.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Arricchisci IOC richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
IOC Type |
Facoltativo. Il tipo di indicatore di compromissione da arricchire. Il valore predefinito è
I valori possibili sono:
|
IOCs |
Obbligatorio. Un elenco separato da virgole di indicatori di compromissione da arricchire. |
Widget Theme |
Facoltativo. Il tema da utilizzare per il widget. Il valore predefinito è I valori possibili sono:
|
Fetch Widget |
Facoltativo. Se selezionata, l'azione recupera il widget per l'indicatore di compromissione. Questa opzione è selezionata per impostazione predefinita. |
Output dell'azione
L'azione Arricchisci indicatore di compromissione fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Disponibile |
| Tabella della bacheca casi | Disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Link alla bacheca richieste
L'azione Arricchisci indicatore di compromissione può fornire il seguente link per ogni entità arricchita:
Nome: Report Link
Valore: URL
Tabella della bacheca casi
L'azione Arricchisci IOC può fornire la seguente tabella per ogni entità arricchita:
Nome tabella: IOC_ID
Colonne della tabella:
- Nome
- Category
- Metodo
- Risultato
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Arricchisci IOC:
{
"ioc": {
"identifier": "203.0.113.1",
"details": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"report_link": "{generated report link}",
"widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
}
}
}
Messaggi di output
L'azione Ping può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Enrich IOC". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando si utilizza l'azione Arricchisci IOC:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Arricchisci IP
Utilizza l'azione Arricchisci IP per arricchire gli indirizzi IP utilizzando le informazioni di VirusTotal.
Questa azione viene eseguita sull'entità Google SecOps IP Address.
Input azione
L'azione Arricchisci IP richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Engine Threshold |
Facoltativo. Il numero minimo di motori che devono classificare un'entità come dannosa o sospetta perché sia considerata sospetta. Se configuri
|
Engine Percentage Threshold |
Facoltativo. La percentuale minima di motori che devono classificare l'entità come dannosa o sospetta affinché sia considerata sospetta. Se configuri il parametro I valori validi per questo parametro sono compresi tra |
Engine Whitelist |
Facoltativo. Un elenco separato da virgole di nomi di motori da considerare per l'azione quando si determina se un hash è dannoso. Se non imposti un valore, l'azione utilizza tutti i motori disponibili. Il calcolo della soglia non include i motori che non forniscono informazioni sulle entità. |
Retrieve Comments |
Facoltativo. Se selezionata, l'azione recupera i commenti associati all'hash. Questa opzione è selezionata per impostazione predefinita. |
Create Insight |
Facoltativo. Se selezionata, l'azione crea un approfondimento che contiene informazioni sull'hash analizzato. Questa opzione è selezionata per impostazione predefinita. |
Only Suspicious Entity Insight |
Facoltativo. Se selezionata, l'azione genera approfondimenti solo per gli hash considerati sospetti in base ai parametri di soglia. Questo parametro si applica solo se selezioni il parametro Non selezionato per impostazione predefinita. |
Max Comments To Return |
Facoltativo. Il numero massimo di commenti da recuperare per ogni esecuzione dell'azione. Il valore predefinito è |
Widget Theme |
Facoltativo. Il tema da utilizzare per il widget VirusTotal. Il valore predefinito è I valori possibili sono:
|
Fetch Widget |
Facoltativo. Se selezionata, l'azione recupera un widget aumentato correlato all'hash. Questa opzione è selezionata per impostazione predefinita. |
Output dell'azione
L'azione Arricchisci IP fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Disponibile |
| Tabella della bacheca casi | Disponibile |
| Tabella di arricchimento delle entità | Disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Link alla bacheca richieste
L'azione Arricchisci IP può fornire il seguente link per ogni entità arricchita:
Nome: Report Link
Valore: URL
Tabella della bacheca casi
L'azione Arricchisci IP può fornire la seguente tabella per ogni entità arricchita:
Nome tabella: ENTITY_ID
Colonne della tabella:
- Nome
- Category
- Metodo
- Risultato
L'azione Arricchisci IP può fornire la seguente tabella per ogni entità che ha commenti:
Nome tabella: Commenti: ENTITY_ID
Colonne della tabella:
- Data
- Commento
- Voti di abuso
- Voti negativi
- Voti positivi
- ID
