Integrar o VirusTotal v3 ao Google SecOps
Versão da integração: 37.0
Este documento explica como integrar o VirusTotal v3 ao Google Security Operations (Google SecOps).
Casos de uso
A integração do VirusTotal v3 usa os recursos do Google SecOps para oferecer suporte aos seguintes casos de uso:
Análise de arquivos: envie um hash ou um arquivo para o VirusTotal para análise e recupere os resultados da verificação de vários mecanismos antivírus para determinar se o item enviado é malicioso.
Análise de URL: execute um URL no banco de dados do VirusTotal para identificar sites ou páginas de phishing potencialmente maliciosos.
Análise de endereço IP: investigue um endereço IP e identifique a reputação dele e qualquer atividade maliciosa associada.
Análise de domínio: analise um nome de domínio e identifique a reputação dele e qualquer atividade maliciosa associada, como phishing ou distribuição de malware.
Retrohunting: verifique os dados históricos do VirusTotal para pesquisar arquivos, URLs, IPs ou domínios que foram sinalizados como maliciosos.
Enriquecimento automatizado: enriqueça automaticamente os dados de incidentes com inteligência sobre ameaças.
Investigação de phishing: analise e-mails e anexos suspeitos enviando-os para o VirusTotal.
Análise de malware: faça upload de amostras de malware no VirusTotal para análise dinâmica e estática e receba insights sobre o comportamento e o possível impacto das amostras.
Antes de começar
Antes de configurar a integração na plataforma do Google SecOps, verifique se você tem o seguinte:
API VirusTotal Premium:para funcionar corretamente, essa integração exige uma assinatura da API VirusTotal Premium.
Para mais informações sobre as diferenças entre os níveis de API, consulte API pública x API Premium.
Chave de API:você precisa configurar uma chave de API do VirusTotal antes de configurar a instância de integração no Google SecOps.
Configurar a chave de API do VirusTotal
Antes de configurar a integração do VirusTotal v3 no Google SecOps, você precisa receber e copiar sua chave de API:
Faça login no portal do VirusTotal.
Acesse as Configurações da conta e, abaixo do seu nome de usuário ou perfil, clique em Chave de API.
Copie a chave de API gerada. Use essa chave para preencher o parâmetro de integração
API Key.
Parâmetros de integração
A integração do VirusTotal v3 exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
API Key |
Obrigatório. A chave de API do VirusTotal. |
Verify SSL |
Opcional. Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do VirusTotal v3. Ativado por padrão. |
Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
É possível fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.
Ações
Para mais informações sobre ações, consulte Responder a ações pendentes da sua mesa de trabalho e Realizar uma ação manual.
Adicionar comentário à entidade
Use a ação Adicionar comentário à entidade para adicionar um comentário a entidades no VirusTotal.
Essa ação é executada nas seguintes entidades do Google SecOps:
DomainFile HashHostnameIP AddressURL
Entradas de ação
A ação Adicionar comentário à entidade exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Comment |
Obrigatório. O comentário a ser adicionado às entidades. |
Saídas de ação
A ação Adicionar comentário à entidade fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
Os exemplos a seguir mostram as saídas de resultados JSON recebidas ao usar a ação Adicionar comentário à entidade:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Mensagens de saída
A ação AddCommentToEntity pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Add Comment To Entity". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Adicionar comentário à entidade:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Adicionar voto à entidade
Use a ação Adicionar voto à entidade para adicionar um voto a entidades no VirusTotal.
Essa ação é executada nas seguintes entidades do Google SecOps:
DomainFile HashHostnameIP AddressURL
Entradas de ação
A ação AddVoteToEntity exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Vote |
Obrigatório. O voto a ser atribuído à reputação da entidade. Os valores possíveis são:
|
Saídas de ação
A ação Adicionar voto à entidade fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Adicionar voto à entidade:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Mensagens de saída
A ação AddVoteToEntity pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Add Vote To Entity". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Adicionar voto à entidade:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Baixar o arquivo
Use a ação Fazer o download do arquivo para baixar um arquivo do VirusTotal.
Essa ação é executada na entidade File Hash do Google SecOps.
Entradas de ação
A ação Fazer o download do arquivo exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Download Folder Path |
Obrigatório. O caminho para a pasta em que a ação salva os arquivos baixados. |
Overwrite |
Opcional. Se selecionada, a ação substitui qualquer arquivo com o mesmo nome do novo arquivo baixado. Ativado por padrão. |
Saídas de ação
A ação Fazer o download do arquivo fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Fazer o download do arquivo:
{
"absolute_file_paths": ["file_path_1","file_path_2"]
}
Mensagens de saída
A ação Fazer o download do arquivo pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Download File". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Enriquecer hash
Use a ação Enriquecer hash para enriquecer hashes com informações do VirusTotal.
Essa ação é executada na entidade File Hash do Google SecOps.
