Google SecOps와 VirusTotal v3 통합
이 문서에서는 VirusTotal v3를 Google Security Operations (Google SecOps)와 통합하는 방법을 설명합니다.
통합 버전: 34.0
이 통합은 VirusTotal API v3를 사용합니다. VirusTotal API v3에 대한 자세한 내용은 VirusTotal API v3 개요를 참고하세요.
이 통합은 오픈소스 구성요소를 하나 이상 사용합니다. Cloud Storage 버킷에서 이 통합의 전체 소스 코드의 압축된 사본을 다운로드할 수 있습니다.
사용 사례
VirusTotal v3 통합을 사용하면 다음 사용 사례를 해결할 수 있습니다.
파일 분석: Google SecOps 기능을 사용하여 파일 해시 또는 파일을 VirusTotal에 제출하여 분석하고 여러 바이러스 백신 엔진에서 스캔 결과를 검색하여 제출된 항목이 악성인지 확인합니다.
URL 분석: Google SecOps 기능을 사용하여 URL을 VirusTotal 데이터베이스에 대해 실행하여 잠재적으로 악성인 웹사이트 또는 피싱 페이지를 식별합니다.
IP 주소 분석: Google SecOps 기능을 사용하여 IP 주소를 조사하고 평판 및 관련 악성 활동을 식별합니다.
도메인 분석: Google SecOps 기능을 사용하여 도메인 이름을 분석하고 평판과 피싱 또는 멀웨어 배포와 같은 관련 악성 활동을 식별합니다.
Retrohunting: Google SecOps 기능을 사용하여 VirusTotal 이전 데이터를 검색하여 이전에 악성으로 표시된 파일, URL, IP 또는 도메인을 검색합니다.
자동 보강: Google SecOps 기능을 사용하여 위협 인텔리전스로 인시던트 데이터를 자동으로 보강합니다.
피싱 조사: Google SecOps 기능을 사용하여 의심스러운 이메일과 첨부파일을 분석합니다. VirusTotal에 제출하여 분석할 수 있습니다.
멀웨어 분석: Google SecOps 기능을 사용하여 멀웨어 샘플을 VirusTotal에 업로드하여 동적 및 정적 분석을 실행하고 샘플의 동작과 잠재적 영향에 관한 통계를 얻습니다.
시작하기 전에
이 통합이 제대로 작동하려면 VirusTotal Premium API가 필요합니다. VirusTotal Premium API에 대한 자세한 내용은 Public API와 Premium API 비교를 참고하세요.
Google SecOps에서 VirusTotal v3 통합을 구성하기 전에 VirusTotal에서 API 키를 구성합니다.
API 키를 구성하려면 다음 단계를 완료하세요.
- VirusTotal 포털에 로그인합니다.
- 사용자 이름 아래에서 API 키를 클릭합니다.
- 생성된 API 키를 복사하여 통합 매개변수에서 사용합니다.
- 저장을 클릭합니다.
통합 매개변수
VirusTotal v3 통합에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
API Key |
필수 항목입니다. VirusTotal API 키입니다. |
Verify SSL |
(선택사항) 선택하면 VirusTotal에 연결할 때 통합에서 SSL 인증서를 검증합니다. 기본적으로 선택되어 있습니다. |
Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.
필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스를 구성하고 지원하는 방법에 관한 자세한 내용은 여러 인스턴스 지원을 참고하세요.
작업
작업에 관한 자세한 내용은 Workdesk에서 대기 중인 작업에 응답 및 수동 작업 실행을 참고하세요.
항목에 댓글 추가
Add Comment To Entity 작업을 사용하여 VirusTotal의 엔티티에 댓글을 추가합니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
File HashHostnameIP AddressURL
이 작업은 MD5, SHA-1, SHA-256 해시만 지원합니다.
작업 입력
Add Comment To Entity 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Comment |
필수 항목입니다. 엔티티에 추가할 댓글입니다. |
작업 출력
엔티티에 댓글 추가 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예시에서는 엔티티에 댓글 추가 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"Status": "Done"
}
{
"Status": "Not done"
}
출력 메시지
Add Comment To Entity 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Add Comment To Entity". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 엔티티에 댓글 추가 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
항목에 투표 추가
Add Vote To Entity 작업을 사용하여 VirusTotal의 항목에 투표를 추가합니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
File HashHostnameIP AddressURL
이 작업은 MD5, SHA-1, SHA-256 해시만 지원합니다.
작업 입력
Add Vote To Entity 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Vote |
필수 항목입니다. 엔티티에 추가할 투표입니다. 가능한 값은 다음과 같습니다.
|
작업 출력
Add Vote To Entity 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예시에서는 엔티티에 투표 추가 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"Status": "Done"
}
{
"Status": "Not done"
}
출력 메시지
Add Vote To Entity 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Add Vote To Entity". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 엔티티에 투표 추가 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
파일 다운로드
파일 다운로드 작업을 사용하여 VirusTotal에서 파일을 다운로드합니다.
파일 다운로드 작업을 실행하려면 VirusTotal Enterprise (VTE)가 필요합니다.
이 작업은 Google SecOps Hash 항목에서 실행됩니다.
이 작업은 MD5, SHA-1, SHA-256 해시만 지원합니다.
작업 입력
파일 다운로드 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Download Folder Path |
필수 항목입니다. 다운로드한 파일을 저장할 폴더의 경로입니다. |
Overwrite |
(선택사항) 선택하면 파일 이름이 동일한 경우 작업에서 기존 파일을 새 파일로 덮어씁니다. 기본적으로 선택되어 있습니다. |
작업 출력
파일 다운로드 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예시는 파일 다운로드 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"absolute_file_paths": ["file_path_1","file_path_2"]
}
출력 메시지
파일 다운로드 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Download File". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
해시 보강
해시 보강 작업을 사용하여 VirusTotal의 정보로 해시를 보강합니다.
이 작업은 Google SecOps Hash 항목에서 실행됩니다.
이 작업은 MD5, SHA-1, SHA-256 해시만 지원합니다.
작업 입력
해시 보강 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Engine Threshold |
(선택사항) 엔티티가 의심스러운 것으로 간주되려면 엔티티를 악성 또는 의심스러운 것으로 분류해야 하는 엔진의 최소 수입니다.
|
Engine Percentage Threshold |
(선택사항) 엔진이 항목을 악성 또는 의심스러운 것으로 표시하는 최소 비율입니다.