Tabella di arricchimento delle entità
La tabella seguente elenca i campi arricchiti utilizzando l'azione Arricchisci IP:
| Nome del campo di arricchimento | Applicabilità |
|---|---|
VT3_id |
Si applica se disponibile nel risultato JSON. |
VT3_owner |
Si applica se disponibile nel risultato JSON. |
VT3_asn |
Si applica se disponibile nel risultato JSON. |
VT3_continent |
Si applica se disponibile nel risultato JSON. |
VT3_country |
Si applica se disponibile nel risultato JSON. |
VT3_harmless_count |
Si applica se disponibile nel risultato JSON. |
VT3_malicious_count |
Si applica se disponibile nel risultato JSON. |
VT3_suspicious_count |
Si applica se disponibile nel risultato JSON. |
VT3_undetected_count |
Si applica se disponibile nel risultato JSON. |
VT3_certificate_valid_not_after |
Si applica se disponibile nel risultato JSON. |
VT3_certificate_valid_not_before |
Si applica se disponibile nel risultato JSON. |
VT3_reputation |
Si applica se disponibile nel risultato JSON. |
VT3_tags |
Si applica se disponibile nel risultato JSON. |
VT3_malicious_vote_count |
Si applica se disponibile nel risultato JSON. |
VT3_harmless_vote_count |
Si applica se disponibile nel risultato JSON. |
VT3_report_link |
Si applica se disponibile nel risultato JSON. |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Arricchisci IP:
{
"data": {
"attributes": {
"as_owner": "Example",
"asn": 50673,
"continent": "EU",
"country": "NL",
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "ExampleLabs",
"method": "blacklist",
"result": "clean"
},
"example.com URL checker": {
"category": "harmless",
"engine_name": "example.com URL checker",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 81,
"malicious": 5,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_https_certificate": {
"cert_signature": {
"signature": "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",
"signature_algorithm": "sha256RSA"
},
"extensions": {
"1.3.6.1.4.1.11129.2.4.2": "0481f200f00075007d3ef2f88fff88556824c2c0ca9e5289792bc50e78097f2e",
"CA": true,
"authority_key_identifier": {
"keyid": "KEY_ID"
},
"ca_information_access": {
"CA Issuers": "http://example.RSADomainValidationSecureServerCA.crt",
"OCSP": "http://example.com"
},
"certificate_policies": [
"1.3.6.1.4.1.6449.1.2.2.7",
"2.23.140.1.2.1"
],
"extended_key_usage": [
"serverAuth",
"clientAuth"
],
"key_usage": [
"ff"
],
"subject_alternative_name": [
"example-panel.xyz",
"www.example-panel.xyz"
],
"subject_key_identifier": "4f6429eaccd761eca91d9120b004f9d962453fef",
"tags": []
},
"issuer": {
"C": "US",
"CN": "Example RSA Domain Validation Secure Server CA",
"L": "Mountain View",
"O": "Example Ltd.",
},
"public_key": {
"algorithm": "RSA",
"rsa": {
"exponent": "010001",
"key_size": 2048,
"modulus": "00aa8b74f0cc92a85ed4d515abef751a22fd65f2b6b0d33239040a99c65f322f3e833c77540a15ee31dabbd2889dd710ff9d8ccd3b9ea454ca87761cd9ff8a383806986461f8ff764a1202a5ebfb09995cbf40cc11eb2514529704744e6c97a872cde728e278fb140eba3c3aaf60644c8d75fd0048bb506f9b7314e33690f3514598ee45dd366c30a94d6178af91c2784872c162233c66659cea675f22f47752e0877ba5b12a3d800d2e2510d3cc1222c226cee2b85852a7e02da1de2718c746560f3ae05bc6f2d7f1cd6fcdbe37318fc7ddd19ae3486c5f3293946c068735e843fa8467199456d4725ac0b23fc4e0b7b9d3f51c0e16b27542d250d29d7b28fb95"
}
},
"serial_number": "248562d360bcc919bb97883f0dfc609d",
"signature_algorithm": "sha256RSA",
"size": 1472,
"subject": {
"CN": "example-panel.xyz"
},
"tags": [],
"thumbprint": "f9aae62cc9262302e45d94fcc512d65529ea1b31",
"thumbprint_sha256": "406ac0efb0ef67de743b1ab0f4e0352564a7d5ebbd71e3a883c067acc3563016",
"validity": {
"not_after": "2021-08-06 23:59:59",
"not_before": "2020-08-06 00:00:00"
},
"version": "V3"
},
"last_https_certificate_date": 1605415789,
"last_modification_date": 1605430702,
"network": "203.0.113.0/24",
"regional_internet_registry": "EXAMPLE",
"reputation": -95,
"tags": [],
"total_votes": {
"harmless": 0,
"malicious": 10
},
"whois": "NetRange: 203.0.113.0 - 203.0.113.255\nCIDR: 203.0.113.0/24\nNetName: EXAMPLE-5\nNetHandle: NET-203-0-113-0-1\nParent: ()\nNetType: Allocated to EXAMPLE\nOrig",
"whois_date": 1603912270
},
"id": "203.0.113.1",
"links": {
"self": "https://www.virustotal.com/api/v3/ip_addresses/203.0.113.1"
},
"type": "ip_address"
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Messaggi di output
L'azione Arricchisci IP può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Arricchisci IP:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Arricchisci URL
Utilizza l'azione Arricchisci URL per arricchire un URL utilizzando le informazioni di VirusTotal.
Questa azione viene eseguita sull'entità Google SecOps URL.
