Integre o VirusTotal v3 com o Google SecOps
Este documento explica como integrar o VirusTotal v3 com o Google Security Operations (Google SecOps).
Versão da integração: 34.0
Esta integração usa a API VirusTotal v3. Para mais informações sobre a API VirusTotal v3, consulte a Vista geral da API VirusTotal v3.
Esta integração usa um ou mais componentes de código aberto. Pode transferir uma cópia comprimida do código-fonte completo desta integração a partir do contentor do Cloud Storage.
Exemplos de utilização
A integração do VirusTotal v3 pode ajudar a resolver os seguintes exemplos de utilização:
Análise de ficheiros: use as capacidades do Google SecOps para enviar um hash de ficheiro ou um ficheiro para o VirusTotal para análise e obter resultados da análise de vários motores antivírus para determinar se o item enviado é malicioso.
Análise de URLs: use as capacidades do Google SecOps para executar um URL na base de dados do VirusTotal para identificar Websites potencialmente maliciosos ou páginas de phishing.
Análise de endereços IP: use as capacidades do Google SecOps para investigar um endereço IP e identificar a respetiva reputação e qualquer atividade maliciosa associada.
Análise de domínios: use as capacidades do Google SecOps para analisar um nome de domínio e identificar a respetiva reputação e qualquer atividade maliciosa associada, como phishing ou distribuição de software malicioso.
Retrohunting: use as capacidades do Google SecOps para analisar os dados do histórico do VirusTotal e procurar ficheiros, URLs, IPs ou domínios que foram anteriormente denunciados como maliciosos.
Enriquecimento automático: use as capacidades do Google SecOps para enriquecer automaticamente os dados de incidentes com informações sobre ameaças.
Investigação de phishing: use as capacidades do Google SecOps para analisar emails e anexos suspeitos enviando-os para o VirusTotal para análise.
Análise de software malicioso: use as capacidades do Google SecOps para carregar amostras de software malicioso para o VirusTotal para análise dinâmica e estática e obter estatísticas sobre o comportamento e o potencial impacto das amostras.
Antes de começar
Para funcionar corretamente, esta integração requer a API VirusTotal Premium. Para mais informações sobre a API VirusTotal Premium, consulte o artigo API pública vs. API Premium.
Antes de configurar a integração do VirusTotal v3 no Google SecOps, configure uma chave de API no VirusTotal.
Para configurar a chave da API, conclua os seguintes passos:
- Inicie sessão no portal do VirusTotal.
- Abaixo do seu nome de utilizador, clique em Chave da API.
- Copie a chave da API gerada para a usar nos parâmetros de integração.
- Clique em Guardar.
Parâmetros de integração
A integração do VirusTotal v3 requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
API Key |
Obrigatório. A chave da API VirusTotal. |
Verify SSL |
Opcional. Se esta opção estiver selecionada, a integração valida o certificado SSL quando se liga ao VirusTotal. Selecionado por predefinição. |
Para obter instruções sobre como configurar uma integração no Google SecOps, consulte o artigo Configurar integrações.
Se necessário, pode fazer alterações numa fase posterior. Depois de configurar uma instância de integração, pode usá-la em manuais de soluções. Para mais informações sobre como configurar e suportar várias instâncias, consulte o artigo Suporte de várias instâncias.
Ações
Para mais informações sobre ações, consulte os artigos Responda a ações pendentes a partir de O seu espaço de trabalho e Realize uma ação manual.
Adicionar comentário à entidade
Use a ação Add Comment To Entity para adicionar um comentário a entidades no VirusTotal.
Esta ação é executada nas seguintes entidades do Google SecOps:
File HashHostnameIP AddressURL
Esta ação só suporta os hashes MD5, SHA-1 e SHA-256.
Dados de ações
A ação Add Comment To Entity requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Comment |
Obrigatório. Um comentário a adicionar a entidades. |
Resultados da ação
A ação Adicionar comentário à entidade fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra as saídas de resultados JSON recebidas quando usa a ação Add Comment To Entity:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Mensagens de saída
A ação Add Comment To Entity pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Add Comment To Entity". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Add Comment To Entity:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Adicionar voto à entidade
Use a ação Add Vote To Entity para adicionar um voto a entidades no VirusTotal.
Esta ação é executada nas seguintes entidades do Google SecOps:
File HashHostnameIP AddressURL
Esta ação só suporta os hashes MD5, SHA-1 e SHA-256.
Dados de ações
A ação Add Vote To Entity requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Vote |
Obrigatório. Um voto para adicionar a entidades. Os valores possíveis são os seguintes:
|
Resultados da ação
A ação Add Vote To Entity fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Add Vote To Entity:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Mensagens de saída
A ação Add Vote To Entity pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Add Vote To Entity". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Add Vote To Entity:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Transferir ficheiro
Use a ação Transferir ficheiro para transferir um ficheiro do VirusTotal.
Para executar a ação Transferir ficheiro, o VirusTotal Enterprise (VTE) é obrigatório.
Esta ação é executada na entidade Hash do Google SecOps.
Esta ação só suporta os hashes MD5, SHA-1 e SHA-256.
Dados de ações
A ação Transferir ficheiro requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Download Folder Path |
Obrigatório. O caminho para a pasta onde são armazenados os ficheiros transferidos. |
Overwrite |
Opcional. Se estiver selecionada, a ação substitui um ficheiro existente pelo novo ficheiro se os nomes dos ficheiros forem idênticos. Selecionado por predefinição. |
Resultados da ação
A ação Transferir ficheiro fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Transferir ficheiro:
{
"absolute_file_paths": ["file_path_1","file_path_2"]
}
Mensagens de saída
A ação Transferir ficheiro pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Download File". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Hash de enriquecimento
Use a ação Enrich Hash para enriquecer hashes com informações do VirusTotal.
Esta ação é executada na entidade Hash do Google SecOps.
Esta ação só suporta os hashes MD5, SHA-1 e SHA-256.