이 매개변수의 유효한 값은 |
Engine Whitelist |
(선택사항) 해시가 악성인지 판단할 때 고려할 작업의 엔진 이름을 쉼표로 구분한 목록입니다. 값을 설정하지 않으면 작업에서 사용 가능한 모든 엔진을 사용합니다. 엔티티에 관한 정보를 제공하지 않는 엔진은 기준점 계산에 포함되지 않습니다. |
Resubmit Hash |
(선택사항) 선택하면 기존 결과를 사용하는 대신 분석을 위해 해시를 다시 제출합니다. 기본적으로 선택되지 않습니다. |
Resubmit After (Days) |
(선택사항) 최신 분석 후 해시를 다시 제출할 때까지의 일수입니다. 이 파라미터는 기본값은 |
Retrieve Comments |
(선택사항) 선택하면 작업이 해시와 연결된 댓글을 가져옵니다. 기본적으로 선택되어 있습니다. |
Retrieve Sigma Analysis |
(선택사항) 선택하면 작업이 해시의 시그마 분석 결과를 가져옵니다. 기본적으로 선택되어 있습니다. |
Sandbox |
(선택사항) 동작 분석에 사용할 샌드박스 환경의 쉼표로 구분된 목록입니다. 값을 설정하지 않으면 작업에서 기본값을 사용합니다. 기본값은 |
Retrieve Sandbox Analysis |
(선택사항) 선택하면 이 작업은 해시에 대한 샌드박스 분석 결과를 가져오고 지정된 모든 샌드박스에 대해 JSON 출력에 별도의 섹션을 만듭니다. 기본적으로 선택되어 있습니다. |
Create Insight |
(선택사항) 선택하면 작업에서 분석된 해시에 관한 정보가 포함된 통계를 만듭니다. 기본적으로 선택되어 있습니다. |
Only Suspicious Entity Insight |
(선택사항) 선택하면 이 작업은 기준점 매개변수를 기반으로 의심스러운 것으로 간주되는 해시에 대해서만 통계를 생성합니다. 이 파라미터는 기본적으로 선택되지 않습니다. |
Max Comments To Return |
(선택사항) 각 작업 실행에서 가져올 최대 댓글 수입니다. 기본값은 |
Widget Theme |
(선택사항) VirusTotal 위젯에 사용할 테마입니다. 기본값은 가능한 값은 다음과 같습니다.
|
Fetch Widget |
(선택사항) 선택하면 작업이 해시와 관련된 증강 위젯을 가져옵니다. 기본적으로 선택되어 있습니다. |
Fetch MITRE Details |
(선택사항) 선택하면 작업에서 해시와 관련된 MITRE ATT&CK 기법 및 전략을 가져옵니다. 기본적으로 선택되지 않습니다. |
Lowest MITRE Technique Severity |
(선택사항) 결과에 포함할 MITRE ATT&CK 기법의 최소 심각도 수준입니다. 이 작업은 가능한 값은 다음과 같습니다.
기본값은 |
작업 출력
해시 보강 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용 가능 |
| 케이스 월 테이블 | 사용 가능 |
| 항목 보강 테이블 | 사용 가능 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
케이스 월 링크
해시 보강 작업을 사용하면 보강된 모든 항목에 대해 다음 링크를 제공할 수 있습니다.
이름: Report Link
값: URL
케이스 월 테이블
해시 보강 작업을 사용하면 보강된 모든 항목에 대해 다음 표를 제공할 수 있습니다.
표 이름: ENTITY_ID
표 열:
- 이름
- 카테고리
- 메서드
- 결과
해시 보강 작업을 사용하면 댓글이 있는 모든 항목에 대해 다음 표를 제공할 수 있습니다.
표 이름: Comments: ENTITY_ID
표 열:
- 날짜
- 댓글
- 악용 투표
- 부정적인 의견 투표
- 긍정적인 의견 투표
- ID
해시 보강 작업을 통해 Sigma 분석 결과가 있는 모든 항목에 대해 다음 표를 제공할 수 있습니다.
표 이름: Sigma Analysis: ENTITY_ID
표 열:
- ID
- 심각도
- 소스
- 제목
- 설명
- 일치 컨텍스트
항목 보강 테이블
다음 표에는 해시 보강 작업을 사용하여 보강된 필드가 나와 있습니다.
| 보강 필드 이름 | 적용 범위 |
|---|---|
VT3_id |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_magic |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_md5 |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_sha1 |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_sha256 |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_ssdeep |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_tlsh |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_vhash |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_meaningful_name |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_magic |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_harmless_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_malicious_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_suspicious_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_undetected_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_reputation |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_tags |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_malicious_vote_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_harmless_vote_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_report_link |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
JSON 결과
다음 예는 해시 보강 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}]
}
출력 메시지
해시 보강 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Enrich Hash". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 해시 보강 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
IOC 보강
IOC 보강 작업을 사용하여 VirusTotal의 정보를 사용하여 침해 지표 (IoC)를 보강합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
IOC 보강 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
IOC Type |
(선택사항) 강화할 IOC의 유형입니다. 기본값은 가능한 값은 다음과 같습니다.
|
IOCs |
필수 항목입니다. 강화할 IOC의 쉼표로 구분된 목록입니다. |
Widget Theme |
(선택사항) 위젯에 사용할 테마입니다. 기본값은 가능한 값은 다음과 같습니다.
|
Fetch Widget |
(선택사항) 선택하면 작업이 IOC의 위젯을 가져옵니다. 기본적으로 선택되어 있습니다. |
작업 출력
IOC 보강 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용 가능 |
| 케이스 월 테이블 | 사용 가능 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
케이스 월 링크
IOC 보강 작업을 통해 보강된 모든 항목에 다음 링크를 제공할 수 있습니다.
이름: Report Link
값: URL
케이스 월 테이블
IOC 보강 작업을 통해 보강된 모든 항목에 대해 다음 표를 제공할 수 있습니다.
표 이름: IOC_ID
표 열:
- 이름
- 카테고리
- 메서드
- 결과
JSON 결과
다음은 IOC 보강 작업을 사용할 때 수신되는 JSON 결과 출력을 보여주는 예시입니다.