Input azione
L'azione Arricchisci URL richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Engine Threshold |
Facoltativo. Il numero minimo di motori che devono classificare un URL come dannoso o sospetto affinché venga considerato sospetto. Se configuri
|
Engine Percentage Threshold |
Facoltativo. La percentuale minima di motori che devono classificare l'URL come dannoso o sospetto affinché sia considerato sospetto. Se
configuri il parametro I valori validi per questo parametro sono compresi tra |
Engine Whitelist |
Facoltativo. Un elenco separato da virgole di nomi di motori da considerare per l'azione quando si determina se un hash è dannoso. |
Resubmit URL |
Facoltativo. Se selezionata, l'azione invia nuovamente l'URL per l'analisi, anziché utilizzare i risultati esistenti. Non selezionato per impostazione predefinita. |
Resubmit After (Days) |
Facoltativo. Il numero di giorni per inviare nuovamente l'URL dopo l'ultima analisi. Questo parametro si applica solo se selezioni il parametro Il valore predefinito è |
Retrieve Comments |
Facoltativo. Se selezionata, l'azione recupera i commenti associati all'URL. Questa opzione è selezionata per impostazione predefinita. |
Create Insight |
Facoltativo. Se selezionata, l'azione crea un approfondimento che contiene informazioni sull'URL analizzato. Questa opzione è selezionata per impostazione predefinita. |
Only Suspicious Entity Insight |
Facoltativo. Se selezionata, l'azione genera approfondimenti solo per gli URL considerati sospetti in base ai parametri di soglia. Questo parametro si applica solo se selezioni il parametro Non selezionato per impostazione predefinita. |
Max Comments To Return |
Facoltativo. Il numero massimo di commenti da recuperare per ogni esecuzione dell'azione. Il valore predefinito è |
Widget Theme |
Facoltativo. Il tema da utilizzare per il widget VirusTotal. Il valore predefinito è I valori possibili sono:
|
Fetch Widget |
Facoltativo. Se selezionata, l'azione recupera un widget aumentato correlato all'hash. Questa opzione è selezionata per impostazione predefinita. |
Output dell'azione
L'azione Arricchisci URL fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Disponibile |
| Tabella della bacheca casi | Disponibile |
| Tabella di arricchimento delle entità | Disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Link alla bacheca richieste
L'azione Arricchisci URL può fornire il seguente link per ogni entità arricchita:
Nome: Report Link
Valore: URL
Tabella della bacheca casi
L'azione Arricchisci URL può fornire la seguente tabella per ogni entità arricchita:
Nome tabella: ENTITY_ID
Colonne della tabella:
- Nome
- Category
- Metodo
- Risultato
L'azione Arricchisci URL può fornire la seguente tabella per ogni entità che ha commenti:
Nome tabella: Commenti: ENTITY_ID
Colonne della tabella:
- Data
- Commento
- Voti di abuso
- Voti negativi
- Voti positivi
- ID
Tabella di arricchimento delle entità
La tabella seguente elenca i campi arricchiti utilizzando l'azione Arricchisci URL:
| Nome del campo di arricchimento | Applicabilità |
|---|---|
VT3_id |
Si applica se disponibile nel risultato JSON. |
VT3_title |
Si applica se disponibile nel risultato JSON. |
VT3_last_http_response_code |
Si applica se disponibile nel risultato JSON. |
VT3_last_http_response_content_length |
Si applica se disponibile nel risultato JSON. |
VT3_threat_names |
Si applica se disponibile nel risultato JSON. |
VT3_harmless_count |
Si applica se disponibile nel risultato JSON. |
VT3_malicious_count |
Si applica se disponibile nel risultato JSON. |
VT3_suspicious_count |
Si applica se disponibile nel risultato JSON. |
VT3_undetected_count |
Si applica se disponibile nel risultato JSON. |
VT3_reputation |
Si applica se disponibile nel risultato JSON. |
VT3_tags |
Si applica se disponibile nel risultato JSON. |
VT3_malicious_vote_count |
Si applica se disponibile nel risultato JSON. |
VT3_harmless_vote_count |
Si applica se disponibile nel risultato JSON. |
VT3_report_link |
Si applica se disponibile nel risultato JSON. |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Arricchisci URL:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"AEXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Messaggi di output
L'azione Arricchisci URL può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Enrich URL". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Arricchisci URL:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Recupera dettagli dominio
Utilizza l'azione Ottieni dettagli dominio per recuperare informazioni dettagliate sul dominio utilizzando le informazioni di VirusTotal.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
URLHostname
Input azione
L'azione Recupera dettagli dominio richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Engine Threshold |
Facoltativo. Il numero minimo di motori che devono classificare un dominio come dannoso o sospetto perché sia considerato sospetto. |
Engine Percentage Threshold |
Facoltativo. La percentuale minima di motori che devono classificare il dominio come dannoso o sospetto affinché venga considerato sospetto. |
Engine Whitelist |
Facoltativo. Un elenco separato da virgole di nomi di motori da considerare durante la valutazione del rischio del dominio. |
Retrieve Comments |
Facoltativo. Se selezionata, l'azione recupera da VirusTotal i commenti associati al dominio. Questa opzione è selezionata per impostazione predefinita. |
Create Insight |
Facoltativo. Se selezionata, l'azione crea un approfondimento con informazioni sul dominio. Questa opzione è selezionata per impostazione predefinita. |
Only Suspicious Entity Insight |
Facoltativo. Se selezionata, l'azione genera approfondimenti solo per le entità considerate sospette in base ai parametri di soglia. Non selezionato per impostazione predefinita. |
Max Comments To Return |
Facoltativo. Il numero massimo di commenti da recuperare per il dominio in ogni esecuzione dell'azione. Il valore predefinito è |
Widget Theme |
Facoltativo. Il tema da utilizzare per il widget VirusTotal. Il valore predefinito è I valori possibili sono:
|
Fetch Widget |
Facoltativo. Se selezionata, l'azione recupera e mostra il widget VirusTotal per il dominio. Questa opzione è selezionata per impostazione predefinita. |
Output dell'azione
L'azione Recupera dettagli dominio fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Disponibile |
| Tabella della bacheca casi | Disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Link alla bacheca richieste
L'azione Ottieni dettagli dominio può fornire il seguente link per ogni entità arricchita:
