VirusTotal v3 を Google SecOps と統合する
このドキュメントでは、VirusTotal v3 を Google Security Operations(Google SecOps)と統合する方法について説明します。
統合バージョン: 34.0
この統合では、VirusTotal API v3 を使用します。VirusTotal API v3 の詳細については、VirusTotal API v3 の概要をご覧ください。
この統合では、1 つ以上のオープンソース コンポーネントを使用します。この統合の完全なソースコードの zip 形式のコピーを Cloud Storage バケットからダウンロードできます。
ユースケース
VirusTotal v3 統合は、次のユースケースの解決に役立ちます。
ファイル分析: Google SecOps の機能を使用して、ファイル ハッシュまたはファイルを VirusTotal に送信して分析し、複数のウイルス対策エンジンからスキャン結果を取得して、送信されたアイテムが悪意のあるものかどうかを判断します。
URL 分析: Google SecOps の機能を使用して、URL を VirusTotal データベースと照合し、悪意のある可能性のあるウェブサイトやフィッシング ページを特定します。
IP アドレス分析: Google SecOps の機能を使用して IP アドレスを調査し、その評判と関連する悪意のあるアクティビティを特定します。
ドメイン分析: Google SecOps の機能を使用してドメイン名を分析し、その評判と、フィッシングやマルウェアの配布などの関連する悪意のあるアクティビティを特定します。
遡及的ハンティング: Google SecOps の機能を使用して、VirusTotal の履歴データをスキャンし、以前に悪意のあるものとしてフラグが設定されたファイル、URL、IP、ドメインを検索します。
自動拡充: Google SecOps の機能を使用して、脅威インテリジェンスでインシデント データを自動的に拡充します。
フィッシングの調査: Google SecOps の機能を使用して、不審なメールと添付ファイルを VirusTotal に送信して分析します。
マルウェア分析: Google SecOps の機能を使用して、マルウェア サンプルを VirusTotal にアップロードして動的分析と静的分析を行い、サンプルの動作と潜在的な影響に関する分析情報を取得します。
始める前に
この統合を正しく機能させるには、VirusTotal Premium API が必要です。VirusTotal Premium API の詳細については、パブリック API とプレミアム API をご覧ください。
Google SecOps で VirusTotal v3 統合を構成する前に、VirusTotal で API キーを構成します。
API キーを構成する手順は次のとおりです。
- VirusTotal ポータルにログインします。
- ユーザー名の下にある [API キー] をクリックします。
- 生成された API キーをコピーして、統合パラメータで使用します。
- [保存] をクリックします。
統合のパラメータ
VirusTotal v3 の統合には、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
API Key |
必須。 VirusTotal API キー。 |
Verify SSL |
省略可。 選択すると、VirusTotal に接続するときに SSL 証明書が検証されます。 デフォルトで選択されています。 |
Google SecOps で統合を構成する手順については、統合を構成するをご覧ください。
必要に応じて、後の段階で変更できます。統合インスタンスを構成すると、ハンドブックで使用できるようになります。複数のインスタンスを構成してサポートする方法の詳細については、複数のインスタンスのサポートをご覧ください。
操作
アクションの詳細については、Your Workdesk から保留中のアクションに対応すると手動アクションを実行するをご覧ください。
エンティティにコメントを追加
Add Comment To Entity アクションを使用して、VirusTotal のエンティティにコメントを追加します。
このアクションは、次の Google SecOps エンティティに対して実行されます。
File HashHostnameIP AddressURL
このアクションでは、MD5、SHA-1、SHA-256 ハッシュのみがサポートされています。
アクション入力
[Add Comment To Entity] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Comment |
必須。 エンティティに追加するコメント。 |
アクションの出力
[Add Comment To Entity] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、エンティティにコメントを追加アクションを使用した場合に受信する JSON 結果の出力例です。
{
"Status": "Done"
}
{
"Status": "Not done"
}
出力メッセージ
エンティティにコメントを追加アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Add Comment To Entity". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Add Comment To Entity アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
エンティティに投票を追加する
VirusTotal のエンティティに投票を追加するには、[Add Vote To Entity] アクションを使用します。
このアクションは、次の Google SecOps エンティティに対して実行されます。
File HashHostnameIP AddressURL
このアクションでは、MD5、SHA-1、SHA-256 ハッシュのみがサポートされています。
アクション入力
Add Vote To Entity アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Vote |
必須。 エンティティに追加する投票。 使用できる値は次のとおりです。
|
アクションの出力
[Add Vote To Entity] アクションは次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、エンティティに投票を追加アクションを使用したときに受信した JSON 結果の出力例を示しています。
{
"Status": "Done"
}
{
"Status": "Not done"
}
出力メッセージ
Add Vote To Entity アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Add Vote To Entity". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Add Vote To Entity アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
ファイルをダウンロード
Download File アクションを使用して、VirusTotal からファイルをダウンロードします。
Download File アクションを実行するには、VirusTotal Enterprise(VTE)が必要です。
このアクションは Google SecOps の Hash エンティティに対して実行されます。
このアクションでは、MD5、SHA-1、SHA-256 ハッシュのみがサポートされています。
アクション入力
[Download File] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Download Folder Path |
必須。 ダウンロードしたファイルを保存するフォルダのパス。 |
Overwrite |
省略可。 選択すると、ファイル名が同じ場合に、既存のファイルが新しいファイルで上書きされます。 デフォルトで選択されています。 |
アクションの出力
[Download File] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[Download File] アクションを使用したときに受信した JSON 結果の出力を示しています。
{
"absolute_file_paths": ["file_path_1","file_path_2"]
}
出力メッセージ
[Download File] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Download File". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
ハッシュを拡充する
ハッシュの拡充アクションを使用して、VirusTotal の情報でハッシュを拡充します。
このアクションは Google SecOps の Hash エンティティに対して実行されます。
このアクションでは、MD5、SHA-1、SHA-256 ハッシュのみがサポートされています。
アクション入力
ハッシュを拡充アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Engine Threshold |
省略可。 エンティティが不審と見なされるために、エンティティを悪意のあるものまたは不審なものとして分類する必要がある最小エンジン数。
|
Engine Percentage Threshold |
省略可。 エンティティを不審と見なすために、エンティティを悪意のあるものまたは不審なものとしてマークするエンジンの最小割合。
このパラメータの有効な値は |
Engine Whitelist |
省略可。 ハッシュが悪意のあるものかどうかを判断する際に考慮するアクションのエンジン名のカンマ区切りリスト。 値を設定しない場合、アクションは使用可能なすべてのエンジンを使用します。しきい値の計算には、エンティティに関する情報を提供しないエンジンは含まれません。 |
Resubmit Hash |
省略可。 選択すると、既存の結果を使用する代わりに、アクションによってハッシュが再送信され、分析されます。 デフォルトでは選択されていません。 |
Resubmit After (Days) |
省略可。 最新の分析後にハッシュを再送信する日数。 このパラメータは、 デフォルト値は |