Dados de ações
A ação Enrich Hash requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Engine Threshold |
Opcional. O número mínimo de motores que têm de classificar uma entidade como maliciosa ou suspeita para ser considerada suspeita. Se configurar o elemento
|
Engine Percentage Threshold |
Opcional. A percentagem mínima de motores que marcam a entidade como maliciosa ou suspeita para considerar a entidade suspeita. Se configurar o elemento
Os valores válidos para este parâmetro são de |
Engine Whitelist |
Opcional. Uma lista de nomes de motores separados por vírgulas para a ação a considerar ao determinar se um hash é malicioso. Se não definir um valor, a ação usa todos os motores disponíveis. O cálculo do limite não inclui motores que não fornecem informações sobre entidades. |
Resubmit Hash |
Opcional. Se selecionada, a ação volta a enviar o hash para análise, em vez de usar os resultados existentes. Não selecionado por predefinição. |
Resubmit After (Days) |
Opcional. O número de dias para reenviar o hash após a análise mais recente. Este parâmetro só se aplica se selecionar o parâmetro O valor predefinido é |
Retrieve Comments |
Opcional. Se selecionada, a ação obtém comentários associados ao hash. Selecionado por predefinição. |
Retrieve Sigma Analysis |
Opcional. Se selecionada, a ação obtém os resultados da análise Sigma para o hash. Selecionado por predefinição. |
Sandbox |
Opcional. Uma lista separada por vírgulas de ambientes de sandbox a usar para análise de comportamento. Se não predefinir um valor, a ação usa o valor predefinido. O valor predefinido é |
Retrieve Sandbox Analysis |
Opcional. Se selecionada, a ação obtém os resultados da análise da sandbox para o hash e cria uma secção separada na saída JSON para cada sandbox especificada. Selecionado por predefinição. |
Create Insight |
Opcional. Se selecionada, a ação cria uma estatística que contém informações acerca do hash analisado. Selecionado por predefinição. |
Only Suspicious Entity Insight |
Opcional. Se selecionada, a ação gera estatísticas apenas para hashes considerados suspeitos com base nos parâmetros de limite. Este parâmetro só se aplica se selecionar o parâmetro Não selecionado por predefinição. |
Max Comments To Return |
Opcional. O número máximo de comentários a obter para cada ação executada. O valor predefinido é |
Widget Theme |
Opcional. O tema a usar para o widget do VirusTotal. O valor predefinido é Os valores possíveis são os seguintes:
|
Fetch Widget |
Opcional. Se selecionada, a ação obtém um widget aumentado relacionado com o hash. Selecionado por predefinição. |
Fetch MITRE Details |
Opcional. Se selecionada, a ação obtém técnicas e táticas do MITRE ATT&CK relacionadas com o hash. Não selecionado por predefinição. |
Lowest MITRE Technique Severity |
Opcional. O nível de gravidade mínimo para uma técnica MITRE ATT&CK a incluir nos resultados. A ação trata a gravidade Os valores possíveis são os seguintes:
O valor predefinido é |
Resultados da ação
A ação Enrich Hash fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Disponível |
| Mesa de parede para caixas | Disponível |
| Tabela de enriquecimento de entidades | Disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Link da parede da caixa
A ação Enrich Hash pode fornecer o seguinte link para cada entidade enriquecida:
Nome: Link do relatório
Valor: URL
Mesa de parede para caixas
A ação Enrich Hash pode fornecer a seguinte tabela para cada entidade enriquecida:
Nome da tabela: ENTITY_ID
Colunas da tabela:
- Nome
- Categoria
- Método
- Resultado
A ação Enrich Hash pode fornecer a seguinte tabela para cada entidade que tenha comentários:
Nome da tabela: Comentários: ENTITY_ID
Colunas da tabela:
- Data
- Comentar
- Votos abusivos
- Votos negativos
- Votos positivos
- ID
A ação Enrich Hash pode fornecer a seguinte tabela para cada entidade que tenha os resultados da análise Sigma:
Nome da tabela: Análise do Sigma: ENTITY_ID
Colunas da tabela:
- ID
- Gravidade
- Fonte
- Título
- Descrição
- Contexto de correspondência
Tabela de enriquecimento de entidades
A tabela seguinte apresenta os campos enriquecidos através da ação Enriquecer hash:
| Nome do campo de enriquecimento | Aplicabilidade |
|---|---|
VT3_id |
Aplica-se quando disponível no resultado JSON. |
VT3_magic |
Aplica-se quando disponível no resultado JSON. |
VT3_md5 |
Aplica-se quando disponível no resultado JSON. |
VT3_sha1 |
Aplica-se quando disponível no resultado JSON. |
VT3_sha256 |
Aplica-se quando disponível no resultado JSON. |
VT3_ssdeep |
Aplica-se quando disponível no resultado JSON. |
VT3_tlsh |
Aplica-se quando disponível no resultado JSON. |
VT3_vhash |
Aplica-se quando disponível no resultado JSON. |
VT3_meaningful_name |
Aplica-se quando disponível no resultado JSON. |
VT3_magic |
Aplica-se quando disponível no resultado JSON. |
VT3_harmless_count |
Aplica-se quando disponível no resultado JSON. |
VT3_malicious_count |
Aplica-se quando disponível no resultado JSON. |
VT3_suspicious_count |
Aplica-se quando disponível no resultado JSON. |
VT3_undetected_count |
Aplica-se quando disponível no resultado JSON. |
VT3_reputation |
Aplica-se quando disponível no resultado JSON. |
VT3_tags |
Aplica-se quando disponível no resultado JSON. |
VT3_malicious_vote_count |
Aplica-se quando disponível no resultado JSON. |
VT3_harmless_vote_count |
Aplica-se quando disponível no resultado JSON. |
VT3_report_link |
Aplica-se quando disponível no resultado JSON. |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Enrich Hash:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}]
}
Mensagens de saída
A ação Enrich Hash pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Enrich Hash". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Enrich Hash:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Enrich IOC
Use a ação Enrich IOC para enriquecer os indicadores de comprometimento (IoCs) com informações do VirusTotal.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Enrich IOC requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
IOC Type |
Opcional. O tipo de IOC a enriquecer. O valor predefinido é
Os valores possíveis são os seguintes:
|
IOCs |
Obrigatório. Uma lista de IOCs separada por vírgulas para enriquecer. |
Widget Theme |
Opcional. O tema a usar para o widget. O valor predefinido é Os valores possíveis são os seguintes:
|
Fetch Widget |
Opcional. Se selecionada, a ação obtém o widget para o IOC. Selecionado por predefinição. |
Resultados da ação
A ação Enrich IOC fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Disponível |
| Mesa de parede para caixas | Disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Link da parede da caixa
A ação Enrich IOC pode fornecer o seguinte link para cada entidade enriquecida:
Nome: Link do relatório
Valor: URL
Mesa de parede para caixas
A ação Enrich IOC pode fornecer a seguinte tabela para cada entidade enriquecida:
Nome da tabela: IOC_ID
Colunas da tabela:
- Nome
- Categoria
- Método
- Resultado
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Enrich IOC:
{
"ioc": {
"identifier": "203.0.113.1",
"details": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"report_link": "{generated report link}",
"widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
}
}
}
Mensagens de saída
A ação Ping pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Enrich IOC". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Enrich IOC:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Enriquecer IP
Use a ação Enriquecer IP para enriquecer endereços IP com informações do VirusTotal.