Entradas de ação
A ação Enriquecer hash exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Engine Threshold |
Opcional. O número mínimo de mecanismos que precisam sinalizar uma entidade como maliciosa ou suspeita para que ela seja considerada suspeita. Se você configurar |
Engine Percentage Threshold |
Opcional. A porcentagem mínima (de Se você configurar Se você configurar |
Engine Whitelist |
Opcional. Uma lista separada por vírgulas de nomes de mecanismos que a ação deve considerar ao determinar se um hash é malicioso. O cálculo exclui mecanismos que não fornecem informações de entidade. Se nenhum valor for fornecido, a ação usará todos os mecanismos disponíveis. |
Resubmit Hash |
Opcional. Se selecionada, a ação reenvia o hash para análise em vez de usar resultados atuais. Essa configuração está desativada por padrão. |
Resubmit After (Days) |
Opcional. O número mínimo de dias que precisam se passar desde a última análise antes que o hash seja reenviado. Esse parâmetro só se aplica se você selecionar o parâmetro O valor padrão é |
Retrieve Comments |
Opcional. Se selecionada, a ação vai recuperar os comentários associados ao hash do VirusTotal. Ativado por padrão. |
Retrieve Sigma Analysis |
Opcional. Se selecionada, a ação vai recuperar os resultados da análise do Sigma para o hash. Essa opção é selecionada por padrão. |
Sandbox |
Opcional. Uma lista separada por vírgulas de ambientes de sandbox a serem usados para análise de comportamento. Se você não definir um valor, a ação vai usar o padrão. O valor padrão é |
Retrieve Sandbox Analysis |
Opcional. Se selecionada, a ação vai recuperar os resultados da análise de sandbox para o hash e criar uma seção separada na saída JSON para cada sandbox especificado. Essa opção é selecionada por padrão. |
Create Insight |
Opcional. Se selecionada, a ação gera uma análise de segurança com as informações da análise do hash. Ativado por padrão. |
Only Suspicious Entity Insight |
Opcional. Se selecionada, a ação vai gerar insights apenas para hashes identificados como suspeitos com base nos parâmetros de limite configurados. Esse parâmetro só se aplica se Essa configuração está desativada por padrão. |
Max Comments To Return |
Opcional. O número máximo de comentários que a ação recupera durante cada execução. O valor padrão é |
Widget Theme |
Opcional. O tema a ser usado para o widget do VirusTotal. Os valores possíveis são:
O valor padrão é |
Fetch Widget |
Opcional. Se selecionada, a ação vai recuperar e incluir o widget de resumo visual relacionado ao hash na saída do Painel de Casos. Ativado por padrão. |
Fetch MITRE Details |
Opcional. Se selecionada, a ação vai recuperar técnicas e táticas do MITRE ATT&CK relacionadas ao hash. Essa configuração está desativada por padrão. |
Lowest MITRE Technique Severity |
Opcional. O nível mínimo de gravidade para incluir uma técnica do MITRE ATT&CK nos resultados. A ação trata a gravidade Os valores possíveis são:
O valor padrão é |
Saídas de ação
A ação Enriquecer hash fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Disponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento de entidades | Disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Link do Painel de Casos
A ação Enriquecer hash pode fornecer o seguinte link para cada entidade enriquecida:
Nome: Link do relatório
Valor: URL
Tabela do painel de casos
A ação Enriquecer hash pode fornecer a seguinte tabela para cada entidade enriquecida:
Nome da tabela: ENTITY_ID
Colunas da tabela:
- Nome
- Categoria
- Método
- Result
A ação Enriquecer hash pode fornecer a seguinte tabela para cada entidade que tem comentários:
Nome da tabela: Comentários: ENTITY_ID
Colunas da tabela:
- Data
- Comentário
- Votos de abuso
- Votos negativos
- Votos positivos
- ID
A ação Enriquecer hash pode fornecer a seguinte tabela para cada entidade com os resultados da análise do Sigma:
Nome da tabela: Análise do Sigma: ENTITY_ID
Colunas da tabela:
- ID
- Gravidade
- Origem
- Título
- Descrição
- Contexto da correspondência
Tabela de enriquecimento de entidades
A tabela a seguir lista os campos enriquecidos usando a ação Enriquecer hash:
| Nome do campo de enriquecimento | Aplicabilidade |
|---|---|
VT3_id |
Aplicável quando disponível no resultado JSON. |
VT3_magic |
Aplicável quando disponível no resultado JSON. |
VT3_md5 |
Aplicável quando disponível no resultado JSON. |
VT3_sha1 |
Aplicável quando disponível no resultado JSON. |
VT3_sha256 |
Aplicável quando disponível no resultado JSON. |
VT3_ssdeep |
Aplicável quando disponível no resultado JSON. |
VT3_tlsh |
Aplicável quando disponível no resultado JSON. |
VT3_vhash |
Aplicável quando disponível no resultado JSON. |
VT3_meaningful_name |
Aplicável quando disponível no resultado JSON. |
VT3_magic |
Aplicável quando disponível no resultado JSON. |
VT3_harmless_count |
Aplicável quando disponível no resultado JSON. |
VT3_malicious_count |
Aplicável quando disponível no resultado JSON. |
VT3_suspicious_count |
Aplicável quando disponível no resultado JSON. |
VT3_undetected_count |
Aplicável quando disponível no resultado JSON. |
VT3_reputation |
Aplicável quando disponível no resultado JSON. |
VT3_tags |
Aplicável quando disponível no resultado JSON. |
VT3_malicious_vote_count |
Aplicável quando disponível no resultado JSON. |
VT3_harmless_vote_count |
Aplicável quando disponível no resultado JSON. |
VT3_report_link |
Aplicável quando disponível no resultado JSON. |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Enriquecer hash:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}]
}
Mensagens de saída
A ação Enrich Hash pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Enrich Hash". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Enriquecer hash:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Enriquecer IOC
Use a ação Enriquecer IOC para enriquecer os indicadores de comprometimento (IOCs) com informações do VirusTotal.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Enriquecer IOC exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
IOC Type |
Opcional. O tipo de IoC a ser enriquecido. O valor padrão é Os valores possíveis são:
|
IOCs |
Obrigatório. Uma lista separada por vírgulas de IoCs a serem enriquecidos. |
Widget Theme |
Opcional. O tema a ser usado para o widget do VirusTotal. Os valores possíveis são:
O valor padrão é |
Fetch Widget |
Opcional. Se selecionada, a ação vai recuperar e incluir o widget de resumo visual relacionado ao IoC na saída do Painel de Casos. Ativado por padrão. |
Saídas de ação
A ação Enriquecer IOC fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Disponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Link do Painel de Casos
A ação Enriquecer IOC pode fornecer o seguinte link para cada entidade enriquecida:
Nome: Link do relatório
Valor: URL
Tabela do painel de casos
A ação Enriquecer IOC pode fornecer a seguinte tabela para cada entidade enriquecida:
Nome da tabela: IOC_ID
Colunas da tabela:
- Nome
- Categoria
- Método
- Result
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Enriquecer IOC:
{
"ioc": {
"identifier": "203.0.113.1",
"details": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"report_link": "{generated report link}",
"widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
}
}
}
Mensagens de saída
A ação Enriquecer IOC pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Enrich IOC". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Enriquecer IOC:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Enriquecer IP
Use a ação Enriquecer IP para enriquecer endereços IP com informações do VirusTotal.