Retrieve Comments |
省略可。 選択すると、アクションはハッシュに関連付けられているコメントを取得します。 デフォルトで選択されています。 |
Retrieve Sigma Analysis |
省略可。 選択すると、アクションはハッシュの Sigma 分析結果を取得します。 デフォルトで選択されています。 |
Sandbox |
省略可。 動作分析に使用するサンドボックス環境のカンマ区切りのリスト。 値を設定しない場合、アクションはデフォルト値を使用します。 デフォルト値は |
Retrieve Sandbox Analysis |
省略可。 選択すると、アクションはハッシュのサンドボックス分析結果を取得し、指定されたサンドボックスごとに JSON 出力に別のセクションを作成します。 デフォルトで選択されています。 |
Create Insight |
省略可。 選択すると、アクションによって、分析されたハッシュに関する情報を含む分析情報が作成されます。 デフォルトで選択されています。 |
Only Suspicious Entity Insight |
省略可。 選択すると、しきい値パラメータに基づいて不審と見なされたハッシュについてのみ、アクションによって分析情報が生成されます。 このパラメータは、 デフォルトでは選択されていません。 |
Max Comments To Return |
省略可。 アクション実行ごとに取得するコメントの最大数。 デフォルト値は |
Widget Theme |
省略可。 VirusTotal ウィジェットで使用するテーマ。 デフォルト値は 使用できる値は次のとおりです。
|
Fetch Widget |
省略可。 選択すると、アクションはハッシュに関連する拡張ウィジェットを取得します。 デフォルトで選択されています。 |
Fetch MITRE Details |
省略可。 選択すると、アクションはハッシュに関連する MITRE ATT&CK の手法と戦術を取得します。 デフォルトでは選択されていません。 |
Lowest MITRE Technique Severity |
省略可。 結果に含める MITRE ATT&CK 手法の最小重大度レベル。このアクションは、重大度 値は次のいずれかになります。
デフォルト値は |
アクションの出力
[ハッシュを拡充] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用可能 |
| ケースウォール テーブル | 利用可能 |
| エンティティ拡充テーブル | 利用可能 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
ケースウォールのリンク
ハッシュを拡充アクションでは、拡充されたエンティティごとに次のリンクを指定できます。
名前: レポートのリンク
値: URL
ケースウォール テーブル
ハッシュの拡充アクションでは、拡充されたエンティティごとに次の表を提供できます。
テーブル名: ENTITY_ID
テーブルの列:
- 名前
- カテゴリ
- メソッド
- 結果
ハッシュを拡充アクションは、コメントのあるエンティティごとに次の表を提供できます。
テーブル名: Comments: ENTITY_ID
テーブルの列:
- 日付
- コメント
- 不正行為の投票
- 否定的な投票
- 肯定的な投票
- ID
[ハッシュを拡充] アクションでは、Sigma 分析結果を含むエンティティごとに次のテーブルが提供されます。
テーブル名: Sigma 分析: ENTITY_ID
テーブルの列:
- ID
- 重大度
- ソース
- タイトル
- 説明
- 試合のコンテキスト
エンティティ拡充テーブル
次の表に、ハッシュを拡充アクションを使用して拡充されるフィールドを示します。
| 拡充フィールド名 | 適用範囲 |
|---|---|
VT3_id |
JSON の結果で利用可能な場合に適用されます。 |
VT3_magic |
JSON の結果で利用可能な場合に適用されます。 |
VT3_md5 |
JSON の結果で利用可能な場合に適用されます。 |
VT3_sha1 |
JSON の結果で利用可能な場合に適用されます。 |
VT3_sha256 |
JSON の結果で利用可能な場合に適用されます。 |
VT3_ssdeep |
JSON の結果で利用可能な場合に適用されます。 |
VT3_tlsh |
JSON の結果で利用可能な場合に適用されます。 |
VT3_vhash |
JSON の結果で利用可能な場合に適用されます。 |
VT3_meaningful_name |
JSON の結果で利用可能な場合に適用されます。 |
VT3_magic |
JSON の結果で利用可能な場合に適用されます。 |
VT3_harmless_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_malicious_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_suspicious_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_undetected_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_reputation |
JSON の結果で利用可能な場合に適用されます。 |
VT3_tags |
JSON の結果で利用可能な場合に適用されます。 |
VT3_malicious_vote_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_harmless_vote_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_report_link |
JSON の結果で利用可能な場合に適用されます。 |
JSON の結果
次の例は、[ハッシュを拡充] アクションを使用したときに受信した JSON 結果の出力を示しています。
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}]
}
出力メッセージ
ハッシュの拡充アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Enrich Hash". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、ハッシュの拡充アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
IOC を拡充する
IOC を拡充アクションを使用して、VirusTotal の情報を使用してセキュリティ侵害インジケーター(IoC)を拡充します。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
[IOC を拡充] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
IOC Type |
省略可。 拡充する IOC のタイプ。 デフォルト値は 値は次のいずれかになります。
|
IOCs |
必須。 拡充する IOC のカンマ区切りのリスト。 |
Widget Theme |
省略可。 ウィジェットに使用するテーマ。 デフォルト値は 値は次のいずれかになります。
|
Fetch Widget |
省略可。 選択すると、アクションによって IOC のウィジェットが取得されます。 デフォルトで選択されています。 |
アクションの出力
[IOC を拡充] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用可能 |
| ケースウォール テーブル | 利用可能 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
ケースウォールのリンク
IOC を拡充アクションは、拡充されたエンティティごとに次のリンクを提供できます。
名前: レポートのリンク
値: URL
ケースウォール テーブル
IOC を拡充アクションは、拡充されたエンティティごとに次の表を提供できます。
テーブル名: IOC_ID
テーブルの列:
- 名前
- カテゴリ
- メソッド
- 結果
JSON の結果
次の例は、[IOC を拡充] アクションを使用した場合に受信される JSON 結果の出力例を示しています。
{
"ioc": {
"identifier": "203.0.113.1",
"details": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"report_link": "{generated report link}",
"widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
}
}
}
出力メッセージ
Ping アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Enrich IOC". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、IOC の拡充アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
IP を拡充する
IP をエンリッチ アクションを使用して、VirusTotal の情報を使用して IP アドレスをエンリッチします。
このアクションは Google SecOps の IP Address エンティティに対して実行されます。
アクション入力
[IP を拡充] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Engine Threshold |
省略可。 エンティティが不審と見なされるために、エンティティを悪意のあるものまたは不審なものとして分類する必要がある最小エンジン数。
|
Engine Percentage Threshold |
省略可。 エンティティが不審と見なされるために、エンティティを悪意のあるものまたは不審なものとして分類する必要があるエンジンの最小割合。
このパラメータの有効な値は |
Engine Whitelist |
省略可。 ハッシュが悪意のあるものかどうかを判断する際に考慮するアクションのエンジン名のカンマ区切りリスト。 値を設定しない場合、アクションは使用可能なすべてのエンジンを使用します。しきい値の計算には、エンティティに関する情報を提供しないエンジンは含まれません。 |
Retrieve Comments |