Esta ação é executada na entidade IP Address do Google SecOps.
Dados de ações
A ação Enrich IP requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Engine Threshold |
Opcional. O número mínimo de motores que têm de classificar uma entidade como maliciosa ou suspeita para ser considerada suspeita. Se configurar o elemento
|
Engine Percentage Threshold |
Opcional. A percentagem mínima de motores que têm de classificar a entidade como maliciosa ou suspeita para ser considerada suspeita. Se configurar o parâmetro Os valores válidos para este parâmetro são de |
Engine Whitelist |
Opcional. Uma lista de nomes de motores separados por vírgulas para a ação a considerar ao determinar se um hash é malicioso. Se não definir um valor, a ação usa todos os motores disponíveis. O cálculo do limite não inclui motores que não fornecem informações sobre entidades. |
Retrieve Comments |
Opcional. Se selecionada, a ação obtém comentários associados ao hash. Selecionado por predefinição. |
Create Insight |
Opcional. Se selecionada, a ação cria uma estatística que contém informações acerca do hash analisado. Selecionado por predefinição. |
Only Suspicious Entity Insight |
Opcional. Se selecionada, a ação gera estatísticas apenas para hashes considerados suspeitos com base nos parâmetros de limite. Este parâmetro só se aplica se selecionar o parâmetro Não selecionado por predefinição. |
Max Comments To Return |
Opcional. O número máximo de comentários a obter para cada ação executada. O valor predefinido é |
Widget Theme |
Opcional. O tema a usar para o widget do VirusTotal. O valor predefinido é Os valores possíveis são os seguintes:
|
Fetch Widget |
Opcional. Se selecionada, a ação obtém um widget aumentado relacionado com o hash. Selecionado por predefinição. |
Resultados da ação
A ação Enriquecer IP fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Disponível |
| Mesa de parede para caixas | Disponível |
| Tabela de enriquecimento de entidades | Disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Link da parede da caixa
A ação Enriquecer IP pode fornecer o seguinte link para cada entidade enriquecida:
Nome: Link do relatório
Valor: URL
Mesa de parede para caixas
A ação Enriquecer IP pode fornecer a seguinte tabela para cada entidade enriquecida:
Nome da tabela: ENTITY_ID
Colunas da tabela:
- Nome
- Categoria
- Método
- Resultado
A ação Enrich IP pode fornecer a seguinte tabela para cada entidade que tenha comentários:
Nome da tabela: Comentários: ENTITY_ID
Colunas da tabela:
- Data
- Comentar
- Votos abusivos
- Votos negativos
- Votos positivos
- ID
Tabela de enriquecimento de entidades
A tabela seguinte apresenta os campos enriquecidos através da ação Enriquecer IP:
| Nome do campo de enriquecimento | Aplicabilidade |
|---|---|
VT3_id |
Aplica-se quando disponível no resultado JSON. |
VT3_owner |
Aplica-se quando disponível no resultado JSON. |
VT3_asn |
Aplica-se quando disponível no resultado JSON. |
VT3_continent |
Aplica-se quando disponível no resultado JSON. |
VT3_country |
Aplica-se quando disponível no resultado JSON. |
VT3_harmless_count |
Aplica-se quando disponível no resultado JSON. |
VT3_malicious_count |
Aplica-se quando disponível no resultado JSON. |
VT3_suspicious_count |
Aplica-se quando disponível no resultado JSON. |
VT3_undetected_count |
Aplica-se quando disponível no resultado JSON. |
VT3_certificate_valid_not_after |
Aplica-se quando disponível no resultado JSON. |
VT3_certificate_valid_not_before |
Aplica-se quando disponível no resultado JSON. |
VT3_reputation |
Aplica-se quando disponível no resultado JSON. |
VT3_tags |
Aplica-se quando disponível no resultado JSON. |
VT3_malicious_vote_count |
Aplica-se quando disponível no resultado JSON. |
VT3_harmless_vote_count |
Aplica-se quando disponível no resultado JSON. |
VT3_report_link |
Aplica-se quando disponível no resultado JSON. |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Enrich IP:
{
"data": {
"attributes": {
"as_owner": "Example",
"asn": 50673,
"continent": "EU",
"country": "NL",
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "ExampleLabs",
"method": "blacklist",
"result": "clean"
},
"example.com URL checker": {
"category": "harmless",
"engine_name": "example.com URL checker",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 81,
"malicious": 5,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_https_certificate": {
"cert_signature": {
"signature": "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",
"signature_algorithm": "sha256RSA"
},
"extensions": {
"1.3.6.1.4.1.11129.2.4.2": "0481f200f00075007d3ef2f88fff88556824c2c0ca9e5289792bc50e78097f2e",
"CA": true,
"authority_key_identifier": {
"keyid": "KEY_ID"
},
"ca_information_access": {
"CA Issuers": "http://example.RSADomainValidationSecureServerCA.crt",
"OCSP": "http://example.com"
},
"certificate_policies": [
"1.3.6.1.4.1.6449.1.2.2.7",
"2.23.140.1.2.1"
],
"extended_key_usage": [
"serverAuth",
"clientAuth"
],
"key_usage": [
"ff"
],
"subject_alternative_name": [
"example-panel.xyz",
"www.example-panel.xyz"
],
"subject_key_identifier": "4f6429eaccd761eca91d9120b004f9d962453fef",
"tags": []
},
"issuer": {
"C": "US",
"CN": "Example RSA Domain Validation Secure Server CA",
"L": "Mountain View",
"O": "Example Ltd.",
},
"public_key": {
"algorithm": "RSA",
"rsa": {
"exponent": "010001",
"key_size": 2048,
"modulus": "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"
}
},
"serial_number": "248562d360bcc919bb97883f0dfc609d",
"signature_algorithm": "sha256RSA",
"size": 1472,
"subject": {
"CN": "example-panel.xyz"
},
"tags": [],
"thumbprint": "f9aae62cc9262302e45d94fcc512d65529ea1b31",
"thumbprint_sha256": "406ac0efb0ef67de743b1ab0f4e0352564a7d5ebbd71e3a883c067acc3563016",
"validity": {
"not_after": "2021-08-06 23:59:59",
"not_before": "2020-08-06 00:00:00"
},
"version": "V3"
},
"last_https_certificate_date": 1605415789,
"last_modification_date": 1605430702,
"network": "203.0.113.0/24",
"regional_internet_registry": "EXAMPLE",
"reputation": -95,
"tags": [],
"total_votes": {
"harmless": 0,
"malicious": 10
},
"whois": "NetRange: 203.0.113.0 - 203.0.113.255\nCIDR: 203.0.113.0/24\nNetName: EXAMPLE-5\nNetHandle: NET-203-0-113-0-1\nParent: ()\nNetType: Allocated to EXAMPLE\nOrig",
"whois_date": 1603912270
},
"id": "203.0.113.1",
"links": {
"self": "https://www.virustotal.com/api/v3/ip_addresses/203.0.113.1"
},
"type": "ip_address"
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Mensagens de saída
A ação Enrich IP pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Enrich IP:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
URL de enriquecimento
Use a ação Enriquecer URL para enriquecer um URL com informações do VirusTotal.