Essa ação é executada na entidade IP Address do Google SecOps.
Entradas de ação
A ação Enriquecer IP exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Engine Threshold |
Opcional. O número mínimo de mecanismos que precisam sinalizar uma entidade como maliciosa ou suspeita para que ela seja considerada suspeita. Se você configurar |
Engine Percentage Threshold |
Opcional. A porcentagem mínima (de Se você configurar Se você configurar |
Engine Whitelist |
Opcional. Uma lista separada por vírgulas de nomes de mecanismos que a ação deve considerar ao determinar se um hash é malicioso. O cálculo exclui mecanismos que não fornecem informações de entidade. Se nenhum valor for fornecido, a ação usará todos os mecanismos disponíveis. |
Retrieve Comments |
Opcional. Se selecionada, a ação vai recuperar os comentários associados ao endereço IP do VirusTotal. Ativado por padrão. |
Create Insight |
Opcional. Se selecionada, a ação gera um insight de segurança com as informações de análise do endereço IP. Ativado por padrão. |
Only Suspicious Entity Insight |
Opcional. Se selecionada, a ação gera insights apenas para endereços IP identificados como suspeitos com base nos parâmetros de limite configurados. Esse parâmetro só se aplica se Essa configuração está desativada por padrão. |
Max Comments To Return |
Opcional. O número máximo de comentários que a ação recupera durante cada execução. O valor padrão é |
Widget Theme |
Opcional. O tema a ser usado para o widget do VirusTotal. Os valores possíveis são:
O valor padrão é |
Fetch Widget |
Opcional. Se selecionada, a ação vai recuperar e incluir o widget de resumo visual relacionado ao endereço IP na saída do Painel de Casos. Ativado por padrão. |
Saídas de ação
A ação Enriquecer IP fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Disponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento de entidades | Disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Link do Painel de Casos
A ação Enriquecer IP pode fornecer o seguinte link para cada entidade enriquecida:
Nome: Link do relatório
Valor: URL
Tabela do painel de casos
A ação Enriquecer IP pode fornecer a seguinte tabela para cada entidade enriquecida:
Nome da tabela: ENTITY_ID
Colunas da tabela:
- Nome
- Categoria
- Método
- Result
A ação Enriquecer IP pode fornecer a seguinte tabela para cada entidade que tem comentários:
Nome da tabela: Comentários: ENTITY_ID
Colunas da tabela:
- Data
- Comentário
- Votos de abuso
- Votos negativos
- Votos positivos
- ID
Tabela de enriquecimento de entidades
A tabela a seguir lista os campos enriquecidos usando a ação Enriquecer IP:
| Nome do campo de enriquecimento | Aplicabilidade |
|---|---|
VT3_id |
Aplicável quando disponível no resultado JSON. |
VT3_owner |
Aplicável quando disponível no resultado JSON. |
VT3_asn |
Aplicável quando disponível no resultado JSON. |
VT3_continent |
Aplicável quando disponível no resultado JSON. |
VT3_country |
Aplicável quando disponível no resultado JSON. |
VT3_harmless_count |
Aplicável quando disponível no resultado JSON. |
VT3_malicious_count |
Aplicável quando disponível no resultado JSON. |
VT3_suspicious_count |
Aplicável quando disponível no resultado JSON. |
VT3_undetected_count |
Aplicável quando disponível no resultado JSON. |
VT3_certificate_valid_not_after |
Aplicável quando disponível no resultado JSON. |
VT3_certificate_valid_not_before |
Aplicável quando disponível no resultado JSON. |
VT3_reputation |
Aplicável quando disponível no resultado JSON. |
VT3_tags |
Aplicável quando disponível no resultado JSON. |
VT3_malicious_vote_count |
Aplicável quando disponível no resultado JSON. |
VT3_harmless_vote_count |
Aplicável quando disponível no resultado JSON. |
VT3_report_link |
Aplicável quando disponível no resultado JSON. |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Enriquecer IP:
{
"data": {
"attributes": {
"as_owner": "Example",
"asn": 50673,
"continent": "EU",
"country": "NL",
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "ExampleLabs",
"method": "blacklist",
"result": "clean"
},
"example.com URL checker": {
"category": "harmless",
"engine_name": "example.com URL checker",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 81,
"malicious": 5,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_https_certificate": {
"cert_signature": {
"signature": "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",
"signature_algorithm": "sha256RSA"
},
"extensions": {
"1.3.6.1.4.1.11129.2.4.2": "0481f200f00075007d3ef2f88fff88556824c2c0ca9e5289792bc50e78097f2e",
"CA": true,
"authority_key_identifier": {
"keyid": "KEY_ID"
},
"ca_information_access": {
"CA Issuers": "http://example.RSADomainValidationSecureServerCA.crt",
"OCSP": "http://example.com"
},
"certificate_policies": [
"1.3.6.1.4.1.6449.1.2.2.7",
"2.23.140.1.2.1"
],
"extended_key_usage": [
"serverAuth",
"clientAuth"
],
"key_usage": [
"ff"
],
"subject_alternative_name": [
"example-panel.xyz",
"www.example-panel.xyz"
],
"subject_key_identifier": "4f6429eaccd761eca91d9120b004f9d962453fef",
"tags": []
},
"issuer": {
"C": "US",
"CN": "Example RSA Domain Validation Secure Server CA",
"L": "Mountain View",
"O": "Example Ltd.",
},
"public_key": {
"algorithm": "RSA",
"rsa": {
"exponent": "010001",
"key_size": 2048,
"modulus": "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"
}
},
"serial_number": "248562d360bcc919bb97883f0dfc609d",
"signature_algorithm": "sha256RSA",
"size": 1472,
"subject": {
"CN": "example-panel.xyz"
},
"tags": [],
"thumbprint": "f9aae62cc9262302e45d94fcc512d65529ea1b31",
"thumbprint_sha256": "406ac0efb0ef67de743b1ab0f4e0352564a7d5ebbd71e3a883c067acc3563016",