省略可。 選択すると、アクションはハッシュに関連付けられているコメントを取得します。 デフォルトで選択されています。 |
Create Insight |
省略可。 選択すると、アクションによって、分析されたハッシュに関する情報を含む分析情報が作成されます。 デフォルトで選択されています。 |
Only Suspicious Entity Insight |
省略可。 選択すると、しきい値パラメータに基づいて不審と見なされたハッシュについてのみ、アクションによって分析情報が生成されます。 このパラメータは、 デフォルトでは選択されていません。 |
Max Comments To Return |
省略可。 アクション実行ごとに取得するコメントの最大数。 デフォルト値は |
Widget Theme |
省略可。 VirusTotal ウィジェットで使用するテーマ。 デフォルト値は 使用できる値は次のとおりです。
|
Fetch Widget |
省略可。 選択すると、アクションはハッシュに関連する拡張ウィジェットを取得します。 デフォルトで選択されています。 |
アクションの出力
[IP を拡充] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用可能 |
| ケースウォール テーブル | 利用可能 |
| エンティティ拡充テーブル | 利用可能 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
ケースウォールのリンク
IP の拡充アクションでは、拡充されたエンティティごとに次のリンクを指定できます。
名前: レポートのリンク
値: URL
ケースウォール テーブル
IP の拡充アクションでは、拡充されたエンティティごとに次の表を提供できます。
テーブル名: ENTITY_ID
テーブルの列:
- 名前
- カテゴリ
- メソッド
- 結果
[IP を拡充] アクションでは、コメントのあるエンティティごとに次の表を表示できます。
テーブル名: Comments: ENTITY_ID
テーブルの列:
- 日付
- コメント
- 不正行為の投票
- 否定的な投票
- 肯定的な投票
- ID
エンティティ拡充テーブル
次の表に、[IP を拡充] アクションを使用して拡充されるフィールドを示します。
| 拡充フィールド名 | 適用範囲 |
|---|---|
VT3_id |
JSON の結果で利用可能な場合に適用されます。 |
VT3_owner |
JSON の結果で利用可能な場合に適用されます。 |
VT3_asn |
JSON の結果で利用可能な場合に適用されます。 |
VT3_continent |
JSON の結果で利用可能な場合に適用されます。 |
VT3_country |
JSON の結果で利用可能な場合に適用されます。 |
VT3_harmless_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_malicious_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_suspicious_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_undetected_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_certificate_valid_not_after |
JSON の結果で利用可能な場合に適用されます。 |
VT3_certificate_valid_not_before |
JSON の結果で利用可能な場合に適用されます。 |
VT3_reputation |
JSON の結果で利用可能な場合に適用されます。 |
VT3_tags |
JSON の結果で利用可能な場合に適用されます。 |
VT3_malicious_vote_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_harmless_vote_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_report_link |
JSON の結果で利用可能な場合に適用されます。 |
JSON の結果
次の例は、IP の拡充アクションを使用した場合に受信する JSON 結果の出力例を示しています。
{
"data": {
"attributes": {
"as_owner": "Example",
"asn": 50673,
"continent": "EU",
"country": "NL",
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "ExampleLabs",
"method": "blacklist",
"result": "clean"
},
"example.com URL checker": {
"category": "harmless",
"engine_name": "example.com URL checker",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 81,
"malicious": 5,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_https_certificate": {
"cert_signature": {
"signature": "48ae0d5d0eb411e56bd328b93c7212c72fd21785070648e11d9ae2b80386711699978e650eafa233d234671b87c8134c1c38c59f702518ddebdc7849dc512e0158941507970ab3ab93788d27df728d727d7f9d28ed358abb145fb24803d0eeab04687ae07c7f1d3176374367efc000bd26d3cfc0659e54826ea2dfa2366d7bd9e8ed3bd2ff8a26898b37fadea198f93de8cf3ae3d703513bc0638f7b411d8eda9a3ac9a7510d7bfe553592792d10f8b2c255bc4a05c8c6bfbdb8def045dc754b39c9b89d2a5140818622760eb116abf6fd0a5798c1e274fe56a056ed21f419a6873d314c15238a398d8049b5ecc1ca003d0a07a989a710d137e4fc74b5671caa",
"signature_algorithm": "sha256RSA"
},
"extensions": {
"1.3.6.1.4.1.11129.2.4.2": "0481f200f00075007d3ef2f88fff88556824c2c0ca9e5289792bc50e78097f2e",
"CA": true,
"authority_key_identifier": {
"keyid": "KEY_ID"
},
"ca_information_access": {
"CA Issuers": "http://example.RSADomainValidationSecureServerCA.crt",
"OCSP": "http://example.com"
},
"certificate_policies": [
"1.3.6.1.4.1.6449.1.2.2.7",
"2.23.140.1.2.1"
],
"extended_key_usage": [
"serverAuth",
"clientAuth"
],
"key_usage": [
"ff"
],
"subject_alternative_name": [
"example-panel.xyz",
"www.example-panel.xyz"
],
"subject_key_identifier": "4f6429eaccd761eca91d9120b004f9d962453fef",
"tags": []
},
"issuer": {
"C": "US",
"CN": "Example RSA Domain Validation Secure Server CA",
"L": "Mountain View",
"O": "Example Ltd.",
},
"public_key": {
"algorithm": "RSA",
"rsa": {
"exponent": "010001",
"key_size": 2048,
"modulus": "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"
}
},
"serial_number": "248562d360bcc919bb97883f0dfc609d",
"signature_algorithm": "sha256RSA",
"size": 1472,
"subject": {
"CN": "example-panel.xyz"
},
"tags": [],
"thumbprint": "f9aae62cc9262302e45d94fcc512d65529ea1b31",
"thumbprint_sha256": "406ac0efb0ef67de743b1ab0f4e0352564a7d5ebbd71e3a883c067acc3563016",
"validity": {
"not_after": "2021-08-06 23:59:59",
"not_before": "2020-08-06 00:00:00"
},
"version": "V3"
},
"last_https_certificate_date": 1605415789,
"last_modification_date": 1605430702,
"network": "203.0.113.0/24",
"regional_internet_registry": "EXAMPLE",
"reputation": -95,
"tags": [],
"total_votes": {
"harmless": 0,
"malicious": 10
},
"whois": "NetRange: 203.0.113.0 - 203.0.113.255\nCIDR: 203.0.113.0/24\nNetName: EXAMPLE-5\nNetHandle: NET-203-0-113-0-1\nParent: ()\nNetType: Allocated to EXAMPLE\nOrig",
"whois_date": 1603912270
},
"id": "203.0.113.1",
"links": {