Esta ação é executada na entidade URL do Google SecOps.
Dados de ações
A ação Enriquecer URL requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Engine Threshold |
Opcional. O número mínimo de motores que têm de classificar um URL como malicioso ou suspeito para ser considerado suspeito. Se configurar o elemento
|
Engine Percentage Threshold |
Opcional. A percentagem mínima de motores que têm de classificar o URL como malicioso ou suspeito para que seja considerado suspeito. Se
configurar o parâmetro Os valores válidos para este parâmetro são de |
Engine Whitelist |
Opcional. Uma lista de nomes de motores separados por vírgulas para a ação a considerar ao determinar se um hash é malicioso. |
Resubmit URL |
Opcional. Se selecionada, a ação volta a enviar o URL para análise, em vez de usar os resultados existentes. Não selecionado por predefinição. |
Resubmit After (Days) |
Opcional. O número de dias para reenviar o URL após a análise mais recente. Este parâmetro só se aplica se selecionar o parâmetro O valor predefinido é |
Retrieve Comments |
Opcional. Se selecionada, a ação obtém comentários associados ao URL. Selecionado por predefinição. |
Create Insight |
Opcional. Se estiver selecionada, a ação cria uma estatística que contém informações acerca do URL analisado. Selecionado por predefinição. |
Only Suspicious Entity Insight |
Opcional. Se selecionada, a ação gera estatísticas apenas para URLs considerados suspeitos com base nos parâmetros de limite. Este parâmetro só se aplica se selecionar o parâmetro Não selecionado por predefinição. |
Max Comments To Return |
Opcional. O número máximo de comentários a obter para cada ação executada. O valor predefinido é |
Widget Theme |
Opcional. O tema a usar para o widget do VirusTotal. O valor predefinido é Os valores possíveis são os seguintes:
|
Fetch Widget |
Opcional. Se selecionada, a ação obtém um widget aumentado relacionado com o hash. Selecionado por predefinição. |
Resultados da ação
A ação Enriquecer URL fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Disponível |
| Mesa de parede para caixas | Disponível |
| Tabela de enriquecimento de entidades | Disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Link da parede da caixa
A ação Enriquecer URL pode fornecer o seguinte link para cada entidade enriquecida:
Nome: Link do relatório
Valor: URL
Mesa de parede para caixas
A ação Enriquecer URL pode fornecer a seguinte tabela para cada entidade enriquecida:
Nome da tabela: ENTITY_ID
Colunas da tabela:
- Nome
- Categoria
- Método
- Resultado
A ação Enriquecer URL pode fornecer a seguinte tabela para cada entidade que tenha comentários:
Nome da tabela: Comentários: ENTITY_ID
Colunas da tabela:
- Data
- Comentar
- Votos abusivos
- Votos negativos
- Votos positivos
- ID
Tabela de enriquecimento de entidades
A tabela seguinte apresenta os campos enriquecidos através da ação Enriquecer URL:
| Nome do campo de enriquecimento | Aplicabilidade |
|---|---|
VT3_id |
Aplica-se quando disponível no resultado JSON. |
VT3_title |
Aplica-se quando disponível no resultado JSON. |
VT3_last_http_response_code |
Aplica-se quando disponível no resultado JSON. |
VT3_last_http_response_content_length |
Aplica-se quando disponível no resultado JSON. |
VT3_threat_names |
Aplica-se quando disponível no resultado JSON. |
VT3_harmless_count |
Aplica-se quando disponível no resultado JSON. |
VT3_malicious_count |
Aplica-se quando disponível no resultado JSON. |
VT3_suspicious_count |
Aplica-se quando disponível no resultado JSON. |
VT3_undetected_count |
Aplica-se quando disponível no resultado JSON. |
VT3_reputation |
Aplica-se quando disponível no resultado JSON. |
VT3_tags |
Aplica-se quando disponível no resultado JSON. |
VT3_malicious_vote_count |
Aplica-se quando disponível no resultado JSON. |
VT3_harmless_vote_count |
Aplica-se quando disponível no resultado JSON. |
VT3_report_link |
Aplica-se quando disponível no resultado JSON. |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Enrich URL:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"AEXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Mensagens de saída
A ação Enrich URL pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Enrich URL". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor da saída do resultado do script quando usa a ação Enrich URL:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Obtenha detalhes do domínio
Use a ação Get Domain Details para obter informações detalhadas sobre o domínio através de informações do VirusTotal.