Nome: Report Link
Valore: URL
Tabella della bacheca casi
L'azione Ottieni dettagli dominio può fornire la seguente tabella per ogni entità arricchita:
Nome tabella: ENTITY_ID
Colonne della tabella:
- Nome
- Category
- Metodo
- Risultato
L'azione Ottieni dettagli dominio può fornire la seguente tabella per ogni entità che ha commenti:
Nome tabella: Commenti: ENTITY_ID
Colonne della tabella:
- Data
- Commento
- Voti di abuso
- Voti negativi
- Voti positivi
- ID
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Ottieni dettagli dominio:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Messaggi di output
L'azione Recupera dettagli dominio può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Get Domain Details". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ottieni dettagli dominio:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Recuperare i dettagli del grafico
Utilizza l'azione Ottieni dettagli grafico per ottenere informazioni dettagliate sui grafici in VirusTotal.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Ottieni dettagli grafico richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Graph ID |
Obbligatorio. Un elenco separato da virgole di ID grafici per i quali recuperare i dettagli. |
Max Links To Return |
Facoltativo. Il numero massimo di link da restituire per ogni grafico. Il valore predefinito è |
Output dell'azione
L'azione Ottieni dettagli grafico fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Tabella della bacheca casi
L'azione Ottieni dettagli grafico può fornire la seguente tabella per ogni entità arricchita:
Nome tabella: Graph ENTITY_ID Links
Colonne della tabella:
- Origine
- Destinazione
- Tipo di connessione
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Ottieni dettagli grafico:
{
"data": {
"attributes": {
"comments_count": 0,
"creation_date": 1603219837,
"graph_data": {
"description": "Example LLC",
"version": "api-5.0.0"
},
"last_modified_date": 1603219837,
"links": [
{
"connection_type": "last_serving_ip_address",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "last_serving_ip_address",
"source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "network_location",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "network_location",
"source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "communicating_files",
"source": "203.0.113.3",
"target": "relationships_communicating_files_20301133"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
}
],
"nodes": [
{
"entity_attributes": {
"has_detections": false
},
"entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 0,
"text": "",
"type": "url",
"x": 51.22276722115952,
"y": 65.7811310194184
},
{
"entity_attributes": {},
"entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 1,
"text": "",
"type": "relationship",
"x": 25.415664700492094,
"y": 37.66636498768037
},
{
"entity_attributes": {
"country": "US"
},
"entity_id": "203.0.113.3",
"fx": -19.03611541222395,
"fy": 24.958500220062717,
"index": 2,
"text": "",
"type": "ip_address",
"x": -19.03611541222395,
"y": 24.958500220062717
},
{
"entity_attributes": {},
"entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 3,
"text": "",
"type": "relationship",
"x": 14.37403861978968,
"y": 56.85562691824892
},
{
"entity_attributes": {},
"entity_id": "relationships_communicating_files_20301133",
"index": 4,
"text": "",
"type": "relationship",
"x": -51.78097726144755,
"y": 10.087893225996158
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
"index": 5,
"text": "",
"type": "file",
"x": -79.11606194776019,
"y": -18.475026322309112
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
"index": 6,
"text": "",
"type": "file",
"x": -64.80938048199627,
"y": 46.75892061191275
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
"index": 7,
"text": "",
"type": "file",
"x": -43.54064004476819,
"y": -28.547923020662786
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
"index": 8,
"text": "",
"type": "file",
"x": -15.529860440278318,
"y": -2.068209789825876
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
"index": 9,
"text": "",
"type": "file",
"x": -42.55971948293377,
"y": 46.937155845680415
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "html"
},
"entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
"index": 10,
"text": "",
"type": "file",
"x": -62.447976875107706,
"y": -28.172418384729067
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
"index": 11,
"text": "",
"type": "file",
"x": -89.0326649183805,
"y": -2.2638551448322484
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
"index": 12,
"text": "",
"type": "file",
"x": -26.35260716195174,
"y": -20.25669077264115
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
"index": 13,
"text": "",
"type": "file",
"x": -82.1415994911387,
"y": 34.89636762607467
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "ENTITY_ID",
"index": 14,
"text": "",
"type": "file",
"x": -90.87738694680043,
"y": 16.374462198116138
}
],
"private": false,
"views_count": 30
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
}
}
Messaggi di output
L'azione Ottieni dettagli grafico può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Get Graph Details". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ottieni dettagli grafico:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Recupera domini correlati
Utilizza l'azione Ottieni domini correlati per ottenere i domini correlati alle entità fornite da VirusTotal.
Per eseguire l'azione Ottieni domini correlati, è necessario VirusTotal Enterprise (VTE).
Questa azione supporta solo gli hash MD5, SHA-1 e SHA-256.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
HashHostnameIP AddressURL
Input azione
L'azione Ottieni domini correlati richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Results |
Facoltativo. L'ordine in cui restituire i risultati JSON. I valori possibili sono:
Se selezioni Il valore predefinito è |
Max Domains To Return |
Facoltativo. Il numero di domini da restituire. Se selezioni Il valore predefinito è |
Output dell'azione
L'azione Ottieni domini correlati fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Get Related Domains:
{
"domain": ["example.com"]
}
Messaggi di output
L'azione Recupera domini correlati può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Get Related Domains". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ottieni domini correlati:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Get Related Hashes
Utilizza l'azione Ottieni hash correlati per ottenere gli hash correlati alle entità fornite da VirusTotal.