"self": "https://www.virustotal.com/api/v3/ip_addresses/203.0.113.1"
},
"type": "ip_address"
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
出力メッセージ
IP の拡充アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、IP の拡充アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
URL を拡充する
URL を拡充アクションを使用して、VirusTotal の情報で URL を拡充します。
このアクションは Google SecOps の URL エンティティに対して実行されます。
アクション入力
[URL を拡充] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Engine Threshold |
省略可。 URL が不審と見なされるために、URL を悪意のあるものまたは不審なものとして分類する必要がある最小エンジン数。
|
Engine Percentage Threshold |
省略可。 URL が不審と見なされるために、URL を悪意のあるものまたは不審なものとして分類する必要があるエンジンの最小割合。
このパラメータの有効な値は |
Engine Whitelist |
省略可。 ハッシュが悪意のあるものかどうかを判断する際に考慮するアクションのエンジン名のカンマ区切りリスト。 |
Resubmit URL |
省略可。 選択すると、既存の結果を使用する代わりに、分析のために URL が再送信されます。 デフォルトでは選択されていません。 |
Resubmit After (Days) |
省略可。 最新の分析後に URL を再送信するまでの日数。 このパラメータは、 デフォルト値は |
Retrieve Comments |
省略可。 選択すると、アクションは URL に関連付けられているコメントを取得します。 デフォルトで選択されています。 |
Create Insight |
省略可。 選択すると、アクションによって、分析された URL に関する情報を含む分析情報が作成されます。 デフォルトで選択されています。 |
Only Suspicious Entity Insight |
省略可。 選択すると、しきい値パラメータに基づいて不審と見なされた URL についてのみ、アクションによって分析情報が生成されます。 このパラメータは、 デフォルトでは選択されていません。 |
Max Comments To Return |
省略可。 アクション実行ごとに取得するコメントの最大数。 デフォルト値は |
Widget Theme |
省略可。 VirusTotal ウィジェットで使用するテーマ。 デフォルト値は 使用できる値は次のとおりです。
|
Fetch Widget |
省略可。 選択すると、アクションはハッシュに関連する拡張ウィジェットを取得します。 デフォルトで選択されています。 |
アクションの出力
[URL を拡充] アクションは次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用可能 |
| ケースウォール テーブル | 利用可能 |
| エンティティ拡充テーブル | 利用可能 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
ケースウォールのリンク
[URL を拡充] アクションでは、拡充されたエンティティごとに次のリンクを指定できます。
名前: レポートのリンク
値: URL
ケースウォール テーブル
[URL を拡充] アクションでは、拡充されたエンティティごとに次の表を提供できます。
テーブル名: ENTITY_ID
テーブルの列:
- 名前
- カテゴリ
- メソッド
- 結果
[URL を拡充] アクションでは、コメントのあるエンティティごとに次の表を表示できます。
テーブル名: Comments: ENTITY_ID
テーブルの列:
- 日付
- コメント
- 不正行為の投票
- 否定的な投票
- 肯定的な投票
- ID
エンティティ拡充テーブル
次の表に、[URL を拡充] アクションを使用して拡充されたフィールドを示します。
| 拡充フィールド名 | 適用範囲 |
|---|---|
VT3_id |
JSON の結果で利用可能な場合に適用されます。 |
VT3_title |
JSON の結果で利用可能な場合に適用されます。 |
VT3_last_http_response_code |
JSON の結果で利用可能な場合に適用されます。 |
VT3_last_http_response_content_length |
JSON の結果で利用可能な場合に適用されます。 |
VT3_threat_names |
JSON の結果で利用可能な場合に適用されます。 |
VT3_harmless_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_malicious_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_suspicious_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_undetected_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_reputation |
JSON の結果で利用可能な場合に適用されます。 |
VT3_tags |
JSON の結果で利用可能な場合に適用されます。 |
VT3_malicious_vote_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_harmless_vote_count |
JSON の結果で利用可能な場合に適用されます。 |
VT3_report_link |
JSON の結果で利用可能な場合に適用されます。 |
JSON の結果
次の例は、[URL を拡充] アクションを使用したときに受信した JSON 結果の出力です。
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"AEXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
出力メッセージ
[URL を拡充] アクションは、次の出力メッセージを返すことがあります。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Enrich URL". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[URL を拡充] アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
ドメインの詳細を取得する
[ドメインの詳細を取得] アクションを使用して、VirusTotal の情報を使用してドメインの詳細情報を取得します。
このアクションは、次の Google SecOps エンティティに対して実行されます。
URLHostname
アクション入力
[Get Domain Details] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Engine Threshold |
省略可。 ドメインが不審と見なされるために、ドメインを悪意のあるものまたは不審なものとして分類する必要がある最小エンジン数。 |
Engine Percentage Threshold |
省略可。 ドメインが不審と見なされるために、ドメインを悪意のあるものまたは不審なものとして分類する必要があるエンジンの最小割合。 |
Engine Whitelist |
省略可。 ドメイン リスクの評価時に考慮するエンジン名のカンマ区切りのリスト。 |
Retrieve Comments |
省略可。 選択すると、ドメインに関連付けられているコメントが VirusTotal から取得されます。 デフォルトで選択されています。 |
Create Insight |
省略可。 選択すると、アクションによってドメインに関する情報を含む分析情報が作成されます。 デフォルトで選択されています。 |
Only Suspicious Entity Insight |
省略可。 選択すると、しきい値パラメータに基づいて不審と見なされたエンティティに関する分析情報のみがアクションによって生成されます。 デフォルトでは選択されていません。 |
Max Comments To Return |
省略可。 すべてのアクション実行でドメインに対して取得するコメントの最大数。 デフォルト値は |
Widget Theme |
省略可。 VirusTotal ウィジェットで使用するテーマ。 デフォルト値は 値は次のいずれかになります。
|
Fetch Widget |
省略可。 選択すると、アクションはドメインの VirusTotal ウィジェットを取得して表示します。 デフォルトで選択されています。 |
アクションの出力
[Get Domain Details] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用可能 |
| ケースウォール テーブル | 利用可能 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
ケースウォールのリンク
[ドメインの詳細を取得] アクションは、拡充されたエンティティごとに次のリンクを提供できます。
名前: レポートのリンク
値: URL
ケースウォール テーブル
[Get Domain Details] アクションでは、拡充されたエンティティごとに次の表を取得できます。
テーブル名: ENTITY_ID
テーブルの列:
- 名前
- カテゴリ
- メソッド
- 結果
[Get Domain Details] アクションは、コメントを含むエンティティごとに次の表を提供できます。
テーブル名: Comments: ENTITY_ID
テーブルの列:
- 日付
- コメント
- 不正行為の投票
- 否定的な投票
- 肯定的な投票
- ID
JSON の結果
次の例は、ドメインの詳細を取得アクションを使用したときに受信した JSON 結果の出力を示しています。
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
出力メッセージ