Esta ação é executada nas seguintes entidades do Google SecOps:
URLHostname
Dados de ações
A ação Get Domain Details requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Engine Threshold |
Opcional. O número mínimo de motores que têm de classificar um domínio como malicioso ou suspeito para ser considerado suspeito. |
Engine Percentage Threshold |
Opcional. A percentagem mínima de motores que têm de classificar o domínio como malicioso ou suspeito para que seja considerado suspeito. |
Engine Whitelist |
Opcional. Uma lista de nomes de motores separados por vírgulas a considerar ao avaliar o risco do domínio. |
Retrieve Comments |
Opcional. Se selecionada, a ação obtém comentários associados ao domínio do VirusTotal. Selecionado por predefinição. |
Create Insight |
Opcional. Se selecionada, a ação cria uma estatística com informações sobre o domínio. Selecionado por predefinição. |
Only Suspicious Entity Insight |
Opcional. Se estiver selecionada, a ação gera estatísticas apenas para entidades consideradas suspeitas com base nos parâmetros de limite. Não selecionado por predefinição. |
Max Comments To Return |
Opcional. O número máximo de comentários a obter para o domínio em cada execução de ação. O valor predefinido é |
Widget Theme |
Opcional. O tema a usar para o widget do VirusTotal. O valor predefinido é Os valores possíveis são os seguintes:
|
Fetch Widget |
Opcional. Se selecionada, a ação obtém e apresenta o widget do VirusTotal para o domínio. Selecionado por predefinição. |
Resultados da ação
A ação Get Domain Details (Obter detalhes do domínio) fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Disponível |
| Mesa de parede para caixas | Disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Link da parede da caixa
A ação Get Domain Details pode fornecer o seguinte link para cada entidade enriquecida:
Nome: Link do relatório
Valor: URL
Mesa de parede para caixas
A ação Get Domain Details pode fornecer a seguinte tabela para cada entidade enriquecida:
Nome da tabela: ENTITY_ID
Colunas da tabela:
- Nome
- Categoria
- Método
- Resultado
A ação Get Domain Details pode fornecer a seguinte tabela para cada entidade que tenha comentários:
Nome da tabela: Comentários: ENTITY_ID
Colunas da tabela:
- Data
- Comentar
- Votos abusivos
- Votos negativos
- Votos positivos
- ID
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Get Domain Details:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Mensagens de saída
A ação Get Domain Details pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Get Domain Details". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Get Domain Details:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Obtenha detalhes do gráfico
Use a ação Get Graph Details para obter informações detalhadas sobre os gráficos no VirusTotal.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Get Graph Details requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Graph ID |
Obrigatório. Uma lista separada por vírgulas de IDs de gráficos para os quais obter detalhes. |
Max Links To Return |
Opcional. O número máximo de links a devolver para cada gráfico. O valor predefinido é |
Resultados da ação
A ação Get Graph Details fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mesa de parede para caixas
A ação Get Graph Details pode fornecer a seguinte tabela para cada entidade enriquecida:
Nome da tabela: Links ENTITY_ID do gráfico
Colunas da tabela:
- Fonte
- Alvo
- Tipo de ligação
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Get Graph Details:
{
"data": {
"attributes": {
"comments_count": 0,
"creation_date": 1603219837,
"graph_data": {
"description": "Example LLC",
"version": "api-5.0.0"
},
"last_modified_date": 1603219837,
"links": [
{
"connection_type": "last_serving_ip_address",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "last_serving_ip_address",
"source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "network_location",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "network_location",
"source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "communicating_files",
"source": "203.0.113.3",
"target": "relationships_communicating_files_20301133"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
}
],
"nodes": [
{
"entity_attributes": {
"has_detections": false
},
"entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 0,
"text": "",
"type": "url",
"x": 51.22276722115952,
"y": 65.7811310194184
},
{
"entity_attributes": {},
"entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 1,
"text": "",
"type": "relationship",
"x": 25.415664700492094,
"y": 37.66636498768037
},
{
"entity_attributes": {
"country": "US"
},
"entity_id": "203.0.113.3",
"fx": -19.03611541222395,
"fy": 24.958500220062717,
"index": 2,
"text": "",
"type": "ip_address",
"x": -19.03611541222395,
"y": 24.958500220062717
},
{
"entity_attributes": {},
"entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 3,
"text": "",
"type": "relationship",
"x": 14.37403861978968,
"y": 56.85562691824892
},
{
"entity_attributes": {},
"entity_id": "relationships_communicating_files_20301133",
"index": 4,
"text": "",
"type": "relationship",
"x": -51.78097726144755,
"y": 10.087893225996158
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
"index": 5,
"text": "",
"type": "file",
"x": -79.11606194776019,
"y": -18.475026322309112
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
"index": 6,
"text": "",
"type": "file",
"x": -64.80938048199627,
"y": 46.75892061191275
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
"index": 7,
"text": "",
"type": "file",
"x": -43.54064004476819,
"y": -28.547923020662786
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
"index": 8,
"text": "",
"type": "file",
"x": -15.529860440278318,
"y": -2.068209789825876
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
"index": 9,
"text": "",
"type": "file",
"x": -42.55971948293377,
"y": 46.937155845680415
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "html"
},
"entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
"index": 10,
"text": "",
"type": "file",
"x": -62.447976875107706,
"y": -28.172418384729067
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
"index": 11,
"text": "",
"type": "file",
"x": -89.0326649183805,
"y": -2.2638551448322484
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
"index": 12,
"text": "",
"type": "file",
"x": -26.35260716195174,
"y": -20.25669077264115
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
"index": 13,
"text": "",
"type": "file",
"x": -82.1415994911387,
"y": 34.89636762607467
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "ENTITY_ID",
"index": 14,
"text": "",
"type": "file",
"x": -90.87738694680043,
"y": 16.374462198116138
}
],
"private": false,
"views_count": 30
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
}
}
Mensagens de saída
A ação Get Graph Details pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Get Graph Details". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Get Graph Details:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Get Related Domains
Use a ação Get Related Domains para obter os domínios relacionados com as entidades fornecidas do VirusTotal.
Para executar a ação Get Related Domains, o VirusTotal Enterprise (VTE) é necessário.
Esta ação só suporta os hashes MD5, SHA-1 e SHA-256.
Esta ação é executada nas seguintes entidades do Google SecOps:
HashHostnameIP AddressURL
Dados de ações
A ação Get Related Domains requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Results |
Opcional. A ordem para devolver resultados JSON. Os valores possíveis são os seguintes:
Se selecionar O valor predefinido é |
Max Domains To Return |
Opcional. O número de domínios a devolver. Se selecionar O valor predefinido é |
Resultados da ação
A ação Get Related Domains fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Get Related Domains:
{
"domain": ["example.com"]
}
Mensagens de saída
A ação Get Related Domains pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Get Related Domains". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Get Related Domains:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Obtenha hashes relacionados
Use a ação Get Related Hashes para obter os hashes relacionados com as entidades fornecidas do VirusTotal.
Para executar a ação Get Related Hashes, o VirusTotal Enterprise (VTE) é obrigatório.
Esta ação só suporta os hashes MD5, SHA-1 e SHA-256.