"validity": {
"not_after": "2021-08-06 23:59:59",
"not_before": "2020-08-06 00:00:00"
},
"version": "V3"
},
"last_https_certificate_date": 1605415789,
"last_modification_date": 1605430702,
"network": "203.0.113.0/24",
"regional_internet_registry": "EXAMPLE",
"reputation": -95,
"tags": [],
"total_votes": {
"harmless": 0,
"malicious": 10
},
"whois": "NetRange: 203.0.113.0 - 203.0.113.255\nCIDR: 203.0.113.0/24\nNetName: EXAMPLE-5\nNetHandle: NET-203-0-113-0-1\nParent: ()\nNetType: Allocated to EXAMPLE\nOrig",
"whois_date": 1603912270
},
"id": "203.0.113.1",
"links": {
"self": "https://www.virustotal.com/api/v3/ip_addresses/203.0.113.1"
},
"type": "ip_address"
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Mensagens de saída
A ação Enriquecer IP pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
|
A ação foi concluída. |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Enriquecer IP:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Aperfeiçoar URL
Use a ação Enriquecer URL para enriquecer um URL com informações do VirusTotal.
Essa ação é executada na entidade URL do Google SecOps.
Entradas de ação
A ação Enriquecer URL exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Engine Threshold |
Opcional. O número mínimo de mecanismos que precisam sinalizar uma entidade como maliciosa ou suspeita para que ela seja considerada suspeita. Se você configurar |
Engine Percentage Threshold |
Opcional. A porcentagem mínima (de Se você configurar Se você configurar |
Engine Whitelist |
Opcional. Uma lista separada por vírgulas de nomes de mecanismos que a ação deve considerar ao determinar se um hash é malicioso. O cálculo exclui mecanismos que não fornecem informações de entidade. Se nenhum valor for fornecido, a ação usará todos os mecanismos disponíveis. |
Resubmit URL |
Opcional. Se selecionada, a ação reenvia o URL para análise em vez de usar resultados atuais. Essa configuração está desativada por padrão. |
Resubmit After (Days) |
Opcional. O número mínimo de dias que precisam se passar desde a última análise antes que o hash seja reenviado. Esse parâmetro só se aplica se você selecionar o parâmetro O valor padrão é |
Retrieve Comments |
Opcional. Se selecionada, a ação recupera os comentários associados ao URL do VirusTotal. Ativado por padrão. |
Create Insight |
Opcional. Se selecionada, a ação gera uma análise de segurança com as informações da análise do URL. Ativado por padrão. |
Only Suspicious Entity Insight |
Opcional. Se selecionada, a ação vai gerar insights apenas para URLs identificados como suspeitos com base nos parâmetros de limite configurados. Esse parâmetro só se aplica se Essa configuração está desativada por padrão. |
Max Comments To Return |
Opcional. O número máximo de comentários que a ação recupera durante cada execução. O valor padrão é |
Widget Theme |
Opcional. O tema a ser usado para o widget do VirusTotal. Os valores possíveis são:
O valor padrão é |
Fetch Widget |
Opcional. Se selecionada, a ação vai extrair e incluir o widget de resumo visual relacionado ao URL na saída do Painel de Casos. Ativado por padrão. |
Saídas de ação
A ação Enriquecer URL fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Disponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento de entidades | Disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Link do Painel de Casos
A ação Enriquecer URL pode fornecer o seguinte link para cada entidade enriquecida:
Nome: Link do relatório
Valor: URL
Tabela do painel de casos
A ação Enriquecer URL pode fornecer a seguinte tabela para cada entidade enriquecida:
Nome da tabela: ENTITY_ID
Colunas da tabela:
- Nome
- Categoria
- Método
- Result
A ação Enriquecer URL pode fornecer a seguinte tabela para cada entidade que tem comentários:
Nome da tabela: Comentários: ENTITY_ID
Colunas da tabela:
- Data
- Comentário
- Votos de abuso
- Votos negativos
- Votos positivos
- ID
Tabela de enriquecimento de entidades
A tabela a seguir lista os campos enriquecidos usando a ação Enriquecer URL:
| Nome do campo de enriquecimento | Aplicabilidade |
|---|---|
VT3_id |
Aplicável quando disponível no resultado JSON. |
VT3_title |
Aplicável quando disponível no resultado JSON. |
VT3_last_http_response_code |
Aplicável quando disponível no resultado JSON. |
VT3_last_http_response_content_length |
Aplicável quando disponível no resultado JSON. |
VT3_threat_names |
Aplicável quando disponível no resultado JSON. |
VT3_harmless_count |
Aplicável quando disponível no resultado JSON. |
VT3_malicious_count |
Aplicável quando disponível no resultado JSON. |
VT3_suspicious_count |
Aplicável quando disponível no resultado JSON. |
VT3_undetected_count |
Aplicável quando disponível no resultado JSON. |
VT3_reputation |
Aplicável quando disponível no resultado JSON. |
VT3_tags |
Aplicável quando disponível no resultado JSON. |
VT3_malicious_vote_count |
Aplicável quando disponível no resultado JSON. |
VT3_harmless_vote_count |
Aplicável quando disponível no resultado JSON. |
VT3_report_link |
Aplicável quando disponível no resultado JSON. |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Enriquecer URL:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"AEXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Mensagens de saída
A ação Enriquecer URL pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Enrich URL". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Enriquecer URL:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Acessar detalhes do domínio
Use a ação Receber detalhes do domínio para extrair informações detalhadas sobre o domínio usando dados do VirusTotal.