{
"ioc": {
"identifier": "203.0.113.1",
"details": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"report_link": "{generated report link}",
"widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
}
}
}
출력 메시지
Ping 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Enrich IOC". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 IOC 보강 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
IP 보강
IP 보강 작업을 사용하여 VirusTotal의 정보를 사용하여 IP 주소를 보강합니다.
이 작업은 Google SecOps IP Address 항목에서 실행됩니다.
작업 입력
IP 보강 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Engine Threshold |
(선택사항) 엔티티가 의심스러운 것으로 간주되려면 엔티티를 악성 또는 의심스러운 것으로 분류해야 하는 엔진의 최소 수입니다.
|
Engine Percentage Threshold |
(선택사항) 엔진이 항목을 악성 또는 의심스러운 것으로 분류해야 의심스러운 것으로 간주되는 최소 비율입니다.
이 매개변수의 유효한 값은 |
Engine Whitelist |
(선택사항) 해시가 악성인지 판단할 때 고려할 작업의 엔진 이름을 쉼표로 구분한 목록입니다. 값을 설정하지 않으면 작업에서 사용 가능한 모든 엔진을 사용합니다. 엔티티에 관한 정보를 제공하지 않는 엔진은 기준점 계산에 포함되지 않습니다. |
Retrieve Comments |
(선택사항) 선택하면 작업이 해시와 연결된 댓글을 가져옵니다. 기본적으로 선택되어 있습니다. |
Create Insight |
(선택사항) 선택하면 작업에서 분석된 해시에 관한 정보가 포함된 통계를 만듭니다. 기본적으로 선택되어 있습니다. |
Only Suspicious Entity Insight |
(선택사항) 선택하면 이 작업은 기준점 매개변수를 기반으로 의심스러운 것으로 간주되는 해시에 대해서만 통계를 생성합니다. 이 파라미터는 기본적으로 선택되지 않습니다. |
Max Comments To Return |
(선택사항) 각 작업 실행에서 가져올 최대 댓글 수입니다. 기본값은 |
Widget Theme |
(선택사항) VirusTotal 위젯에 사용할 테마입니다. 기본값은 가능한 값은 다음과 같습니다.
|
Fetch Widget |
(선택사항) 선택하면 작업이 해시와 관련된 증강 위젯을 가져옵니다. 기본적으로 선택되어 있습니다. |
작업 출력
IP 보강 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용 가능 |
| 케이스 월 테이블 | 사용 가능 |
| 항목 보강 테이블 | 사용 가능 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
케이스 월 링크
IP 보강 작업을 사용하면 보강된 모든 항목에 다음 링크가 제공될 수 있습니다.
이름: Report Link
값: URL
케이스 월 테이블
IP 보강 작업을 사용하면 보강된 모든 항목에 대해 다음 표를 제공할 수 있습니다.
표 이름: ENTITY_ID
표 열:
- 이름
- 카테고리
- 메서드
- 결과
IP 보강 작업을 사용하면 댓글이 있는 모든 항목에 대해 다음 표를 제공할 수 있습니다.
표 이름: Comments: ENTITY_ID
표 열:
- 날짜
- 댓글
- 악용 투표
- 부정적인 의견 투표
- 긍정적인 의견 투표
- ID
항목 보강 테이블
다음 표에는 IP 보강 작업을 사용하여 보강된 필드가 나와 있습니다.
| 보강 필드 이름 | 적용 범위 |
|---|---|
VT3_id |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_owner |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_asn |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_continent |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_country |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_harmless_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_malicious_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_suspicious_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_undetected_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_certificate_valid_not_after |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_certificate_valid_not_before |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_reputation |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_tags |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_malicious_vote_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_harmless_vote_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_report_link |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
JSON 결과
다음 예는 IP 보강 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"data": {
"attributes": {
"as_owner": "Example",
"asn": 50673,
"continent": "EU",
"country": "NL",
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "ExampleLabs",
"method": "blacklist",
"result": "clean"
},
"example.com URL checker": {
"category": "harmless",
"engine_name": "example.com URL checker",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 81,
"malicious": 5,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_https_certificate": {
"cert_signature": {
"signature": "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",
"signature_algorithm": "sha256RSA"
},
"extensions": {
"1.3.6.1.4.1.11129.2.4.2": "0481f200f00075007d3ef2f88fff88556824c2c0ca9e5289792bc50e78097f2e",
"CA": true,
"authority_key_identifier": {
"keyid": "KEY_ID"
},
"ca_information_access": {
"CA Issuers": "http://example.RSADomainValidationSecureServerCA.crt",
"OCSP": "http://example.com"
},
"certificate_policies": [
"1.3.6.1.4.1.6449.1.2.2.7",
"2.23.140.1.2.1"
],
"extended_key_usage": [
"serverAuth",
"clientAuth"
],
"key_usage": [
"ff"
],
"subject_alternative_name": [
"example-panel.xyz",
"www.example-panel.xyz"
],
"subject_key_identifier": "4f6429eaccd761eca91d9120b004f9d962453fef",
"tags": []
},
"issuer": {
"C": "US",
"CN": "Example RSA Domain Validation Secure Server CA",
"L": "Mountain View",
"O": "Example Ltd.",
},
"public_key": {
"algorithm": "RSA",
"rsa": {
"exponent": "010001",
"key_size": 2048,
"modulus": "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"
}
},
"serial_number": "248562d360bcc919bb97883f0dfc609d",
"signature_algorithm": "sha256RSA",
"size": 1472,
"subject": {
"CN": "example-panel.xyz"
},
"tags": [],
"thumbprint": "f9aae62cc9262302e45d94fcc512d65529ea1b31",
"thumbprint_sha256": "406ac0efb0ef67de743b1ab0f4e0352564a7d5ebbd71e3a883c067acc3563016",
"validity": {
"not_after": "2021-08-06 23:59:59",
"not_before": "2020-08-06 00:00:00"
},
"version": "V3"
},
"last_https_certificate_date": 1605415789,
"last_modification_date": 1605430702,
"network": "203.0.113.0/24",
"regional_internet_registry": "EXAMPLE",
"reputation": -95,
"tags": [],
"total_votes": {
"harmless": 0,
"malicious": 10
},
"whois": "NetRange: 203.0.113.0 - 203.0.113.255\nCIDR: 203.0.113.0/24\nNetName: EXAMPLE-5\nNetHandle: NET-203-0-113-0-1\nParent: ()\nNetType: Allocated to EXAMPLE\nOrig",
"whois_date": 1603912270
},
"id": "203.0.113.1",
"links": {
"self": "https://www.virustotal.com/api/v3/ip_addresses/203.0.113.1"
},
"type": "ip_address"
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
출력 메시지
IP 보강 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 IP 보강 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
URL 보강
URL 보강 작업을 사용하여 VirusTotal의 정보를 사용하여 URL을 보강합니다.