Esta ação é executada nas seguintes entidades do Google SecOps:
HashHostnameIP AddressURL
Dados de ações
A ação Get Related Hashes requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Results |
Opcional. A ordem para devolver resultados JSON. Os valores possíveis são os seguintes:
Se selecionar O valor predefinido é |
Max Hashes To Return |
Opcional. O número de hashes de ficheiros a devolver. Se selecionar
O valor predefinido é |
Resultados da ação
A ação Get Related Hashes fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Get Related Hashes:
{
"sha256_hashes": ["http://example.com"]
}
Mensagens de saída
A ação Get Related Hashes pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Get Related Hashes". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Get Related Hashes:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Obtenha IPs relacionados
Use a ação Get Related IPs para obter os endereços IP relacionados com as entidades fornecidas do VirusTotal.
Para executar a ação Get Related IPs, é necessário o VirusTotal Enterprise (VTE).
Esta ação só suporta os hashes MD5, SHA-1 e SHA-256.
Esta ação é executada nas seguintes entidades do Google SecOps:
HashHostnameIP AddressURL
Dados de ações
A ação Get Related IPs requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Results |
Opcional. A ordem para devolver resultados JSON. Os valores possíveis são os seguintes:
Se selecionar O valor predefinido é |
Max IPs To Return |
Opcional. O número de endereços IP a devolver. Se selecionar
O valor predefinido é |
Resultados da ação
A ação Get Related IPs fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Get Related IPs:
{
"ips": ["203.0.113.1"]
}
Mensagens de saída
A ação Get Related IPs pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Get Related IPs". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Get Related IPs:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Obtenha URLs relacionados
Use a ação Get Related URLs para obter os URLs relacionados com as entidades fornecidas do VirusTotal.
Para executar a ação Get Related URLs, é necessário o VirusTotal Enterprise (VTE).
Esta ação só suporta os hashes MD5, SHA-1 e SHA-256.
Esta ação é executada nas seguintes entidades do Google SecOps:
HashjsHostnameIP AddressURL
Dados de ações
A ação Get Related URLs requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Results |
Opcional. A ordem para devolver resultados JSON. Os valores possíveis são os seguintes:
Se selecionar O valor predefinido é |
Max URLs To Return |
Opcional. O número de URLs a devolver. Se selecionar
O valor predefinido é |
Resultados da ação
A ação Obter URLs relacionados fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Get Related URLs:
{
"urls": ["http://example.com"]
}
Mensagens de saída
A ação Get Related URLs pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Get Related URLs". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte indica o valor do resultado do script quando usa a ação Get Related URLs:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Tchim-tchim
Use a ação Ping para testar a conetividade com o VirusTotal.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
Nenhum.
Resultados da ação
A ação Ping fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Não disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Ping pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Failed to connect to the VirusTotal server! Error is
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Gráficos de entidades de pesquisa
Use a ação Pesquisar gráficos de entidades para pesquisar gráficos baseados nas entidades no VirusTotal.
Esta ação só suporta os hashes MD5, SHA-1 e SHA-256.
Esta ação é executada nas seguintes entidades do Google SecOps:
HashIP AddressThreat ActorURLUser
Dados de ações
A ação Search Entity Graphs requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Sort Field |
Opcional. O valor do campo para ordenar os gráficos do VirusTotal. O valor predefinido é Os valores possíveis são os seguintes:
|
Max Graphs To Return |
Opcional. O número máximo de gráficos a devolver para cada execução de ação. O valor predefinido é |
Resultados da ação
A ação Gráficos de entidades de pesquisa fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Search Entity Graphs:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
Mensagens de saída
A ação Search Entity Graphs pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Search Entity Graphs". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Gráficos de pesquisa
Use a ação Pesquisar gráficos para pesquisar gráficos com base em filtros personalizados no VirusTotal.
Esta ação não é executada em entidades do Google SecOps.
| Parâmetro | Descrição |
|---|---|
Query |
Obrigatório. O filtro de consultas para o gráfico. Para mais informações sobre consultas, consulte Como criar consultas e modificadores relacionados com gráficos. |
Sort Field |
Opcional. O valor do campo para ordenar os gráficos do VirusTotal. O valor predefinido é Os valores possíveis são os seguintes:
|
Max Graphs To Return |
Opcional. O número máximo de gráficos a devolver para cada execução de ação. O valor predefinido é |
Como criar consultas
Para refinar os resultados da pesquisa de gráficos, crie consultas que contenham modificadores relacionados com gráficos. Para melhorar a pesquisa, pode combinar modificadores com os operadores AND, OR e NOT.
Os campos de data e numéricos suportam sufixos de mais (+) ou menos (-). Um sufixo de mais corresponde a valores superiores ao valor indicado. Um sufixo de menos corresponde a valores inferiores ao valor fornecido. Sem um sufixo, a consulta devolve correspondências exatas.
Para definir intervalos, pode usar o mesmo modificador várias vezes numa consulta. Por exemplo, para pesquisar gráficos criados entre 15/11/2018 e 20/11/2018, use a seguinte consulta:
creation_date:2018-11-15+ creation_date:2018-11-20-
Para datas ou meses que começam com 0, remova o caráter 0 na consulta.
Por exemplo, formate a data 2018-11-01 como 2018-11-1.
Modificadores relacionados com gráficos
A tabela seguinte apresenta os modificadores que pode usar para criar a consulta de pesquisa:
| Modificador | Descrição | Exemplo |
|---|---|---|
Id |
Filtra por identificador do gráfico. | id:g675a2fd4c8834e288af |
Name |
Filtra por nome do gráfico. | name:Example-name |
Owner |
Filtra por gráficos que são propriedade do utilizador. | owner:example_user |
Group |
Filtra por grafos pertencentes a um grupo. | group:example |
Visible_to_user |
Filtra por gráficos visíveis para o utilizador. | visible_to_user:example_user |
Visible_to_group |
Filtra por gráficos visíveis para o grupo. | visible_to_group:example |
Private |
Filtra por gráficos privados. | private:true, private:false |
Creation_date |
Filtra pela data de criação do gráfico. | creation_date:2018-11-15 |
last_modified_date |
Filtra pela data de modificação mais recente do gráfico. | last_modified_date:2018-11-20 |
Total_nodes |
Filtra por gráficos que contêm um número específico de nós. | total_nodes:100 |
Comments_count |
Filtra pelo número de comentários no gráfico. | comments_count:10+ |
Views_count |
Filtra pelo número de visualizações do gráfico. | views_count:1000+ |
Label |
Filtra por gráficos que contêm nós com uma etiqueta específica. | label:Kill switch |
File |
Filtra por gráficos que contêm o ficheiro específico. | file:131f95c51cc819465fa17 |
Domain |
Filtra por gráficos que contêm o domínio específico. | domain:example.com |
Ip_address |
Filtra por gráficos que contêm o endereço IP específico. | ip_address:203.0.113.1 |
Url |
Filtra por gráficos que contêm o URL específico. | url:https://example.com/example/ |
Actor |
Filtra por gráficos que contêm o ator específico. | actor:example actor |
Victim |
Filtra por gráficos que contêm a vítima específica. | victim:example_user |
Email |
Filtra por gráficos que contêm o endereço de email específico. | email:user@example.com |
Department |
Filtra por gráficos que contêm o departamento específico. | department:engineers |
Resultados da ação
A ação Search Graphs fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Search Graphs:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
Mensagens de saída
A ação Search Graphs pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Search Graphs". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte apresenta o valor do resultado do script quando usa a ação Search Graphs:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Pesquise IOCs
Use a ação Pesquisar IOCs para pesquisar IOCs no conjunto de dados do VirusTotal.