Essa ação é executada nas seguintes entidades do Google SecOps:
DomainHostnameURL
Entradas de ação
A ação Extrair detalhes do domínio exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Engine Threshold |
Opcional. O número mínimo de mecanismos que precisam sinalizar uma entidade como maliciosa ou suspeita para que ela seja considerada suspeita. Se você configurar |
Engine Percentage Threshold |
Opcional. A porcentagem mínima (de Se você configurar Se você configurar |
Engine Whitelist |
Opcional. Uma lista separada por vírgulas de nomes de mecanismos que a ação deve considerar ao determinar se um hash é malicioso. O cálculo exclui mecanismos que não fornecem informações de entidade. Se nenhum valor for fornecido, a ação usará todos os mecanismos disponíveis. |
Retrieve Comments |
Opcional. Se selecionada, a ação vai recuperar os comentários associados ao domínio do VirusTotal. Ativado por padrão. |
Create Insight |
Opcional. Se selecionada, a ação gera uma análise de segurança com as informações de análise do domínio. Ativado por padrão. |
Only Suspicious Entity Insight |
Opcional. Se selecionada, a ação gera insights apenas para entidades identificadas como suspeitas com base nos parâmetros de limite configurados. Esse parâmetro só se aplica se Essa configuração está desativada por padrão. |
Max Comments To Return |
Opcional. O número máximo de comentários que a ação recupera para o domínio durante cada execução. O valor padrão é |
Widget Theme |
Opcional. O tema a ser usado para o widget do VirusTotal. Os valores possíveis são:
O valor padrão é |
Fetch Widget |
Opcional. Se selecionada, a ação vai recuperar e incluir o widget de resumo visual relacionado ao domínio na saída do Painel de Casos. Ativado por padrão. |
Saídas de ação
A ação Receber detalhes do domínio fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Disponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Link do Painel de Casos
A ação Receber detalhes do domínio pode fornecer o seguinte link para cada entidade enriquecida:
Nome: Link do relatório
Valor: URL
Tabela do painel de casos
A ação Receber detalhes do domínio pode fornecer a seguinte tabela para cada entidade enriquecida:
Nome da tabela: ENTITY_ID
Colunas da tabela:
- Nome
- Categoria
- Método
- Result
A ação Receber detalhes do domínio pode fornecer a seguinte tabela para cada entidade com comentários:
Nome da tabela: Comentários: ENTITY_ID
Colunas da tabela:
- Data
- Comentário
- Votos de abuso
- Votos negativos
- Votos positivos
- ID
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Get Domain Details:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Mensagens de saída
A ação Receber detalhes do domínio pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Get Domain Details". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber detalhes do domínio:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Mais detalhes de gráfico
Use a ação Receber detalhes do gráfico para obter informações detalhadas sobre os gráficos no VirusTotal.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Receber detalhes do gráfico exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Graph ID |
Obrigatório. Uma lista separada por vírgulas de IDs de gráficos para recuperar detalhes. |
Max Links To Return |
Opcional. O número máximo de links a serem retornados para cada gráfico. O valor padrão é |
Saídas de ação
A ação Extrair detalhes do gráfico fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Tabela do painel de casos
A ação Receber detalhes do gráfico pode fornecer a seguinte tabela para cada entidade enriquecida:
Nome da tabela: Links do gráfico ENTITY_ID
Colunas da tabela:
- Origem
- Objetivo
- Tipo de conexão
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber detalhes do gráfico:
{
"data": {
"attributes": {
"comments_count": 0,
"creation_date": 1603219837,
"graph_data": {
"description": "Example LLC",
"version": "api-5.0.0"
},
"last_modified_date": 1603219837,
"links": [
{
"connection_type": "last_serving_ip_address",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "last_serving_ip_address",
"source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "network_location",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "network_location",
"source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "communicating_files",
"source": "203.0.113.3",
"target": "relationships_communicating_files_20301133"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
}
],
"nodes": [
{
"entity_attributes": {
"has_detections": false
},
"entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 0,
"text": "",
"type": "url",
"x": 51.22276722115952,
"y": 65.7811310194184
},
{
"entity_attributes": {},
"entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 1,
"text": "",
"type": "relationship",
"x": 25.415664700492094,
"y": 37.66636498768037
},
{
"entity_attributes": {
"country": "US"
},
"entity_id": "203.0.113.3",
"fx": -19.03611541222395,
"fy": 24.958500220062717,
"index": 2,
"text": "",
"type": "ip_address",
"x": -19.03611541222395,
"y": 24.958500220062717
},
{
"entity_attributes": {},
"entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 3,
"text": "",
"type": "relationship",
"x": 14.37403861978968,
"y": 56.85562691824892
},
{
"entity_attributes": {},
"entity_id": "relationships_communicating_files_20301133",
"index": 4,
"text": "",
"type": "relationship",
"x": -51.78097726144755,
"y": 10.087893225996158
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
"index": 5,
"text": "",
"type": "file",
"x": -79.11606194776019,
"y": -18.475026322309112
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
"index": 6,
"text": "",
"type": "file",
"x": -64.80938048199627,
"y": 46.75892061191275
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
"index": 7,
"text": "",
"type": "file",
"x": -43.54064004476819,
"y": -28.547923020662786
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
"index": 8,
"text": "",
"type": "file",
"x": -15.529860440278318,
"y": -2.068209789825876
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
"index": 9,
"text": "",
"type": "file",
"x": -42.55971948293377,
"y": 46.937155845680415
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "html"
},
"entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
"index": 10,
"text": "",
"type": "file",
"x": -62.447976875107706,
"y": -28.172418384729067
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
"index": 11,
"text": "",
"type": "file",
"x": -89.0326649183805,
"y": -2.2638551448322484
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
"index": 12,
"text": "",
"type": "file",
"x": -26.35260716195174,
"y": -20.25669077264115
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
"index": 13,
"text": "",
"type": "file",
"x": -82.1415994911387,
"y": 34.89636762607467
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "ENTITY_ID",
"index": 14,
"text": "",
"type": "file",
"x": -90.87738694680043,
"y": 16.374462198116138
}
],
"private": false,
"views_count": 30
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
}
}
Mensagens de saída
A ação Receber detalhes do gráfico pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Get Graph Details". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber detalhes do gráfico:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Receber domínios relacionados
Use a ação Receber domínios relacionados para obter os domínios relacionados às entidades fornecidas do VirusTotal.