이 작업은 Google SecOps URL 항목에서 실행됩니다.
작업 입력
URL 보강 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Engine Threshold |
(선택사항) URL이 의심스러운 것으로 간주되려면 URL을 악성 또는 의심스러운 것으로 분류해야 하는 엔진의 최소 수입니다.
|
Engine Percentage Threshold |
(선택사항) URL이 의심스러운 것으로 간주되려면 URL을 악성 또는 의심스러운 것으로 분류해야 하는 엔진의 최소 비율입니다.
이 매개변수의 유효한 값은 |
Engine Whitelist |
(선택사항) 해시가 악성인지 판단할 때 고려할 작업의 엔진 이름을 쉼표로 구분한 목록입니다. |
Resubmit URL |
(선택사항) 선택하면 기존 결과를 사용하는 대신 분석을 위해 URL을 다시 제출합니다. 기본적으로 선택되지 않습니다. |
Resubmit After (Days) |
(선택사항) 최신 분석 후 URL을 다시 제출할 때까지의 일수입니다. 이 파라미터는 기본값은 |
Retrieve Comments |
(선택사항) 선택하면 작업이 URL과 연결된 댓글을 가져옵니다. 기본적으로 선택되어 있습니다. |
Create Insight |
(선택사항) 선택하면 작업에서 분석된 URL에 관한 정보가 포함된 통계를 만듭니다. 기본적으로 선택되어 있습니다. |
Only Suspicious Entity Insight |
(선택사항) 선택하면 이 작업은 기준점 매개변수를 기반으로 의심스러운 것으로 간주되는 URL에 대해서만 통계를 생성합니다. 이 파라미터는 기본적으로 선택되지 않습니다. |
Max Comments To Return |
(선택사항) 각 작업 실행에서 가져올 최대 댓글 수입니다. 기본값은 |
Widget Theme |
(선택사항) VirusTotal 위젯에 사용할 테마입니다. 기본값은 가능한 값은 다음과 같습니다.
|
Fetch Widget |
(선택사항) 선택하면 작업이 해시와 관련된 증강 위젯을 가져옵니다. 기본적으로 선택되어 있습니다. |
작업 출력
URL 보강 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용 가능 |
| 케이스 월 테이블 | 사용 가능 |
| 항목 보강 테이블 | 사용 가능 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
케이스 월 링크
URL 보강 작업을 사용하면 보강된 모든 항목에 대해 다음 링크를 제공할 수 있습니다.
이름: Report Link
값: URL
케이스 월 테이블
URL 보강 작업을 사용하면 보강된 모든 항목에 대해 다음 표를 제공할 수 있습니다.
표 이름: ENTITY_ID
표 열:
- 이름
- 카테고리
- 메서드
- 결과
URL 보강 작업을 사용하면 댓글이 있는 모든 항목에 대해 다음 표를 제공할 수 있습니다.
표 이름: Comments: ENTITY_ID
표 열:
- 날짜
- 댓글
- 악용 투표
- 부정적인 의견 투표
- 긍정적인 의견 투표
- ID
항목 보강 테이블
다음 표에는 URL 보강 작업을 사용하여 보강된 필드가 나와 있습니다.
| 보강 필드 이름 | 적용 범위 |
|---|---|
VT3_id |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_title |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_last_http_response_code |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_last_http_response_content_length |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_threat_names |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_harmless_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_malicious_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_suspicious_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_undetected_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_reputation |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_tags |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_malicious_vote_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_harmless_vote_count |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
VT3_report_link |
JSON 결과에서 사용할 수 있는 경우 적용됩니다. |
JSON 결과
다음 예는 URL 보강 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"AEXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
출력 메시지
URL 보강 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Enrich URL". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 URL 보강 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
도메인 세부정보 가져오기
도메인 세부정보 가져오기 작업을 사용하여 VirusTotal의 정보를 통해 도메인에 관한 자세한 정보를 가져옵니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
URLHostname
작업 입력
도메인 세부정보 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Engine Threshold |
(선택사항) 도메인이 의심스러운 것으로 간주되기 위해 악성 또는 의심스러운 것으로 분류해야 하는 엔진의 최소 수입니다. |
Engine Percentage Threshold |
(선택사항) 도메인이 의심스러운 것으로 간주되려면 도메인을 악성 또는 의심스러운 것으로 분류해야 하는 엔진의 최소 비율입니다. |
Engine Whitelist |
(선택사항) 도메인 위험을 평가할 때 고려할 엔진 이름을 쉼표로 구분한 목록입니다. |
Retrieve Comments |
(선택사항) 선택하면 이 작업이 VirusTotal에서 도메인과 연결된 댓글을 가져옵니다. 기본적으로 선택되어 있습니다. |
Create Insight |
(선택사항) 선택하면 작업에서 도메인에 관한 정보가 포함된 통계를 만듭니다. 기본적으로 선택되어 있습니다. |
Only Suspicious Entity Insight |
(선택사항) 선택하면 작업에서 기준점 매개변수를 기반으로 의심스러운 것으로 간주되는 항목에 대해서만 통계를 생성합니다. 기본적으로 선택되지 않습니다. |
Max Comments To Return |
(선택사항) 모든 작업 실행에서 도메인에 대해 가져올 최대 댓글 수입니다. 기본값은 |
Widget Theme |
(선택사항) VirusTotal 위젯에 사용할 테마입니다. 기본값은 가능한 값은 다음과 같습니다.
|
Fetch Widget |
(선택사항) 선택하면 작업이 도메인의 VirusTotal 위젯을 가져와 표시합니다. 기본적으로 선택되어 있습니다. |
작업 출력
도메인 세부정보 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용 가능 |
| 케이스 월 테이블 | 사용 가능 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
케이스 월 링크
도메인 세부정보 가져오기 작업은 모든 풍부한 항목에 대해 다음 링크를 제공할 수 있습니다.