[Get Domain Details] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Get Domain Details". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[Get Domain Details] アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
グラフの詳細を取得する
VirusTotal のグラフに関する詳細情報を取得するには、[グラフの詳細を取得] アクションを使用します。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
[グラフの詳細を取得] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Graph ID |
必須。 詳細を取得するグラフ ID のカンマ区切りのリスト。 |
Max Links To Return |
省略可。 グラフごとに返されるリンクの最大数。 デフォルト値は |
アクションの出力
[グラフの詳細を取得] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用可能 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
ケースウォール テーブル
グラフの詳細を取得アクションは、拡充されたエンティティごとに次の表を提供できます。
テーブル名: グラフ ENTITY_ID リンク
テーブルの列:
- ソース
- ターゲット
- 接続タイプ
JSON の結果
次の例は、[グラフの詳細を取得] アクションを使用した場合に受信される JSON 結果の出力を示しています。
{
"data": {
"attributes": {
"comments_count": 0,
"creation_date": 1603219837,
"graph_data": {
"description": "Example LLC",
"version": "api-5.0.0"
},
"last_modified_date": 1603219837,
"links": [
{
"connection_type": "last_serving_ip_address",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "last_serving_ip_address",
"source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "network_location",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "network_location",
"source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "communicating_files",
"source": "203.0.113.3",
"target": "relationships_communicating_files_20301133"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
}
],
"nodes": [
{
"entity_attributes": {
"has_detections": false
},
"entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 0,
"text": "",
"type": "url",
"x": 51.22276722115952,
"y": 65.7811310194184
},
{
"entity_attributes": {},
"entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 1,
"text": "",
"type": "relationship",
"x": 25.415664700492094,
"y": 37.66636498768037
},
{
"entity_attributes": {
"country": "US"
},
"entity_id": "203.0.113.3",
"fx": -19.03611541222395,
"fy": 24.958500220062717,
"index": 2,
"text": "",
"type": "ip_address",
"x": -19.03611541222395,
"y": 24.958500220062717
},
{
"entity_attributes": {},
"entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 3,
"text": "",
"type": "relationship",
"x": 14.37403861978968,
"y": 56.85562691824892
},
{
"entity_attributes": {},
"entity_id": "relationships_communicating_files_20301133",
"index": 4,
"text": "",
"type": "relationship",
"x": -51.78097726144755,
"y": 10.087893225996158
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
"index": 5,
"text": "",
"type": "file",
"x": -79.11606194776019,
"y": -18.475026322309112
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
"index": 6,
"text": "",
"type": "file",
"x": -64.80938048199627,
"y": 46.75892061191275
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
"index": 7,
"text": "",
"type": "file",
"x": -43.54064004476819,
"y": -28.547923020662786
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
"index": 8,
"text": "",
"type": "file",
"x": -15.529860440278318,
"y": -2.068209789825876
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
"index": 9,
"text": "",
"type": "file",
"x": -42.55971948293377,
"y": 46.937155845680415
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "html"
},
"entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
"index": 10,
"text": "",
"type": "file",
"x": -62.447976875107706,
"y": -28.172418384729067
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
"index": 11,
"text": "",
"type": "file",
"x": -89.0326649183805,
"y": -2.2638551448322484
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
"index": 12,
"text": "",
"type": "file",
"x": -26.35260716195174,
"y": -20.25669077264115
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
"index": 13,
"text": "",
"type": "file",
"x": -82.1415994911387,
"y": 34.89636762607467
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "ENTITY_ID",
"index": 14,
"text": "",
"type": "file",
"x": -90.87738694680043,
"y": 16.374462198116138
}
],
"private": false,
"views_count": 30
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
}
}
出力メッセージ
[Get Graph Details] アクションは、次の出力メッセージを返すことがあります。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Get Graph Details". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、グラフの詳細を取得アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
関連ドメインを取得する
関連ドメインを取得アクションを使用して、指定されたエンティティに関連するドメインを VirusTotal から取得します。
関連ドメインを取得アクションを実行するには、VirusTotal Enterprise(VTE)が必要です。
このアクションでは、MD5、SHA-1、SHA-256 ハッシュのみがサポートされています。
このアクションは、次の Google SecOps エンティティに対して実行されます。
HashHostnameIP AddressURL
アクション入力
[Get Related Domains] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Results |
省略可。 JSON 結果を返す順序。 値は次のいずれかになります。
デフォルト値は |
Max Domains To Return |
省略可。 返すドメインの数。
デフォルト値は |
アクションの出力
[Get Related Domains] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、関連ドメインを取得アクションを使用した場合に受信する JSON 結果の出力を示しています。