Essa ação é executada nas seguintes entidades do Google SecOps:
DomainFile HashHostnameIP AddressURL
Entradas de ação
A ação Receber domínios relacionados exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Results |
Opcional. A estrutura usada para agregar e agrupar os resultados JSON retornados. Os valores possíveis são:
O valor padrão é |
Max Domains To Return |
Opcional. O número máximo de domínios a serem retornados. Se você selecionar Se você selecionar O valor padrão é |
Saídas de ação
A ação Receber domínios relacionados fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber domínios relacionados:
{
"domain": ["example.com"]
}
Mensagens de saída
A ação Receber domínios relacionados pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Get Related Domains". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber domínios relacionados:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Receber hashes relacionados
Use a ação Receber hashes relacionados para obter os hashes relacionados às entidades fornecidas do VirusTotal.
Essa ação é executada nas seguintes entidades do Google SecOps:
DomainFile HashHostnameIP AddressURL
Entradas de ação
A ação Receber hashes relacionados exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Results |
Opcional. A estrutura usada para agregar e agrupar os resultados JSON retornados. Os valores possíveis são:
O valor padrão é |
Max Hashes To Return |
Opcional. O número máximo de hashes de arquivo a serem retornados. Se você selecionar Se você selecionar
O valor padrão é |
Saídas de ação
A ação Receber hashes relacionados fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber hashes relacionados:
{
"sha256_hashes": ["http://example.com"]
}
Mensagens de saída
A ação Receber hashes relacionados pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Get Related Hashes". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber hashes relacionados:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Receber IPs relacionados
Use a ação Receber IPs relacionados para obter os endereços IP relacionados às entidades fornecidas do VirusTotal.
Essa ação é executada nas seguintes entidades do Google SecOps:
DomainFile HashHostnameURL
Entradas de ação
A ação Receber IPs relacionados exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Results |
Opcional. A estrutura usada para agregar e agrupar os resultados JSON retornados. Os valores possíveis são:
O valor padrão é |
Max IPs To Return |
Opcional. O número máximo de endereços IP a serem retornados. Se você selecionar
Se você selecionar
O valor padrão é |
Saídas de ação
A ação Receber IPs relacionados fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber IPs relacionados:
{
"ips": ["203.0.113.1"]
}
Mensagens de saída
A ação Receber IPs relacionados pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Get Related IPs". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber IPs relacionados:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Receber URLs relacionados
Use a ação Receber URLs relacionados para obter os URLs relacionados às entidades fornecidas do VirusTotal.
Essa ação é executada nas seguintes entidades do Google SecOps:
DomainFile HashHostnameIP AddressURL
Entradas de ação
A ação Receber URLs relacionados exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Results |
Opcional. A estrutura usada para agregar e agrupar os resultados JSON retornados. Os valores possíveis são:
O valor padrão é |
Max URLs To Return |
Opcional. O número máximo de URLs a serem retornados. Se você selecionar
Se você selecionar
O valor padrão é |
Saídas de ação
A ação Receber URLs relacionados fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber URLs relacionados:
{
"urls": ["http://example.com"]
}
Mensagens de saída
A ação Receber URLs relacionados pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Get Related URLs". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber URLs relacionados:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Ping
Use a ação Ping para testar a conectividade com o VirusTotal.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
Nenhuma.
Saídas de ação
A ação Ping fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Ping pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Failed to connect to the VirusTotal server! Error is
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Pesquisar gráficos de entidades
Use a ação Pesquisar gráficos de entidades para pesquisar gráficos com base nas entidades do VirusTotal.
Essa ação é executada nas seguintes entidades do Google SecOps:
DomainFile HashHostnameIP AddressThreat ActorURLUser
Entradas de ação
A ação Pesquisar gráficos de entidades exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Sort Field |
Opcional. O campo usado para ordenar e sequenciar os gráficos retornados do VirusTotal. Os valores possíveis são:
O valor padrão é |
Max Graphs To Return |
Opcional. O número máximo de gráficos a serem retornados. O valor padrão é |
Saídas de ação
A ação Pesquisar gráficos de entidades fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Pesquisar gráficos de entidades:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
Mensagens de saída
A ação Pesquisar gráficos de entidades pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Search Entity Graphs". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Gráficos de pesquisa
Use a ação Pesquisar gráficos para pesquisar gráficos com base em filtros personalizados no VirusTotal.