이름: Report Link
값: URL
케이스 월 테이블
도메인 세부정보 가져오기 작업을 사용하면 모든 풍부한 엔티티에 대해 다음 표를 제공할 수 있습니다.
표 이름: ENTITY_ID
표 열:
- 이름
- 카테고리
- 메서드
- 결과
도메인 세부정보 가져오기 작업을 사용하면 댓글이 있는 모든 항목에 대해 다음 표를 제공할 수 있습니다.
표 이름: Comments: ENTITY_ID
표 열:
- 날짜
- 댓글
- 악용 투표
- 부정적인 의견 투표
- 긍정적인 의견 투표
- ID
JSON 결과
다음 예는 도메인 세부정보 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
출력 메시지
도메인 세부정보 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Domain Details". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 도메인 세부정보 가져오기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
그래프 세부정보 가져오기
그래프 세부정보 가져오기 작업을 사용하여 VirusTotal의 그래프에 관한 자세한 정보를 가져옵니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
그래프 세부정보 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Graph ID |
필수 항목입니다. 세부정보를 가져올 그래프 ID의 쉼표로 구분된 목록입니다. |
Max Links To Return |
(선택사항) 각 그래프에 대해 반환할 최대 링크 수입니다. 기본값은 |
작업 출력
그래프 세부정보 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용 가능 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
케이스 월 테이블
그래프 세부정보 가져오기 작업은 모든 풍부한 항목에 대해 다음 표를 제공할 수 있습니다.
표 이름: 그래프 ENTITY_ID 링크
표 열:
- 소스
- 대상
- 연결 유형
JSON 결과
다음 예는 그래프 세부정보 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"data": {
"attributes": {
"comments_count": 0,
"creation_date": 1603219837,
"graph_data": {
"description": "Example LLC",
"version": "api-5.0.0"
},
"last_modified_date": 1603219837,
"links": [
{
"connection_type": "last_serving_ip_address",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "last_serving_ip_address",
"source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "network_location",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "network_location",
"source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "communicating_files",
"source": "203.0.113.3",
"target": "relationships_communicating_files_20301133"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
}
],
"nodes": [
{
"entity_attributes": {
"has_detections": false
},
"entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 0,
"text": "",
"type": "url",
"x": 51.22276722115952,
"y": 65.7811310194184
},
{
"entity_attributes": {},
"entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 1,
"text": "",
"type": "relationship",
"x": 25.415664700492094,
"y": 37.66636498768037
},
{
"entity_attributes": {
"country": "US"
},
"entity_id": "203.0.113.3",
"fx": -19.03611541222395,
"fy": 24.958500220062717,
"index": 2,
"text": "",
"type": "ip_address",
"x": -19.03611541222395,
"y": 24.958500220062717
},
{
"entity_attributes": {},
"entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 3,
"text": "",
"type": "relationship",
"x": 14.37403861978968,
"y": 56.85562691824892
},
{
"entity_attributes": {},
"entity_id": "relationships_communicating_files_20301133",
"index": 4,
"text": "",
"type": "relationship",
"x": -51.78097726144755,
"y": 10.087893225996158
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
"index": 5,
"text": "",
"type": "file",
"x": -79.11606194776019,
"y": -18.475026322309112
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
"index": 6,
"text": "",
"type": "file",
"x": -64.80938048199627,
"y": 46.75892061191275
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
"index": 7,
"text": "",
"type": "file",
"x": -43.54064004476819,
"y": -28.547923020662786
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
"index": 8,
"text": "",
"type": "file",
"x": -15.529860440278318,
"y": -2.068209789825876
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
"index": 9,
"text": "",
"type": "file",
"x": -42.55971948293377,
"y": 46.937155845680415
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "html"
},
"entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
"index": 10,
"text": "",
"type": "file",
"x": -62.447976875107706,
"y": -28.172418384729067
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
"index": 11,
"text": "",
"type": "file",
"x": -89.0326649183805,
"y": -2.2638551448322484
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
"index": 12,
"text": "",
"type": "file",
"x": -26.35260716195174,
"y": -20.25669077264115
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
"index": 13,
"text": "",
"type": "file",
"x": -82.1415994911387,
"y": 34.89636762607467
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "ENTITY_ID",
"index": 14,
"text": "",
"type": "file",
"x": -90.87738694680043,
"y": 16.374462198116138
}
],
"private": false,
"views_count": 30
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
}
}
출력 메시지
그래프 세부정보 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Graph Details". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 그래프 세부정보 가져오기 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
관련 도메인 가져오기
관련 도메인 가져오기 작업을 사용하여 VirusTotal에서 제공된 엔티티와 관련된 도메인을 가져옵니다.
Get Related Domains 작업을 실행하려면 VirusTotal Enterprise (VTE)가 필요합니다.
이 작업은 MD5, SHA-1, SHA-256 해시만 지원합니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
HashHostnameIP AddressURL
작업 입력
관련 도메인 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Results |
(선택사항) JSON 결과를 반환할 순서입니다. 가능한 값은 다음과 같습니다.
기본값은 |
Max Domains To Return |
(선택사항) 반환할 도메인의 수입니다.
기본값은 |
작업 출력
관련 도메인 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예시에서는 관련 도메인 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"domain": ["example.com"]
}
출력 메시지
관련 도메인 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Related Domains". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 관련 도메인 가져오기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
관련 해시 가져오기
Get Related Hashes 작업을 사용하여 VirusTotal에서 제공된 항목과 관련된 해시를 가져옵니다.
Get Related Hashes 작업을 실행하려면 VirusTotal Enterprise (VTE)가 필요합니다.
이 작업은 MD5, SHA-1, SHA-256 해시만 지원합니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
HashHostnameIP AddressURL
작업 입력
관련 해시 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Results |
(선택사항) JSON 결과를 반환할 순서입니다. 가능한 값은 다음과 같습니다.
기본값은 |
Max Hashes To Return |
(선택사항) 반환할 파일 해시 수입니다.
기본값은 |
작업 출력
관련 해시 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 관련 해시 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"sha256_hashes": ["http://example.com"]
}
출력 메시지
관련 해시 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Related Hashes". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 관련 해시 가져오기 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
관련 IP 가져오기
관련 IP 가져오기 작업을 사용하여 VirusTotal에서 제공된 엔티티와 관련된 IP 주소를 가져옵니다.