{
"domain": ["example.com"]
}
出力メッセージ
[関連ドメインを取得] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Get Related Domains". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、関連ドメインを取得アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
関連するハッシュを取得する
関連するハッシュを取得アクションを使用して、指定されたエンティティに関連するハッシュを VirusTotal から取得します。
関連ハッシュを取得アクションを実行するには、VirusTotal Enterprise(VTE)が必要です。
このアクションでは、MD5、SHA-1、SHA-256 ハッシュのみがサポートされています。
このアクションは、次の Google SecOps エンティティに対して実行されます。
HashHostnameIP AddressURL
アクション入力
[Get Related Hashes] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Results |
省略可。 JSON 結果を返す順序。 値は次のいずれかになります。
デフォルト値は |
Max Hashes To Return |
省略可。 返すファイル ハッシュの数。
デフォルト値は |
アクションの出力
[Get Related Hashes] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、関連するハッシュを取得アクションを使用したときに受信した JSON 結果の出力を示しています。
{
"sha256_hashes": ["http://example.com"]
}
出力メッセージ
[Get Related Hashes] アクションは、次の出力メッセージを返すことがあります。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Get Related Hashes". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[関連するハッシュを取得] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
関連する IP を取得する
[Get Related IPs] アクションを使用して、指定されたエンティティに関連する IP アドレスを VirusTotal から取得します。
関連する IP を取得アクションを実行するには、VirusTotal Enterprise(VTE)が必要です。
このアクションでは、MD5、SHA-1、SHA-256 ハッシュのみがサポートされています。
このアクションは、次の Google SecOps エンティティに対して実行されます。
HashHostnameIP AddressURL
アクション入力
[関連する IP を取得] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Results |
省略可。 JSON 結果を返す順序。 値は次のいずれかになります。
デフォルト値は |
Max IPs To Return |
省略可。 返す IP アドレスの数。
デフォルト値は |
アクションの出力
[Get Related IPs] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、関連 IP を取得アクションを使用した場合に受信する JSON 結果の出力例を示しています。
{
"ips": ["203.0.113.1"]
}
出力メッセージ
[Get Related IPs] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Get Related IPs". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[関連する IP を取得] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
関連 URL を取得する
関連 URL を取得アクションを使用して、指定されたエンティティに関連する URL を VirusTotal から取得します。
[Get Related URLs] アクションを実行するには、VirusTotal Enterprise(VTE)が必要です。
このアクションでは、MD5、SHA-1、SHA-256 ハッシュのみがサポートされています。
このアクションは、次の Google SecOps エンティティに対して実行されます。
HashjsHostnameIP AddressURL
アクション入力
[関連 URL を取得] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Results |
省略可。 JSON 結果を返す順序。 値は次のいずれかになります。
デフォルト値は |
Max URLs To Return |
省略可。 返す URL の数。
デフォルト値は |
アクションの出力
[関連 URL を取得] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[関連 URL を取得] アクションを使用したときに受信した JSON 結果の出力です。
{
"urls": ["http://example.com"]
}
出力メッセージ
[関連 URL を取得] アクションは、次の出力メッセージを返すことがあります。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Get Related URLs". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[関連 URL を取得] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
Ping
Ping アクションを使用して、VirusTotal への接続をテストします。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
なし
アクションの出力
[Ping] アクションでは、次の出力が提供されます。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用不可 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
出力メッセージ
Ping アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Failed to connect to the VirusTotal server! Error is
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、Ping アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
エンティティ グラフを検索する
[エンティティ グラフを検索] アクションを使用して、VirusTotal のエンティティに基づくグラフを検索します。
このアクションでは、MD5、SHA-1、SHA-256 ハッシュのみがサポートされています。
このアクションは、次の Google SecOps エンティティに対して実行されます。
HashIP AddressThreat ActorURLUser
アクション入力
[Search Entity Graphs] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Sort Field |
省略可。 VirusTotal グラフを並べ替えるフィールド値。 デフォルト値は 値は次のいずれかになります。
|
Max Graphs To Return |
省略可。 アクション実行ごとに返されるグラフの最大数。 デフォルト値は |
アクションの出力
[Search Entity Graphs] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[エンティティ グラフを検索] アクションを使用した場合に受信する JSON 結果の出力を示しています。
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
出力メッセージ
[Search Entity Graphs] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Search Entity Graphs". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
グラフの検索
グラフを検索アクションを使用して、VirusTotal のカスタム フィルタに基づいてグラフを検索します。
このアクションは Google SecOps エンティティに対しては実行されません。
| パラメータ | 説明 |
|---|---|
Query |
必須。 グラフのクエリフィルタ。 |
Sort Field |
省略可。 VirusTotal グラフを並べ替えるフィールド値。 デフォルト値は 値は次のいずれかになります。
|
Max Graphs To Return |
省略可。 アクション実行ごとに返されるグラフの最大数。 デフォルト値は |
クエリの作成方法
グラフの検索結果を絞り込むには、グラフ関連の修飾子を含むクエリを作成します。検索を改善するには、修飾子を AND、OR、NOT 演算子と組み合わせます。
日付フィールドと数値フィールドでは、プラス(+)またはマイナス(-)の接尾辞がサポートされています。プラス記号の接尾辞は、指定された値より大きい値に一致します。マイナス接尾辞は、指定された値より小さい値に一致します。接尾辞がない場合、クエリは完全一致を返します。
範囲を定義するには、クエリで同じ修飾子を複数回使用できます。たとえば、2018 年 11 月 15 日から 2018 年 11 月 20 日の間に作成されたグラフを検索するには、次のクエリを使用します。
creation_date:2018-11-15+ creation_date:2018-11-20-
0 で始まる日付または月については、クエリ内の 0 文字を削除します。たとえば、2018 年 11 月 1 日は 2018-11-1 と記述します。