Per eseguire l'azione Ottieni hash correlati, è necessario VirusTotal Enterprise (VTE).
Questa azione supporta solo gli hash MD5, SHA-1 e SHA-256.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
HashHostnameIP AddressURL
Input azione
L'azione Ottieni hash correlati richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Results |
Facoltativo. L'ordine in cui restituire i risultati JSON. I valori possibili sono:
Se selezioni Il valore predefinito è |
Max Hashes To Return |
Facoltativo. Il numero di hash dei file da restituire. Se selezioni
Il valore predefinito è |
Output dell'azione
L'azione Ottieni hash correlati fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Get Related Hashes:
{
"sha256_hashes": ["http://example.com"]
}
Messaggi di output
L'azione Recupera hash correlati può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Get Related Hashes". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ottieni hash correlati:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Ottieni IP correlati
Utilizza l'azione Ottieni IP correlati per ottenere gli indirizzi IP correlati alle entità fornite da VirusTotal.
Per eseguire l'azione Recupera IP correlati, è necessario VirusTotal Enterprise (VTE).
Questa azione supporta solo gli hash MD5, SHA-1 e SHA-256.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
HashHostnameIP AddressURL
Input azione
L'azione Ottieni IP correlati richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Results |
Facoltativo. L'ordine in cui restituire i risultati JSON. I valori possibili sono:
Se selezioni Il valore predefinito è |
Max IPs To Return |
Facoltativo. Il numero di indirizzi IP da restituire. Se selezioni
Il valore predefinito è |
Output dell'azione
L'azione Recupera IP correlati fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Get Related IPs:
{
"ips": ["203.0.113.1"]
}
Messaggi di output
L'azione Recupera IP correlati può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Get Related IPs". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Recupera IP correlati:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Ottenere URL correlati
Utilizza l'azione Ottieni URL correlati per ottenere gli URL correlati alle entità fornite da VirusTotal.
Per eseguire l'azione Ottieni URL correlati, è necessario VirusTotal Enterprise (VTE).
Questa azione supporta solo gli hash MD5, SHA-1 e SHA-256.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
HashjsHostnameIP AddressURL
Input azione
L'azione Recupera URL correlati richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Results |
Facoltativo. L'ordine in cui restituire i risultati JSON. I valori possibili sono:
Se selezioni Il valore predefinito è |
Max URLs To Return |
Facoltativo. Il numero di URL da restituire. Se selezioni
Il valore predefinito è |
Output dell'azione
L'azione Recupera URL correlati fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Ottieni URL correlati:
{
"urls": ["http://example.com"]
}
Messaggi di output
L'azione Recupera URL correlati può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Get Related URLs". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La tabella seguente elenca il valore dell'output del risultato dello script quando utilizzi l'azione Recupera URL correlati:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Dindin
Utilizza l'azione Ping per testare la connettività a VirusTotal.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
Nessuno.
Output dell'azione
L'azione Ping fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Non disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Messaggi di output
L'azione Ping può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Failed to connect to the VirusTotal server! Error is
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Ping:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Grafici delle entità di ricerca
Utilizza l'azione Cerca grafici di entità per cercare grafici basati sulle entità in VirusTotal.
Questa azione supporta solo gli hash MD5, SHA-1 e SHA-256.
Questa azione viene eseguita sulle seguenti entità Google SecOps:
HashIP AddressThreat ActorURLUser
Input azione
L'azione Cerca grafici di entità richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Sort Field |
Facoltativo. Il valore del campo in base al quale ordinare i grafici di VirusTotal. Il valore predefinito è I valori possibili sono:
|
Max Graphs To Return |
Facoltativo. Il numero massimo di grafici da restituire per ogni esecuzione dell'azione. Il valore predefinito è |
Output dell'azione
L'azione Cerca grafici di entità fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando utilizzi l'azione Cerca grafici di entità:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
Messaggi di output
L'azione Cerca grafici delle entità può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Search Entity Graphs". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Grafici di ricerca
Utilizza l'azione Cerca grafici per cercare grafici in base a filtri personalizzati in VirusTotal.
Questa azione non viene eseguita sulle entità Google SecOps.
| Parametro | Descrizione |
|---|---|
Query |
Obbligatorio. Il filtro delle query per il grafico. Per ulteriori informazioni sulle query, vedi Come creare query e Modificatori relativi al grafico. |
Sort Field |
Facoltativo. Il valore del campo in base al quale ordinare i grafici di VirusTotal. Il valore predefinito è I valori possibili sono:
|
Max Graphs To Return |
Facoltativo. Il numero massimo di grafici da restituire per ogni esecuzione dell'azione. Il valore predefinito è |
Come creare query
Per perfezionare i risultati di ricerca dai grafici, crea query che contengano modificatori
correlati ai grafici. Per migliorare la ricerca, puoi combinare
i modificatori con gli operatori AND, OR e NOT.
I campi numerici e di data supportano i suffissi più (+) o meno (-). Un suffisso
più corrisponde ai valori maggiori di quello fornito. Un suffisso meno corrisponde
a valori inferiori a quello fornito. Senza un suffisso, la query restituisce corrispondenze
esatte.