관련 IP 가져오기 작업을 실행하려면 VirusTotal Enterprise (VTE)가 필요합니다.
이 작업은 MD5, SHA-1, SHA-256 해시만 지원합니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
HashHostnameIP AddressURL
작업 입력
관련 IP 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Results |
(선택사항) JSON 결과를 반환할 순서입니다. 가능한 값은 다음과 같습니다.
기본값은 |
Max IPs To Return |
(선택사항) 반환할 IP 주소의 수입니다.
기본값은 |
작업 출력
관련 IP 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음은 관련 IP 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여주는 예시입니다.
{
"ips": ["203.0.113.1"]
}
출력 메시지
관련 IP 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Related IPs". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 관련 IP 가져오기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
관련 URL 가져오기
관련 URL 가져오기 작업을 사용하여 VirusTotal에서 제공된 항목과 관련된 URL을 가져옵니다.
관련 URL 가져오기 작업을 실행하려면 VirusTotal Enterprise (VTE)가 필요합니다.
이 작업은 MD5, SHA-1, SHA-256 해시만 지원합니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
HashjsHostnameIP AddressURL
작업 입력
관련 URL 가져오기 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Results |
(선택사항) JSON 결과를 반환할 순서입니다. 가능한 값은 다음과 같습니다.
기본값은 |
Max URLs To Return |
(선택사항) 반환할 URL의 수입니다.
기본값은 |
작업 출력
관련 URL 가져오기 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음은 관련 URL 가져오기 작업을 사용할 때 수신되는 JSON 결과 출력을 보여주는 예시입니다.
{
"urls": ["http://example.com"]
}
출력 메시지
관련 URL 가져오기 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Get Related URLs". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 관련 URL 가져오기 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
핑
Ping 작업을 사용하여 VirusTotal과의 연결을 테스트합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
없음
작업 출력
Ping 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
출력 메시지
Ping 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Failed to connect to the VirusTotal server! Error is
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 Ping 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
항목 그래프 검색
Search Entity Graphs 작업을 사용하여 VirusTotal의 항목을 기반으로 하는 그래프를 검색합니다.
이 작업은 MD5, SHA-1, SHA-256 해시만 지원합니다.
이 작업은 다음 Google SecOps 항목에서 실행됩니다.
HashIP AddressThreat ActorURLUser
작업 입력
엔티티 그래프 검색 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Sort Field |
(선택사항) VirusTotal 그래프를 정렬할 필드 값입니다. 기본값은 가능한 값은 다음과 같습니다.
|
Max Graphs To Return |
(선택사항) 각 작업 실행에 대해 반환할 최대 그래프 수입니다. 기본값은 |
작업 출력
엔티티 그래프 검색 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 엔티티 그래프 검색 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
출력 메시지
엔티티 그래프 검색 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Search Entity Graphs". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
그래프 검색
그래프 검색 작업을 사용하여 VirusTotal의 맞춤 필터를 기반으로 그래프를 검색합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
| 매개변수 | 설명 |
|---|---|
Query |
필수 항목입니다. 그래프의 쿼리 필터입니다. 쿼리에 대한 자세한 내용은 쿼리 만드는 방법 및 그래프 관련 수정자를 참고하세요. |
Sort Field |
(선택사항) VirusTotal 그래프를 정렬할 필드 값입니다. 기본값은 가능한 값은 다음과 같습니다.
|
Max Graphs To Return |
(선택사항) 각 작업 실행에 대해 반환할 최대 그래프 수입니다. 기본값은 |
쿼리를 만드는 방법
그래프의 검색 결과를 구체화하려면 그래프 관련 수정자가 포함된 쿼리를 만드세요. 검색을 개선하려면 수정자를 AND, OR, NOT 연산자와 결합하면 됩니다.
날짜 및 숫자 필드는 더하기 (+) 또는 빼기 (-) 접미사를 지원합니다. 더하기 기호 접미사는 제공된 값보다 큰 값과 일치합니다. 마이너스 접미사는 제공된 값보다 작은 값과 일치합니다. 접미사가 없으면 쿼리는 정확한 일치 항목을 반환합니다.
범위를 정의하려면 쿼리에서 동일한 수정자를 여러 번 사용하면 됩니다. 예를 들어 2018년 11월 15일과 2018년 11월 20일 사이에 생성된 그래프를 검색하려면 다음 쿼리를 사용합니다.
creation_date:2018-11-15+ creation_date:2018-11-20-
0로 시작하는 날짜 또는 월의 경우 쿼리에서 0 문자를 삭제합니다.
예를 들어 2018-11-01 날짜를 2018-11-1로 형식을 지정합니다.
그래프 관련 수정자
다음 표에는 검색어를 구성하는 데 사용할 수 있는 수정자가 나와 있습니다.
| 한정자 | 설명 | 예 |
|---|---|---|
Id |
그래프 식별자로 필터링합니다. | id:g675a2fd4c8834e288af |
Name |
그래프 이름으로 필터링합니다. | name:Example-name |
Owner |
사용자가 소유한 그래프를 기준으로 필터링합니다. | owner:example_user |
Group |
그룹이 소유한 그래프를 기준으로 필터링합니다. | group:example |
Visible_to_user |
사용자에게 표시되는 그래프로 필터링합니다. | visible_to_user:example_user |
Visible_to_group |
그룹에 표시되는 그래프를 기준으로 필터링합니다. | visible_to_group:example |
Private |
비공개 그래프로 필터링합니다. | private:true, private:false |
Creation_date |
그래프 생성 날짜를 기준으로 필터링합니다. | creation_date:2018-11-15 |
last_modified_date |
최신 그래프 수정 날짜를 기준으로 필터링합니다. | last_modified_date:2018-11-20 |
Total_nodes |
특정 수의 노드가 포함된 그래프로 필터링합니다. | total_nodes:100 |
Comments_count |
그래프의 댓글 수를 기준으로 필터링합니다. | comments_count:10+ |
Views_count |
그래프 조회수로 필터링합니다. | views_count:1000+ |
Label |
특정 라벨이 있는 노드가 포함된 그래프로 필터링합니다. | label:Kill switch |
File |
특정 파일을 포함하는 그래프로 필터링합니다. | file:131f95c51cc819465fa17 |
Domain |
특정 도메인이 포함된 그래프를 기준으로 필터링합니다. | domain:example.com |
Ip_address |
특정 IP 주소를 포함하는 그래프로 필터링합니다. | ip_address:203.0.113.1 |
Url |
특정 URL을 포함하는 그래프로 필터링합니다. | url:https://example.com/example/ |
Actor |
특정 배우가 포함된 그래프로 필터링합니다. | actor:example actor |
Victim |
특정 피해자가 포함된 그래프로 필터링합니다. | victim:example_user |
Email |
특정 이메일 주소가 포함된 그래프로 필터링합니다. | email:user@example.com |
Department |
특정 부서가 포함된 그래프로 필터링합니다. | department:engineers |
작업 출력
그래프 검색 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 그래프 검색 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
출력 메시지
그래프 검색 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Search Graphs". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 그래프 검색 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
IOC 검색
IOC 검색 작업을 사용하여 VirusTotal 데이터 세트에서 IOC를 검색합니다.