グラフ関連の修飾子
次の表に、検索クエリの作成に使用できる修飾子を示します。
| 修飾子 | 説明 | 例 |
|---|---|---|
Id |
グラフ識別子でフィルタします。 | id:g675a2fd4c8834e288af |
Name |
グラフ名でフィルタします。 | name:Example-name |
Owner |
ユーザーが所有するグラフでフィルタします。 | owner:example_user |
Group |
グループが所有するグラフでフィルタします。 | group:example |
Visible_to_user |
ユーザーに表示されるグラフでフィルタします。 | visible_to_user:example_user |
Visible_to_group |
グループに表示されるグラフでフィルタします。 | visible_to_group:example |
Private |
プライベート グラフでフィルタします。 | private:true、private:false |
Creation_date |
グラフの作成日でフィルタします。 | creation_date:2018-11-15 |
last_modified_date |
グラフの最新の変更日でフィルタします。 | last_modified_date:2018-11-20 |
Total_nodes |
特定の数のノードを含むグラフでフィルタします。 | total_nodes:100 |
Comments_count |
グラフ内のコメント数でフィルタします。 | comments_count:10+ |
Views_count |
グラフの閲覧数でフィルタします。 | views_count:1000+ |
Label |
特定のラベルを持つノードを含むグラフでフィルタします。 | label:Kill switch |
File |
特定のファイルを含むグラフでフィルタします。 | file:131f95c51cc819465fa17 |
Domain |
特定のドメインを含むグラフでフィルタします。 | domain:example.com |
Ip_address |
特定の IP アドレスを含むグラフでフィルタします。 | ip_address:203.0.113.1 |
Url |
特定の URL を含むグラフでフィルタします。 | url:https://example.com/example/ |
Actor |
特定の俳優を含むグラフでフィルタします。 | actor:example actor |
Victim |
特定の被害者が含まれるグラフでフィルタします。 | victim:example_user |
Email |
特定のメールアドレスを含むグラフでフィルタします。 | email:user@example.com |
Department |
特定の部門を含むグラフでフィルタします。 | department:engineers |
アクションの出力
[グラフを検索] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[グラフを検索] アクションを使用したときに受信した JSON 結果の出力を示しています。
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
出力メッセージ
[グラフを検索] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Search Graphs". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、グラフを検索アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
IOC を検索する
[IOC を検索] アクションを使用して、VirusTotal データセットで IOC を検索します。
IOC を検索アクションを実行するには、VirusTotal Enterprise(VTE)が必要です。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
[IOC を検索] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Query |
必須。 IOC を検索するクエリ。 デフォルト値は クエリを構成するには、VirusTotal Intelligence ユーザー インターフェースに適用されるクエリ構文に従います。 |
Create Entities |
省略可。 選択すると、アクションによって返された IOC のエンティティが作成されます。 このアクションではエンティティは拡充されません。 デフォルトでは選択されていません。 |
Order By |
必須。 結果を返す順序フィールド。 値は次のいずれかになります。
エンティティ タイプごとに異なる順序フィールドを設定できます。VirusTotal でファイルを検索する方法については、高度なコーパス検索をご覧ください。 デフォルト値は |
Sort Order |
省略可。 結果を並べ替える順序。 値は次のいずれかになります。
デフォルト値は |
Max IOCs To Return |
省略可。 返す IOC の数。 最大値は デフォルト値は |
アクションの出力
[IOC を検索] アクションは、次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用不可 |
| ケースウォール テーブル | 利用不可 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
JSON の結果
次の例は、[IOC を検索] アクションを使用したときに受信した JSON 結果の出力を示しています。
{
"data": [
{
"attributes": {
"type_description": "Email",
"tlsh": "T1B4D31F04BE452B3093E7238E064E6FDBAFCC135F6611F1C60881AAD6C5C77A2E57D689",
"exiftool": {
"MIMEType": "text/plain",
"FileType": "TXT",
"WordCount": "2668",
"LineCount": "1820",
"MIMEEncoding": "us-ascii",
"FileTypeExtension": "txt",
"Newlines": "Windows CRLF"
},
"type_tags": [
"internet",
"email"
],
"threat_severity": {
"threat_severity_level": "SEVERITY_HIGH",
"threat_severity_data": {
"num_gav_detections": 3,
"has_vulnerabilities": true,
"popular_threat_category": "trojan",
"type_tag": "email",
"has_embedded_ips_with_detections": true
},
"last_analysis_date": "1698050597",
"version": 2,
"level_description": "Severity HIGH because it was considered trojan. Other contributing factors were that it has known exploits, it contains embedded IPs with detections and it could not be run in sandboxes."
},
"names": [
"Re Example.eml"
],
"last_modification_date": 1698057197,
"type_tag": "email",
"times_submitted": 1,
"total_votes": {
"harmless": 0,
"malicious": 0
},
"size": 132299,
"popular_threat_classification": {
"suggested_threat_label": "obfsobjdat/malformed",
"popular_threat_name": [
{
"count": 8,
"value": "obfsobjdat"
},
{
"count": 2,
"value": "malformed"
}
]
},
"last_submission_date": 1698049979,
"last_analysis_results": {
"Bkav": {
"category": "undetected",
"engine_name": "Example1",
"engine_version": "2.0.0.1",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
"Lionic": {
"category": "undetected",
"engine_name": "Example2",
"engine_version": "7.5",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
},
"downloadable": true,
"trid": [
{
"file_type": "file seems to be plain text/ASCII",
"probability": 0
}
],
"sha256": "2d9df36964fe2e477e6e0f7a73391e4d4b2eeb0995dd488b431c4abfb4c27dbf",
"type_extension": "eml",
"tags": [
"exploit",
"cve-2018-0802",
"cve-2018-0798",
"email",
"cve-2017-11882"
],
"last_analysis_date": 1698049979,
"unique_sources": 1,
"first_submission_date": 1698049979,
"ssdeep": "768:MedEkBNnx8ueVV+fitChi9KbpK0fixbRwHbcElIK944tCVQOgzdsSuom+cWmsCGY:Meo+fitC0mKuixYxlI1OO1cSPo0gptA",
"md5": "bdfe36052e0c083869505ef4fd77e865",
"sha1": "3a350de97009efe517ceffcea406534bb1ab800c",