Para executar a ação Pesquisar IOCs, o VirusTotal Enterprise (VTE) é obrigatório.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Search IOCs requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Query |
Obrigatório. A consulta para pesquisar IOCs. O valor predefinido é Para configurar a consulta, siga a sintaxe de consulta aplicável à interface do utilizador do VirusTotal Intelligence. |
Create Entities |
Opcional. Se estiver selecionada, a ação cria entidades para os IOCs devolvidos. Esta ação não enriquece entidades. Não selecionado por predefinição. |
Order By |
Obrigatório. O campo de ordenação para devolver os resultados. Os valores possíveis são os seguintes:
Os tipos de entidades podem ter campos de ordenação diferentes. Para mais informações sobre como pesquisar ficheiros no VirusTotal, consulte a pesquisa avançada de corpus. O valor predefinido é |
Sort Order |
Opcional. A ordem para ordenar os resultados. Os valores possíveis são os seguintes:
Se definir o valor O valor
predefinido é |
Max IOCs To Return |
Opcional. O número de IOCs a devolver. O valor máximo é
O valor predefinido é |
Resultados da ação
A ação Search IOCs fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Não disponível |
| Mesa de parede para caixas | Não disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Pesquisar IOCs:
{
"data": [
{
"attributes": {
"type_description": "Email",
"tlsh": "T1B4D31F04BE452B3093E7238E064E6FDBAFCC135F6611F1C60881AAD6C5C77A2E57D689",
"exiftool": {
"MIMEType": "text/plain",
"FileType": "TXT",
"WordCount": "2668",
"LineCount": "1820",
"MIMEEncoding": "us-ascii",
"FileTypeExtension": "txt",
"Newlines": "Windows CRLF"
},
"type_tags": [
"internet",
"email"
],
"threat_severity": {
"threat_severity_level": "SEVERITY_HIGH",
"threat_severity_data": {
"num_gav_detections": 3,
"has_vulnerabilities": true,
"popular_threat_category": "trojan",
"type_tag": "email",
"has_embedded_ips_with_detections": true
},
"last_analysis_date": "1698050597",
"version": 2,
"level_description": "Severity HIGH because it was considered trojan. Other contributing factors were that it has known exploits, it contains embedded IPs with detections and it could not be run in sandboxes."
},
"names": [
"Re Example.eml"
],
"last_modification_date": 1698057197,
"type_tag": "email",
"times_submitted": 1,
"total_votes": {
"harmless": 0,
"malicious": 0
},
"size": 132299,
"popular_threat_classification": {
"suggested_threat_label": "obfsobjdat/malformed",
"popular_threat_name": [
{
"count": 8,
"value": "obfsobjdat"
},
{
"count": 2,
"value": "malformed"
}
]
},
"last_submission_date": 1698049979,
"last_analysis_results": {
"Bkav": {
"category": "undetected",
"engine_name": "Example1",
"engine_version": "2.0.0.1",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
"Lionic": {
"category": "undetected",
"engine_name": "Example2",
"engine_version": "7.5",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
},
"downloadable": true,
"trid": [
{
"file_type": "file seems to be plain text/ASCII",
"probability": 0
}
],
"sha256": "2d9df36964fe2e477e6e0f7a73391e4d4b2eeb0995dd488b431c4abfb4c27dbf",
"type_extension": "eml",
"tags": [
"exploit",
"cve-2018-0802",
"cve-2018-0798",
"email",
"cve-2017-11882"
],
"last_analysis_date": 1698049979,
"unique_sources": 1,
"first_submission_date": 1698049979,
"ssdeep": "768:MedEkBNnx8ueVV+fitChi9KbpK0fixbRwHbcElIK944tCVQOgzdsSuom+cWmsCGY:Meo+fitC0mKuixYxlI1OO1cSPo0gptA",
"md5": "bdfe36052e0c083869505ef4fd77e865",
"sha1": "3a350de97009efe517ceffcea406534bb1ab800c",
"magic": "SMTP mail, ASCII text, with CRLF line terminators",
"last_analysis_stats": {
"harmless": 0,
"type-unsupported": 16,
"suspicious": 0,
"confirmed-timeout": 0,
"timeout": 0,
"failure": 0,
"malicious": 28,
"undetected": 32
},
"meaningful_name": "Re Example.eml",
"reputation": 0
},
"type": "file",
"id": "ID",
"links": {
"self": "URL"
}
},
]
}
Mensagens de saída
A ação Pesquisar IOCs pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Search IOCs". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor da saída do resultado do script quando usa a ação Search IOCs:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Enviar ficheiro
Use a ação Enviar ficheiro para enviar um ficheiro e devolver resultados do VirusTotal.
Esta ação não é executada em entidades do Google SecOps.