IOC 검색 작업을 실행하려면 VirusTotal Enterprise (VTE)가 필요합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
IOC 검색 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Query |
필수 항목입니다. IOC를 검색하는 쿼리입니다. 기본값은 쿼리를 구성하려면 VirusTotal Intelligence 사용자 인터페이스에 적용되는 쿼리 구문을 따르세요. |
Create Entities |
(선택사항) 선택하면 작업에서 반환된 IOC의 항목을 만듭니다. 이 작업은 항목을 보강하지 않습니다. 기본적으로 선택되지 않습니다. |
Order By |
필수 항목입니다. 결과를 반환할 순서 필드입니다. 가능한 값은 다음과 같습니다.
엔티티 유형에는 다양한 순서 필드가 있을 수 있습니다. VirusTotal에서 파일을 검색하는 방법에 대한 자세한 내용은 고급 코퍼스 검색을 참고하세요. 기본값은 |
Sort Order |
(선택사항) 결과를 정렬할 순서입니다. 가능한 값은 다음과 같습니다.
기본값은 |
Max IOCs To Return |
(선택사항) 반환할 IOC의 수입니다. 최댓값은 기본값은 |
작업 출력
IOC 검색 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
JSON 결과
다음 예는 IOC 검색 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"data": [
{
"attributes": {
"type_description": "Email",
"tlsh": "T1B4D31F04BE452B3093E7238E064E6FDBAFCC135F6611F1C60881AAD6C5C77A2E57D689",
"exiftool": {
"MIMEType": "text/plain",
"FileType": "TXT",
"WordCount": "2668",
"LineCount": "1820",
"MIMEEncoding": "us-ascii",
"FileTypeExtension": "txt",
"Newlines": "Windows CRLF"
},
"type_tags": [
"internet",
"email"
],
"threat_severity": {
"threat_severity_level": "SEVERITY_HIGH",
"threat_severity_data": {
"num_gav_detections": 3,
"has_vulnerabilities": true,
"popular_threat_category": "trojan",
"type_tag": "email",
"has_embedded_ips_with_detections": true
},
"last_analysis_date": "1698050597",
"version": 2,
"level_description": "Severity HIGH because it was considered trojan. Other contributing factors were that it has known exploits, it contains embedded IPs with detections and it could not be run in sandboxes."
},
"names": [
"Re Example.eml"
],
"last_modification_date": 1698057197,
"type_tag": "email",
"times_submitted": 1,
"total_votes": {
"harmless": 0,
"malicious": 0
},
"size": 132299,
"popular_threat_classification": {
"suggested_threat_label": "obfsobjdat/malformed",
"popular_threat_name": [
{
"count": 8,
"value": "obfsobjdat"
},
{
"count": 2,
"value": "malformed"
}
]
},
"last_submission_date": 1698049979,
"last_analysis_results": {
"Bkav": {
"category": "undetected",
"engine_name": "Example1",
"engine_version": "2.0.0.1",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
"Lionic": {
"category": "undetected",
"engine_name": "Example2",
"engine_version": "7.5",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
},
"downloadable": true,
"trid": [
{
"file_type": "file seems to be plain text/ASCII",
"probability": 0
}
],
"sha256": "2d9df36964fe2e477e6e0f7a73391e4d4b2eeb0995dd488b431c4abfb4c27dbf",
"type_extension": "eml",
"tags": [
"exploit",
"cve-2018-0802",
"cve-2018-0798",
"email",
"cve-2017-11882"
],
"last_analysis_date": 1698049979,
"unique_sources": 1,
"first_submission_date": 1698049979,
"ssdeep": "768:MedEkBNnx8ueVV+fitChi9KbpK0fixbRwHbcElIK944tCVQOgzdsSuom+cWmsCGY:Meo+fitC0mKuixYxlI1OO1cSPo0gptA",
"md5": "bdfe36052e0c083869505ef4fd77e865",
"sha1": "3a350de97009efe517ceffcea406534bb1ab800c",
"magic": "SMTP mail, ASCII text, with CRLF line terminators",
"last_analysis_stats": {
"harmless": 0,
"type-unsupported": 16,
"suspicious": 0,
"confirmed-timeout": 0,
"timeout": 0,
"failure": 0,
"malicious": 28,
"undetected": 32
},
"meaningful_name": "Re Example.eml",
"reputation": 0
},
"type": "file",
"id": "ID",
"links": {
"self": "URL"
}
},
]
}
출력 메시지
IOC 검색 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Search IOCs". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 IOC 검색 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
파일 제출
파일 제출 작업을 사용하여 파일을 제출하고 VirusTotal의 결과를 반환합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
파일 제출 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
File Paths |
필수 항목입니다. 제출할 파일의 절대 경로를 쉼표로 구분한 목록입니다.
|
Engine Threshold |
(선택사항) 파일이 의심스러운 것으로 간주되려면 파일을 악성 또는 의심스러운 것으로 분류해야 하는 엔진의 최소 수입니다.