Essa ação não é executada em entidades do Google SecOps.
| Parâmetro | Descrição |
|---|---|
Query |
Obrigatório. O filtro de consulta do gráfico. Para mais informações sobre consultas, consulte Como criar consultas e Modificadores relacionados a gráficos. |
Sort Field |
Opcional. O campo usado para ordenar e sequenciar os gráficos retornados do VirusTotal. Os valores possíveis são:
O valor padrão é |
Max Graphs To Return |
Opcional. O número máximo de gráficos a serem retornados. O valor padrão é |
Como criar consultas
Para refinar os resultados da pesquisa de gráficos, crie consultas que contenham modificadores relacionados a gráficos. Para melhorar a pesquisa, combine modificadores com operadores AND, OR e NOT.
Os campos de data e numéricos aceitam sufixos de adição (+) ou subtração (-). Um sufixo "mais" corresponde a valores maiores que o valor fornecido. Um sufixo de subtração corresponde a valores menores que o valor fornecido. Sem um sufixo, a consulta retorna correspondências exatas.
Para definir intervalos, use o mesmo modificador várias vezes em uma consulta. Por exemplo, para pesquisar gráficos criados entre 15/11/2018 e 20/11/2018, use a seguinte consulta:
creation_date:2018-11-15+ creation_date:2018-11-20-
Para datas ou meses que começam com 0, remova o caractere 0 na consulta.
Por exemplo, formate a data 2018-11-01 como 2018-11-1.
Modificadores relacionados a gráficos
A tabela a seguir lista os modificadores que podem ser usados para construir a consulta de pesquisa:
| Modificador | Descrição | Exemplo |
|---|---|---|
Id |
Filtra por identificador de gráfico. | id:g675a2fd4c8834e288af |
Name |
Filtra pelo nome do gráfico. | name:Example-name |
Owner |
Filtra por gráficos de propriedade do usuário. | owner:example_user |
Group |
Filtra por gráficos pertencentes a um grupo. | group:example |
Visible_to_user |
Filtra por gráficos visíveis para o usuário. | visible_to_user:example_user |
Visible_to_group |
Filtra por gráficos visíveis ao grupo. | visible_to_group:example |
Private |
Filtra por gráficos particulares. | private:true, private:false |
Creation_date |
Filtra pela data de criação do gráfico. | creation_date:2018-11-15 |
last_modified_date |
Filtra pela data da última modificação do gráfico. | last_modified_date:2018-11-20 |
Total_nodes |
Filtra por gráficos que contêm um número específico de nós. | total_nodes:100 |
Comments_count |
Filtra pelo número de comentários no gráfico. | comments_count:10+ |
Views_count |
Filtra pelo número de visualizações de gráfico. | views_count:1000+ |
Label |
Filtra por gráficos que contêm nós com um rótulo específico. | label:Kill switch |
File |
Filtra por gráficos que contêm o arquivo específico. | file:131f95c51cc819465fa17 |
Domain |
Filtra por gráficos que contêm o domínio específico. | domain:example.com |
Ip_address |
Filtra por gráficos que contêm o endereço IP específico. | ip_address:203.0.113.1 |
Url |
Filtra por gráficos que contêm o URL específico. | url:https://example.com/example/ |
Actor |
Filtra por gráficos que contêm o ator específico. | actor:example actor |
Victim |
Filtra por gráficos que contêm a vítima específica. | victim:example_user |
Email |
Filtra por gráficos que contêm o endereço de e-mail específico. | email:user@example.com |
Department |
Filtra por gráficos que contêm o departamento específico. | department:engineers |
Saídas de ação
A ação Pesquisar gráficos fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Pesquisar gráficos:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
Mensagens de saída
A ação Pesquisar gráficos pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Search Graphs". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Pesquisar gráficos:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Pesquisar IOCs
Use a ação Pesquisar IOCs para procurar IOCs no conjunto de dados do VirusTotal.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Pesquisar IOCs exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Query |
Obrigatório. A string de consulta usada para filtrar e pesquisar IOCs no conjunto de dados. Para configurar a consulta, siga a sintaxe aplicável à interface do usuário do VirusTotal Intelligence. O valor padrão é |
Create Entities |
Opcional. Se selecionada, a ação cria entidades para os IOCs retornados. Essa ação não enriquece entidades. Essa configuração está desativada por padrão. |
Order By |
Obrigatório. O campo usado para determinar o critério de classificação principal dos resultados retornados. Os tipos de entidade podem ter campos de ordem diferentes. Para mais informações sobre como pesquisar arquivos no VirusTotal, consulte Pesquisa avançada de corpus. Os valores possíveis são:
O valor padrão é |
Sort Order |
Opcional. A ordem de classificação dos resultados. Os valores possíveis são:
Se você selecionar O valor padrão é |
Max IOCs To Return |
Opcional. O número máximo de IoCs a serem retornados. O valor máximo é O valor padrão é |
Saídas de ação
A ação Pesquisar IOCs fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Pesquisar IOCs:
{
"data": [
{
"attributes": {
"type_description": "Email",
"tlsh": "T1B4D31F04BE452B3093E7238E064E6FDBAFCC135F6611F1C60881AAD6C5C77A2E57D689",
"exiftool": {
"MIMEType": "text/plain",
"FileType": "TXT",
"WordCount": "2668",
"LineCount": "1820",
"MIMEEncoding": "us-ascii",
"FileTypeExtension": "txt",
"Newlines": "Windows CRLF"
},
"type_tags": [
"internet",
"email"
],
"threat_severity": {
"threat_severity_level": "SEVERITY_HIGH",
"threat_severity_data": {
"num_gav_detections": 3,
"has_vulnerabilities": true,
"popular_threat_category": "trojan",
"type_tag": "email",
"has_embedded_ips_with_detections": true
},
"last_analysis_date": "1698050597",
"version": 2,
"level_description": "Severity HIGH because it was considered trojan. Other contributing factors were that it has known exploits, it contains embedded IPs with detections and it could not be run in sandboxes."