Dados de ações
A ação Enviar ficheiro requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
File Paths |
Obrigatório. Uma lista separada por vírgulas de caminhos absolutos para os ficheiros a enviar. Se configurar o parâmetro |
Engine Threshold |
Opcional. O número mínimo de motores que têm de classificar um ficheiro como malicioso ou suspeito para ser considerado suspeito. Se configurar o elemento
|
Engine Percentage Threshold |
Opcional. A percentagem mínima de motores que têm de classificar o ficheiro como malicioso ou suspeito para que seja considerado suspeito. |
Engine Whitelist |
Opcional. Uma lista de nomes de motores separados por vírgulas a considerar ao avaliar o risco, como Se não definir um valor, a ação usa todos os motores disponíveis. O cálculo do limite não inclui motores que não fornecem informações sobre entidades. |
Retrieve Comments |
Opcional. Se selecionada, a ação obtém comentários associados ao ficheiro do VirusTotal. Selecionado por predefinição. Quando o envio privado está ativado, os comentários não são obtidos. |
Retrieve Sigma Analysis |
Opcional. Se selecionada, a ação obtém os resultados da análise Sigma para o ficheiro. Selecionado por predefinição. |
Max Comments To Return |
Opcional. O número máximo de comentários a obter para cada ação executada. O valor predefinido é |
Linux Server Address |
Opcional. O endereço IP ou o nome de anfitrião de um servidor Linux remoto onde os ficheiros estão localizados. |
Linux Username |
Opcional. O nome de utilizador para autenticar no servidor Linux remoto. |
Linux Password |
Opcional. A palavra-passe para autenticar no servidor Linux remoto. |
Private Submission |
Opcional. Se esta opção estiver selecionada, a ação envia o ficheiro de forma privada. Para enviar o ficheiro privadamente, é necessário o acesso ao VirusTotal Premium. Não selecionado por predefinição. |
Fetch MITRE Details |
Opcional. Se selecionada, a ação obtém técnicas e táticas do MITRE ATT&CK relacionadas com o hash. Não selecionado por predefinição. |
Lowest MITRE Technique Severity |
Opcional. O nível de gravidade mínimo para uma técnica MITRE ATT&CK a incluir nos resultados. A ação trata a gravidade Os valores possíveis são os seguintes:
O valor predefinido é |
Retrieve AI Summary |
Opcional. Este parâmetro é experimental. Se selecionada, a ação obtém um resumo gerado pela IA para o ficheiro. Esta opção só está disponível para envios privados. Não selecionado por predefinição. |
Resultados da ação
A ação Enviar ficheiro fornece os seguintes resultados:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Fixação à parede da caixa | Não disponível |
| Link da parede da caixa | Disponível |
| Mesa de parede para caixas | Disponível |
| Tabela de enriquecimento | Não disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Link da parede da caixa
A ação Enviar ficheiro pode fornecer o seguinte link para cada entidade enriquecida:
Nome: Link do relatório: PATH
Valor: URL
Mesa de parede para caixas
A ação Enviar ficheiro pode fornecer a seguinte tabela para cada ficheiro enviado:
Nome da tabela: Resultados: PATH
Colunas da tabela:
- Nome
- Categoria
- Método
- Resultado
A ação Enviar ficheiro pode fornecer a seguinte tabela para cada ficheiro enviado que tenha comentários:
Nome da tabela: Comentários: PATH
Colunas da tabela:
- Data
- Comentar
- Votos abusivos
- Votos negativos
- Votos positivos
- ID
A ação Enviar ficheiro pode fornecer a seguinte tabela para cada entidade que tenha os resultados da análise Sigma:
Nome da tabela: Análise do Sigma: ENTITY_ID
Colunas da tabela:
- ID
- Gravidade
- Fonte
- Título
- Descrição
- Contexto de correspondência
Resultado JSON
O exemplo seguinte mostra o resultado JSON recebido quando usa a ação Enviar ficheiro:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Mensagens de saída
A ação Enviar ficheiro pode devolver as seguintes mensagens de saída:
| Mensagem de saída | Descrição da mensagem |
|---|---|
|
A ação foi bem-sucedida. |
Error executing action "Submit File". Reason:
ERROR_REASON |
A ação falhou. Verifique a ligação ao servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela seguinte lista o valor do resultado do script quando usa a ação Enviar ficheiro:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Conetores
Para mais detalhes sobre como configurar conetores no Google SecOps, consulte o artigo Carregue os seus dados (conetores).
VirusTotal - Livehunt Connector
Use o VirusTotal - Livehunt Connector para extrair informações sobre as notificações do VirusTotal Livehunt e os ficheiros relacionados.
Este conector requer um token da API VirusTotal Premium. A lista dinâmica funciona com o parâmetro rule_name.
Entradas do conetor
O VirusTotal - Livehunt Connector requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Product Field Name |
Obrigatório. O nome do campo onde o nome do produto está armazenado. O valor
predefinido é O nome do produto
afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor predefinido |
Event Field Name |
Obrigatório. O nome do campo onde o nome do evento (subtipo) está armazenado. O valor predefinido é |
Environment Field Name |
Opcional. O nome do campo onde o nome do ambiente está armazenado. Se o campo de ambiente não for encontrado, o conetor usa o valor predefinido. O valor predefinido é |
Environment Regex Pattern |
Opcional. Um padrão de expressão regular a executar no valor encontrado no campo Use o valor predefinido Se o padrão de expressão regular for nulo ou estiver vazio, ou o valor do ambiente for nulo, o resultado final do ambiente é o ambiente predefinido. |
PythonProcessTimeout |
Obrigatório. O limite de tempo limite em segundos para o processo Python que executa o script atual. O valor predefinido é |
API Key |
Obrigatório. A chave da API VirusTotal. |
Verify SSL |
Obrigatório. Se selecionada, a integração valida o certificado SSL quando estabelece ligação ao VirusTotal. Selecionado por predefinição. |
Engine Whitelist |
Opcional. Uma lista de nomes de motores separados por vírgulas a considerar ao avaliar o valor do parâmetro Se não definir um valor, a ação usa todos os motores disponíveis. |
Engine Percentage Threshold To Fetch |
Obrigatório. A percentagem mínima de motores que marcam o ficheiro como malicioso ou suspeito para que o conetor carregue o ficheiro. Os valores válidos são
de O valor predefinido é |
Max Hours Backwards |
Opcional. O número de horas antes da primeira iteração do conector para obter os incidentes. Este parâmetro pode aplicar-se à iteração inicial do conector depois de ativar o conector pela primeira vez ou ao valor alternativo para uma data/hora do conector expirada. O valor predefinido é |
Max Notifications To Fetch |
Opcional. O número máximo de notificações a processar em cada execução do conector. O valor predefinido é |
Use dynamic list as a blacklist |
Obrigatório. Se estiver selecionada, a lista dinâmica é usada como uma lista de bloqueio. Não selecionado por predefinição. |
Proxy Server Address |
Opcional. O endereço do servidor proxy a usar. |
Proxy Username |
Opcional. O nome de utilizador para a autenticação do servidor proxy. |
Proxy Password |
Opcional. A palavra-passe para a autenticação do servidor proxy. |
Regras de conector
O conetor suporta proxies.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.