Per definire gli intervalli, puoi utilizzare lo stesso modificatore più volte in una query. Ad esempio, per cercare grafici creati tra il 15/11/2018 e il 20/11/2018, utilizza la seguente query:
creation_date:2018-11-15+ creation_date:2018-11-20-
Per le date o i mesi che iniziano con 0, rimuovi il carattere 0 nella query.
Ad esempio, formatta la data 2018-11-01 come 2018-11-1.
Modificatori correlati ai grafici
La seguente tabella elenca i modificatori che puoi utilizzare per creare la query di ricerca:
| Modificatore | Descrizione | Esempio |
|---|---|---|
Id |
Filtra in base all'identificatore del grafico. | id:g675a2fd4c8834e288af |
Name |
Filtra per nome del grafico. | name:Example-name |
Owner |
Filtra in base ai grafici di proprietà dell'utente. | owner:example_user |
Group |
Filtra in base ai grafici di proprietà di un gruppo. | group:example |
Visible_to_user |
Filtra in base ai grafici visibili all'utente. | visible_to_user:example_user |
Visible_to_group |
Filtra in base ai grafici visibili al gruppo. | visible_to_group:example |
Private |
Filtra in base ai grafici privati. | private:true, private:false |
Creation_date |
Filtra in base alla data di creazione del grafico. | creation_date:2018-11-15 |
last_modified_date |
Filtra in base alla data dell'ultima modifica del grafico. | last_modified_date:2018-11-20 |
Total_nodes |
Filtra in base ai grafici che contengono un numero specifico di nodi. | total_nodes:100 |
Comments_count |
Filtra in base al numero di commenti nel grafico. | comments_count:10+ |
Views_count |
Filtra in base al numero di visualizzazioni del grafico. | views_count:1000+ |
Label |
Filtra in base ai grafici che contengono nodi con un'etichetta specifica. | label:Kill switch |
File |
Filtra in base ai grafici che contengono il file specifico. | file:131f95c51cc819465fa17 |
Domain |
Filtra in base ai grafici che contengono il dominio specifico. | domain:example.com |
Ip_address |
Filtra in base ai grafici che contengono l'indirizzo IP specifico. | ip_address:203.0.113.1 |
Url |
Filtra in base ai grafici che contengono l'URL specifico. | url:https://example.com/example/ |
Actor |
Filtra in base ai grafici che contengono l'attore specifico. | actor:example actor |
Victim |
Filtra in base ai grafici che contengono la vittima specifica. | victim:example_user |
Email |
Filtra in base ai grafici che contengono l'indirizzo email specifico. | email:user@example.com |
Department |
Filtra in base ai grafici che contengono il reparto specifico. | department:engineers |
Output dell'azione
L'azione Cerca grafici fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Cerca grafici:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
Messaggi di output
L'azione Cerca grafici può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Search Graphs". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando utilizzi l'azione Cerca grafici:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Cerca IOC
Utilizza l'azione Cerca indicatori di compromissione per cercare indicatori di compromissione nel set di dati VirusTotal.
Per eseguire l'azione Cerca indicatori di compromissione, è necessario VirusTotal Enterprise (VTE).
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Cerca indicatori di compromissione richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Query |
Obbligatorio. La query per cercare gli IOC. Il valore predefinito è Per configurare la query, segui la sintassi della query applicabile all'interfaccia utente di VirusTotal Intelligence. |
Create Entities |
Facoltativo. Se selezionata, l'azione crea entità per gli IOC restituiti. Questa azione non arricchisce le entità. Non selezionato per impostazione predefinita. |
Order By |
Obbligatorio. Il campo di ordinamento per restituire i risultati. I valori possibili sono:
I tipi di entità possono avere campi di ordinamento diversi. Per saperne di più su come cercare file in VirusTotal, vedi Ricerca avanzata nel corpus. Il valore predefinito è |
Sort Order |
Facoltativo. L'ordine in cui ordinare i risultati. I valori possibili sono:
Se imposti il valore Il valore
predefinito è |
Max IOCs To Return |
Facoltativo. Il numero di indicatori di compromissione da restituire. Il valore massimo è
Il valore predefinito è |
Output dell'azione
L'azione Cerca indicatori di compromissione fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Non disponibile |
| Tabella della bacheca casi | Non disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Risultato JSON
L'esempio seguente mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Cerca indicatori di compromissione:
{
"data": [
{
"attributes": {
"type_description": "Email",
"tlsh": "T1B4D31F04BE452B3093E7238E064E6FDBAFCC135F6611F1C60881AAD6C5C77A2E57D689",
"exiftool": {
"MIMEType": "text/plain",
"FileType": "TXT",
"WordCount": "2668",
"LineCount": "1820",
"MIMEEncoding": "us-ascii",
"FileTypeExtension": "txt",
"Newlines": "Windows CRLF"
},
"type_tags": [
"internet",
"email"
],
"threat_severity": {
"threat_severity_level": "SEVERITY_HIGH",
"threat_severity_data": {
"num_gav_detections": 3,
"has_vulnerabilities": true,
"popular_threat_category": "trojan",
"type_tag": "email",
"has_embedded_ips_with_detections": true
},
"last_analysis_date": "1698050597",
"version": 2,
"level_description": "Severity HIGH because it was considered trojan. Other contributing factors were that it has known exploits, it contains embedded IPs with detections and it could not be run in sandboxes."