"magic": "SMTP mail, ASCII text, with CRLF line terminators",
"last_analysis_stats": {
"harmless": 0,
"type-unsupported": 16,
"suspicious": 0,
"confirmed-timeout": 0,
"timeout": 0,
"failure": 0,
"malicious": 28,
"undetected": 32
},
"meaningful_name": "Re Example.eml",
"reputation": 0
},
"type": "file",
"id": "ID",
"links": {
"self": "URL"
}
},
]
}
出力メッセージ
[IOC を検索] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Search IOCs". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[IOC を検索] アクションを使用する場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
ファイルの送信
Submit File アクションを使用してファイルを送信し、VirusTotal から結果を取得します。
このアクションは Google SecOps エンティティに対しては実行されません。
アクション入力
[Submit File] アクションには、次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
File Paths |
必須。 送信するファイルの絶対パスのカンマ区切りリスト。
|
Engine Threshold |
省略可。 ファイルが不審と見なされるために、ファイルが有害または不審と分類される必要がある最小エンジン数。
|
Engine Percentage Threshold |
省略可。 ファイルを不審と見なすために、ファイルを悪意のあるファイルまたは不審なファイルとして分類する必要があるエンジンの最小割合。 |
Engine Whitelist |
省略可。 リスクを評価する際に考慮するエンジン名のカンマ区切りのリスト( 値を設定しない場合、アクションは使用可能なすべてのエンジンを使用します。しきい値の計算には、エンティティに関する情報を提供しないエンジンは含まれません。 |
Retrieve Comments |
省略可。 選択すると、アクションはファイルに関連付けられているコメントを VirusTotal から取得します。 デフォルトで選択されています。 非公開の送信が有効になっている場合、コメントは取得されません。 |
Retrieve Sigma Analysis |
省略可。 選択すると、アクションによってファイルの Sigma 分析結果が取得されます。 デフォルトで選択されています。 |
Max Comments To Return |
省略可。 アクション実行ごとに取得するコメントの最大数。 デフォルト値は |
Linux Server Address |
省略可。 ファイルが配置されているリモート Linux サーバーの IP アドレスまたはホスト名。 |
Linux Username |
省略可。 リモート Linux サーバーへの認証に使用するユーザー名。 |
Linux Password |
省略可。 リモート Linux サーバーの認証に使用するパスワード。 |
Private Submission |
省略可。 選択すると、アクションによってファイルが非公開で送信されます。ファイルを非公開で送信するには、VirusTotal Premium へのアクセスが必要です。 デフォルトでは選択されていません。 |
Fetch MITRE Details |
省略可。 選択すると、アクションはハッシュに関連する MITRE ATT&CK の手法と戦術を取得します。 デフォルトでは選択されていません。 |
Lowest MITRE Technique Severity |
省略可。 結果に含める MITRE ATT&CK 手法の最小重大度レベル。このアクションは、重大度 値は次のいずれかになります。
デフォルト値は |
Retrieve AI Summary |
省略可。 このパラメータは試験運用版です。 選択すると、アクションによってファイルの AI 生成の要約が取得されます。このオプションは、非公開の送信でのみ使用できます。 デフォルトでは選択されていません。 |
アクションの出力
[Submit File] アクションは次の出力を提供します。
| アクションの出力タイプ | 対象 |
|---|---|
| ケースウォールのアタッチメント | 利用不可 |
| ケースウォールのリンク | 利用可能 |
| ケースウォール テーブル | 利用可能 |
| 拡充テーブル | 利用不可 |
| JSON の結果 | 利用可能 |
| 出力メッセージ | 利用可能 |
| スクリプトの結果 | 利用可能 |
ケースウォールのリンク
Submit File アクションは、エンリッチ化されたエンティティごとに次のリンクを提供できます。
名前: レポートのリンク: PATH
値: URL
ケースウォール テーブル
[Submit File] アクションでは、送信されたファイルごとに次の表を提供できます。
テーブル名: 結果: PATH
テーブルの列:
- 名前
- カテゴリ
- メソッド
- 結果
Submit File アクションでは、コメント付きの送信済みファイルごとに次の表を提供できます。
テーブル名: Comments: PATH
テーブルの列:
- 日付
- コメント
- 不正行為の投票
- 否定的な投票
- 肯定的な投票
- ID
[Submit File] アクションでは、Sigma 分析結果を含むエンティティごとに次の表を指定できます。
テーブル名: Sigma 分析: ENTITY_ID
テーブルの列:
- ID
- 重大度
- ソース
- タイトル
- 説明
- 試合のコンテキスト
JSON の結果
次の例は、[Submit File] アクションを使用した場合に受信される JSON 結果の出力です。
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
出力メッセージ
[Submit File] アクションは、次の出力メッセージを返すことができます。
| 出力メッセージ | メッセージの説明 |
|---|---|
|
アクションが成功しました。 |
Error executing action "Submit File". Reason:
ERROR_REASON |
操作に失敗しました。 サーバーへの接続、入力パラメータ、または認証情報を確認してください。 |
スクリプトの結果
次の表に、[Submit File] アクションを使用した場合のスクリプト結果出力の値を示します。
| スクリプトの結果名 | 値 |
|---|---|
is_success |
True または False |
コネクタ
Google SecOps でコネクタを構成する方法について詳しくは、データを取り込む(コネクタ)をご覧ください。
VirusTotal - Livehunt コネクタ
VirusTotal - Livehunt コネクタを使用して、VirusTotal Livehunt 通知と関連ファイルに関する情報を取得します。
このコネクタには VirusTotal Premium API トークンが必要です。動的リストは rule_name パラメータと連携して機能します。
コネクタの入力
VirusTotal - Livehunt Connector には次のパラメータが必要です。
| パラメータ | 説明 |
|---|---|
Product Field Name |
必須。 商品名が保存されるフィールドの名前。 デフォルト値は 商品名は主にマッピングに影響します。コネクタのマッピング プロセスを合理化して改善するため、デフォルト値 |
Event Field Name |
必須。 イベント名(サブタイプ)が保存されるフィールドの名前。 デフォルト値は |
Environment Field Name |
省略可。 環境名が保存されるフィールドの名前。 環境フィールドが見つからない場合、コネクタはデフォルト値を使用します。 デフォルト値は |
Environment Regex Pattern |
省略可。
デフォルト値 正規表現パターンが null か空の場合、または環境値が null の場合、最終的な環境の結果はデフォルト環境になります。 |
PythonProcessTimeout |
必須。 現在のスクリプトを実行する Python プロセスのタイムアウト上限(秒単位)。 デフォルト値は |
API Key |
必須。 VirusTotal API キー。 |
Verify SSL |
必須。 選択すると、VirusTotal に接続するときに SSL 証明書が検証されます。 デフォルトで選択されています。 |
Engine Whitelist |
省略可。
値を設定しない場合、アクションは使用可能なすべてのエンジンを使用します。 |
Engine Percentage Threshold To Fetch |
必須。 コネクタがファイルを取り込むために、ファイルを悪意のあるファイルまたは不審なファイルとしてマークするエンジンの最小割合。 有効な値は デフォルト値は |
Max Hours Backwards |
省略可。 最初のコネクタ イテレーションの前にインシデントを取得するまでの時間数。このパラメータは、コネクタを初めて有効にした後の最初のコネクタ イテレーション、または期限切れのコネクタ タイムスタンプのフォールバック値に適用できます。 デフォルト値は |
Max Notifications To Fetch |
省略可。 コネクタの実行ごとに処理する通知の最大数。 デフォルト値は |
Use dynamic list as a blacklist |
必須。 選択すると、動的リストがブロックリストとして使用されます。 デフォルトでは選択されていません。 |
Proxy Server Address |
省略可。 使用するプロキシ サーバーのアドレス。 |
Proxy Username |
省略可。 プロキシ サーバーの認証に使用するユーザー名。 |
Proxy Password |
省略可。 プロキシ サーバーの認証に使用するパスワード。 |
コネクタルール
コネクタはプロキシをサポートしています。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。