|
Engine Percentage Threshold |
(선택사항) 파일이 의심스러운 것으로 간주되기 위해 악성 또는 의심스러운 것으로 분류해야 하는 엔진의 최소 비율입니다. |
Engine Whitelist |
(선택사항) 위험을 평가할 때 고려할 엔진 이름의 쉼표로 구분된 목록입니다(예: 값을 설정하지 않으면 작업에서 사용 가능한 모든 엔진을 사용합니다. 기준점 계산에는 항목에 관한 정보를 제공하지 않는 엔진이 포함되지 않습니다. |
Retrieve Comments |
(선택사항) 선택하면 이 작업이 VirusTotal에서 파일과 연결된 댓글을 가져옵니다. 기본적으로 선택되어 있습니다. 비공개 제출이 사용 설정된 경우 댓글이 가져오지 않습니다. |
Retrieve Sigma Analysis |
(선택사항) 선택하면 작업이 파일의 Sigma 분석 결과를 가져옵니다. 기본적으로 선택되어 있습니다. |
Max Comments To Return |
(선택사항) 각 작업 실행에서 가져올 최대 댓글 수입니다. 기본값은 |
Linux Server Address |
(선택사항) 파일이 있는 원격 Linux 서버의 IP 주소 또는 호스트 이름입니다. |
Linux Username |
(선택사항) 원격 Linux 서버에 인증할 사용자 이름입니다. |
Linux Password |
(선택사항) 원격 Linux 서버에 인증할 비밀번호입니다. |
Private Submission |
(선택사항) 선택하면 작업에서 파일을 비공개로 제출합니다. 파일을 비공개로 제출하려면 VirusTotal Premium 액세스가 필요합니다. 기본적으로 선택되지 않습니다. |
Fetch MITRE Details |
(선택사항) 선택하면 작업에서 해시와 관련된 MITRE ATT&CK 기법 및 전략을 가져옵니다. 기본적으로 선택되지 않습니다. |
Lowest MITRE Technique Severity |
(선택사항) 결과에 포함할 MITRE ATT&CK 기법의 최소 심각도 수준입니다. 이 작업은 가능한 값은 다음과 같습니다.
기본값은 |
Retrieve AI Summary |
(선택사항) 이 매개변수는 실험 단계에 있습니다. 선택하면 작업에서 파일의 AI 생성 요약을 가져옵니다. 이 옵션은 비공개 제출에만 사용할 수 있습니다. 기본적으로 선택되지 않습니다. |
작업 출력
파일 제출 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용 가능 |
| 케이스 월 테이블 | 사용 가능 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과 | 사용 가능 |
케이스 월 링크
파일 제출 작업은 모든 풍부한 엔티티에 다음 링크를 제공할 수 있습니다.
이름: 보고서 링크: PATH
값: URL
케이스 월 테이블
파일 제출 작업을 통해 제출된 모든 파일에 대해 다음 표를 제공할 수 있습니다.
표 이름: 결과: PATH
표 열:
- 이름
- 카테고리
- 메서드
- 결과
파일 제출 작업은 댓글이 있는 제출된 모든 파일에 대해 다음 표를 제공할 수 있습니다.
표 이름: Comments: PATH
표 열:
- 날짜
- 댓글
- 악용 투표
- 부정적인 의견 투표
- 긍정적인 의견 투표
- ID
파일 제출 작업은 Sigma 분석 결과가 있는 모든 항목에 대해 다음 표를 제공할 수 있습니다.
표 이름: Sigma Analysis: ENTITY_ID
표 열:
- ID
- 심각도
- 소스
- 제목
- 설명
- 일치 컨텍스트
JSON 결과
다음 예시는 파일 제출 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
출력 메시지
파일 제출 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Submit File". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 파일 제출 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
커넥터
Google SecOps에서 커넥터를 구성하는 방법에 관한 자세한 내용은 데이터 수집(커넥터)을 참고하세요.
VirusTotal - Livehunt 커넥터
VirusTotal - Livehunt 커넥터를 사용하여 VirusTotal Livehunt 알림 및 관련 파일에 관한 정보를 가져옵니다.
이 커넥터에는 VirusTotal Premium API 토큰이 필요합니다. 동적 목록은 rule_name 매개변수와 함께 작동합니다.
커넥터 입력
VirusTotal - Livehunt Connector에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Product Field Name |
필수 항목입니다. 제품 이름이 저장된 필드의 이름입니다. 기본값은 제품 이름은 주로 매핑에 영향을 미칩니다. 커넥터의 매핑 프로세스를 간소화하고 개선하기 위해 기본값 |
Event Field Name |
필수 항목입니다. 이벤트 이름 (하위 유형)이 저장된 필드의 이름입니다. 기본값은 |
Environment Field Name |
(선택사항) 환경 이름이 저장된 필드의 이름입니다. 환경 필드를 찾을 수 없으면 커넥터는 기본값을 사용합니다. 기본값은 |
Environment Regex Pattern |
(선택사항)
기본값 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
PythonProcessTimeout |
필수 항목입니다. 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다. 기본값은 |
API Key |
필수 항목입니다. VirusTotal API 키입니다. |
Verify SSL |
필수 항목입니다. 선택하면 VirusTotal에 연결할 때 통합에서 SSL 인증서를 검증합니다. 기본적으로 선택되어 있습니다. |
Engine Whitelist |
(선택사항)
값을 설정하지 않으면 작업에서 사용 가능한 모든 엔진을 사용합니다. |
Engine Percentage Threshold To Fetch |
필수 항목입니다. 커넥터가 파일을 수집하기 위해 파일을 악성 또는 의심스러운 것으로 표시하는 엔진의 최소 비율입니다. 유효한 값은 기본값은 |
Max Hours Backwards |
(선택사항) 첫 번째 커넥터 반복 전에 인시던트를 가져올 시간(시간)입니다. 이 매개변수는 커넥터를 처음 사용 설정한 후의 초기 커넥터 반복 또는 만료된 커넥터 타임스탬프의 대체 값에 적용될 수 있습니다. 기본값은 |
Max Notifications To Fetch |
(선택사항) 각 커넥터 실행에서 처리할 최대 알림 수입니다. 기본값은 |
Use dynamic list as a blacklist |
필수 항목입니다. 선택하면 동적 목록이 차단 목록으로 사용됩니다. 기본적으로 선택되지 않습니다. |
Proxy Server Address |
(선택사항) 사용할 프록시 서버의 주소입니다. |
Proxy Username |
(선택사항) 프록시 서버 인증을 위한 사용자 이름입니다. |
Proxy Password |
(선택사항) 프록시 서버 인증 비밀번호입니다. |
커넥터 규칙
커넥터가 프록시를 지원합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.