},
"names": [
"Re Example.eml"
],
"last_modification_date": 1698057197,
"type_tag": "email",
"times_submitted": 1,
"total_votes": {
"harmless": 0,
"malicious": 0
},
"size": 132299,
"popular_threat_classification": {
"suggested_threat_label": "obfsobjdat/malformed",
"popular_threat_name": [
{
"count": 8,
"value": "obfsobjdat"
},
{
"count": 2,
"value": "malformed"
}
]
},
"last_submission_date": 1698049979,
"last_analysis_results": {
"Bkav": {
"category": "undetected",
"engine_name": "Example1",
"engine_version": "2.0.0.1",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
"Lionic": {
"category": "undetected",
"engine_name": "Example2",
"engine_version": "7.5",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
},
"downloadable": true,
"trid": [
{
"file_type": "file seems to be plain text/ASCII",
"probability": 0
}
],
"sha256": "2d9df36964fe2e477e6e0f7a73391e4d4b2eeb0995dd488b431c4abfb4c27dbf",
"type_extension": "eml",
"tags": [
"exploit",
"cve-2018-0802",
"cve-2018-0798",
"email",
"cve-2017-11882"
],
"last_analysis_date": 1698049979,
"unique_sources": 1,
"first_submission_date": 1698049979,
"ssdeep": "768:MedEkBNnx8ueVV+fitChi9KbpK0fixbRwHbcElIK944tCVQOgzdsSuom+cWmsCGY:Meo+fitC0mKuixYxlI1OO1cSPo0gptA",
"md5": "bdfe36052e0c083869505ef4fd77e865",
"sha1": "3a350de97009efe517ceffcea406534bb1ab800c",
"magic": "SMTP mail, ASCII text, with CRLF line terminators",
"last_analysis_stats": {
"harmless": 0,
"type-unsupported": 16,
"suspicious": 0,
"confirmed-timeout": 0,
"timeout": 0,
"failure": 0,
"malicious": 28,
"undetected": 32
},
"meaningful_name": "Re Example.eml",
"reputation": 0
},
"type": "file",
"id": "ID",
"links": {
"self": "URL"
}
},
]
}
Messaggi di output
L'azione Cerca indicatori di compromissione può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Search IOCs". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output dei risultati dello script quando utilizzi l'azione Cerca indicatori di compromissione:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Invia file
Utilizza l'azione Invia file per inviare un file e restituire i risultati di VirusTotal.
Questa azione non viene eseguita sulle entità Google SecOps.
Input azione
L'azione Invia file richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
File Paths |
Obbligatorio. Un elenco separato da virgole di percorsi assoluti per i file da inviare. Se configuri il parametro |
Engine Threshold |
Facoltativo. Il numero minimo di motori che devono classificare un file come dannoso o sospetto affinché venga considerato sospetto. Se configuri
|
Engine Percentage Threshold |
Facoltativo. La percentuale minima di motori che devono classificare il file come dannoso o sospetto affinché venga considerato sospetto. |
Engine Whitelist |
Facoltativo. Un elenco separato da virgole di nomi di motori da prendere in considerazione durante la valutazione del
rischio, ad esempio Se non imposti un valore, l'azione utilizza tutti i motori disponibili. Il calcolo della soglia non include i motori che non forniscono informazioni sulle entità. |
Retrieve Comments |
Facoltativo. Se selezionata, l'azione recupera i commenti associati al file da VirusTotal. Questa opzione è selezionata per impostazione predefinita. Quando l'invio privato è abilitato, i commenti non vengono recuperati. |
Retrieve Sigma Analysis |
Facoltativo. Se selezionata, l'azione recupera i risultati dell'analisi Sigma per il file. Questa opzione è selezionata per impostazione predefinita. |
Max Comments To Return |
Facoltativo. Il numero massimo di commenti da recuperare per ogni esecuzione dell'azione. Il valore predefinito è |
Linux Server Address |
Facoltativo. L'indirizzo IP o il nome host di un server Linux remoto in cui si trovano i file. |
Linux Username |
Facoltativo. Il nome utente per l'autenticazione sul server Linux remoto. |
Linux Password |
Facoltativo. La password per l'autenticazione sul server Linux remoto. |
Private Submission |
Facoltativo. Se selezionata, l'azione invia il file in privato. Per inviare il file in privato, è necessario l'accesso a VirusTotal Premium. Non selezionato per impostazione predefinita. |
Fetch MITRE Details |
Facoltativo. Se selezionata, l'azione recupera le tecniche e le tattiche MITRE ATT&CK correlate all'hash. Non selezionato per impostazione predefinita. |
Lowest MITRE Technique Severity |
Facoltativo. Il livello di gravità minimo per una tecnica MITRE ATT&CK da includere nei
risultati. L'azione considera la gravità I valori possibili sono:
Il valore predefinito è |
Retrieve AI Summary |
Facoltativo. Questo parametro è sperimentale. Se selezionata, l'azione recupera un riepilogo del file creato con l'AI. Questa opzione è disponibile solo per gli invii privati. Non selezionato per impostazione predefinita. |
Output dell'azione
L'azione Invia file fornisce i seguenti output:
| Tipo di output dell'azione | Disponibilità |
|---|---|
| Allegato della bacheca casi | Non disponibile |
| Link alla bacheca richieste | Disponibile |
| Tabella della bacheca casi | Disponibile |
| Tabella di arricchimento | Non disponibile |
| Risultato JSON | Disponibile |
| Messaggi di output | Disponibile |
| Risultato dello script | Disponibile |
Link alla bacheca richieste
L'azione Invia file può fornire il seguente link per ogni entità arricchita:
Nome: Link report: PATH
Valore: URL
Tabella della bacheca casi
L'azione Invia file può fornire la seguente tabella per ogni file inviato:
Nome tabella: Risultati: PATH
Colonne della tabella:
- Nome
- Category
- Metodo
- Risultato
L'azione Invia file può fornire la seguente tabella per ogni file inviato che contiene commenti:
Nome tabella: Commenti: PATH
Colonne della tabella:
- Data
- Commento
- Voti di abuso
- Voti negativi
- Voti positivi
- ID
L'azione Invia file può fornire la seguente tabella per ogni entità che contiene i risultati dell'analisi Sigma:
Nome tabella: Sigma Analysis: ENTITY_ID
Colonne della tabella:
- ID
- Gravità
- Origine
- Titolo
- Descrizione
- Contesto della corrispondenza
Risultato JSON
Il seguente esempio mostra l'output del risultato JSON ricevuto quando si utilizza l'azione Invia file:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Messaggi di output
L'azione Invia file può restituire i seguenti messaggi di output:
| Messaggio di output | Descrizione del messaggio |
|---|---|
|
L'azione è riuscita. |
Error executing action "Submit File". Reason:
ERROR_REASON |
L'azione non è riuscita. Controlla la connessione al server, i parametri di input o le credenziali. |
Risultato dello script
La seguente tabella elenca il valore dell'output del risultato dello script quando si utilizza l'azione Invia file:
| Nome del risultato dello script | Valore |
|---|---|
is_success |
True o False |
Connettori
Per maggiori dettagli su come configurare i connettori in Google SecOps, consulta Importare i dati (connettori).
VirusTotal - Livehunt Connector
Utilizza VirusTotal - Livehunt Connector per estrarre informazioni sulle notifiche di VirusTotal Livehunt e sui file correlati.
Questo connettore richiede un token API VirusTotal Premium. L'elenco dinamico funziona
con il parametro rule_name.
Input del connettore
Il connettore VirusTotal - Livehunt richiede i seguenti parametri:
| Parametro | Descrizione |
|---|---|
Product Field Name |
Obbligatorio. Il nome del campo in cui è memorizzato il nome del prodotto. Il valore
predefinito è Il nome del prodotto
influisce principalmente sulla mappatura. Per semplificare e migliorare il processo di mappatura per
il connettore, il valore predefinito |
Event Field Name |
Obbligatorio. Il nome del campo in cui è memorizzato il nome (sottotipo) dell'evento. Il valore
predefinito è |
Environment Field Name |
Facoltativo. Il nome del campo in cui è memorizzato il nome dell'ambiente. Se il campo ambiente non viene trovato, il connettore utilizza il valore predefinito. Il valore predefinito è |
Environment Regex Pattern |
Facoltativo. Un pattern di espressione regolare da eseguire sul valore trovato nel campo
Utilizza il valore predefinito Se il pattern dell'espressione regolare è nullo o vuoto oppure il valore dell'ambiente è nullo, il risultato finale dell'ambiente è l'ambiente predefinito. |
PythonProcessTimeout |
Obbligatorio. Il limite di timeout in secondi per il processo Python che esegue lo script corrente. Il valore predefinito è |
API Key |
Obbligatorio. La chiave API VirusTotal. |
Verify SSL |
Obbligatorio. Se selezionata, l'integrazione convalida il certificato SSL quando si connette a VirusTotal. Questa opzione è selezionata per impostazione predefinita. |
Engine Whitelist |
Facoltativo. Un elenco separato da virgole di nomi di motori da considerare durante la valutazione del
valore parametroo Se non imposti un valore, l'azione utilizza tutti i motori disponibili. |
Engine Percentage Threshold To Fetch |
Obbligatorio. La percentuale minima di motori che contrassegnano il file come dannoso o sospetto affinché il connettore lo acquisisca. I valori validi vanno
da Il valore predefinito è |
Max Hours Backwards |
Facoltativo. Il numero di ore prima della prima iterazione del connettore per recuperare gli incidenti. Questo parametro può essere applicato all'iterazione iniziale del connettore dopo averlo attivato per la prima volta o al valore di riserva per un timestamp del connettore scaduto. Il valore predefinito è |
Max Notifications To Fetch |
Facoltativo. Il numero massimo di notifiche da elaborare in ogni esecuzione del connettore. Il valore predefinito è |
Use dynamic list as a blacklist |
Obbligatorio. Se selezionata, la lista dinamica viene utilizzata come blocklist. Non selezionata per impostazione predefinita. |
Proxy Server Address |
Facoltativo. L'indirizzo del server proxy da utilizzare. |
Proxy Username |
Facoltativo. Il nome utente per l'autenticazione del server proxy. |
Proxy Password |
Facoltativo. La password per l'autenticazione del server proxy. |
Regole del connettore
Il connettore supporta i proxy.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.