},
"names": [
"Re Example.eml"
],
"last_modification_date": 1698057197,
"type_tag": "email",
"times_submitted": 1,
"total_votes": {
"harmless": 0,
"malicious": 0
},
"size": 132299,
"popular_threat_classification": {
"suggested_threat_label": "obfsobjdat/malformed",
"popular_threat_name": [
{
"count": 8,
"value": "obfsobjdat"
},
{
"count": 2,
"value": "malformed"
}
]
},
"last_submission_date": 1698049979,
"last_analysis_results": {
"Bkav": {
"category": "undetected",
"engine_name": "Example1",
"engine_version": "2.0.0.1",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
"Lionic": {
"category": "undetected",
"engine_name": "Example2",
"engine_version": "7.5",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
},
"downloadable": true,
"trid": [
{
"file_type": "file seems to be plain text/ASCII",
"probability": 0
}
],
"sha256": "2d9df36964fe2e477e6e0f7a73391e4d4b2eeb0995dd488b431c4abfb4c27dbf",
"type_extension": "eml",
"tags": [
"exploit",
"cve-2018-0802",
"cve-2018-0798",
"email",
"cve-2017-11882"
],
"last_analysis_date": 1698049979,
"unique_sources": 1,
"first_submission_date": 1698049979,
"ssdeep": "768:MedEkBNnx8ueVV+fitChi9KbpK0fixbRwHbcElIK944tCVQOgzdsSuom+cWmsCGY:Meo+fitC0mKuixYxlI1OO1cSPo0gptA",
"md5": "bdfe36052e0c083869505ef4fd77e865",
"sha1": "3a350de97009efe517ceffcea406534bb1ab800c",
"magic": "SMTP mail, ASCII text, with CRLF line terminators",
"last_analysis_stats": {
"harmless": 0,
"type-unsupported": 16,
"suspicious": 0,
"confirmed-timeout": 0,
"timeout": 0,
"failure": 0,
"malicious": 28,
"undetected": 32
},
"meaningful_name": "Re Example.eml",
"reputation": 0
},
"type": "file",
"id": "ID",
"links": {
"self": "URL"
}
},
]
}
Mensagens de saída
A ação Pesquisar IOCs pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Search IOCs". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Pesquisar IOCs:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Enviar arquivo
Use a ação Enviar arquivo para enviar um arquivo e receber resultados do VirusTotal.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Enviar arquivo exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
File Paths |
Obrigatório. Uma lista separada por vírgulas dos caminhos absolutos de arquivos no servidor local ou remoto a serem enviados. Se você configurar |
Engine Threshold |
Opcional. O número mínimo de mecanismos que precisam sinalizar um arquivo como malicioso ou suspeito para que ele seja considerado suspeito. Se você configurar |
Engine Percentage Threshold |
Opcional. A porcentagem mínima (de Se você configurar Se você configurar |
Engine Whitelist |
Opcional. Uma lista separada por vírgulas de nomes de mecanismos que a ação deve considerar ao determinar se um hash é malicioso. O cálculo exclui mecanismos que não fornecem informações de entidade. Se nenhum valor for fornecido, a ação usará todos os mecanismos disponíveis. |
Retrieve Comments |
Opcional. Se selecionada, a ação vai recuperar os comentários associados ao arquivo do VirusTotal. Os comentários não são buscados quando Ativado por padrão. |
Retrieve Sigma Analysis |
Opcional. Se selecionada, a ação vai recuperar os resultados da análise do Sigma para o arquivo. Ativado por padrão. |
Max Comments To Return |
Opcional. O número máximo de comentários que a ação recupera durante cada execução. O valor padrão é |
Linux Server Address |
Opcional. O local da rede (endereço IP ou nome do host) dos arquivos de origem no servidor Linux remoto. |
Linux Username |
Opcional. O nome de usuário de autenticação do servidor Linux remoto. |
Linux Password |
Opcional. A senha de autenticação do servidor Linux remoto. |
Private Submission |
Opcional. Se selecionada, a ação envia o arquivo de forma particular. Para enviar o arquivo de forma particular, é necessário ter acesso ao VirusTotal Premium. Essa configuração está desativada por padrão. |
Fetch MITRE Details |
Opcional. Se selecionada, a ação vai recuperar técnicas e táticas do MITRE ATT&CK relacionadas ao hash. Essa configuração está desativada por padrão. |
Lowest MITRE Technique Severity |
Opcional. O nível mínimo de gravidade para incluir uma técnica do MITRE ATT&CK nos resultados. A ação trata Os valores possíveis são:
O valor padrão é |
Retrieve AI Summary |
Opcional. Se selecionada, a ação vai recuperar um resumo gerado por IA para o arquivo. Essa opção está disponível apenas para envios particulares. Esse parâmetro é experimental. Essa configuração está desativada por padrão. |
Saídas de ação
A ação Enviar arquivo oferece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Disponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Link do Painel de Casos
A ação Enviar arquivo pode retornar os seguintes links:
Nome: Link do relatório: PATH
Valor: URL
Tabela do painel de casos
A ação Enviar arquivo pode fornecer a seguinte tabela para cada arquivo enviado:
Nome da tabela: Resultados: PATH
Colunas da tabela:
- Nome
- Categoria
- Método
- Result
A ação Enviar arquivo pode fornecer a seguinte tabela para cada arquivo enviado que tem comentários:
Nome da tabela: Comentários: PATH
Colunas da tabela:
- Data
- Comentário
- Votos de abuso
- Votos negativos
- Votos positivos
- ID
A ação Enviar arquivo pode fornecer a seguinte tabela para cada entidade que tem os resultados da análise do Sigma:
Nome da tabela: Análise do Sigma: ENTITY_ID
Colunas da tabela:
- ID
- Gravidade
- Origem
- Título
- Descrição
- Contexto da correspondência
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Enviar arquivo:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Mensagens de saída
A ação Enviar arquivo pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Submit File". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Enviar arquivo:
| Nome do resultado do script | Valor |
|---|---|
is_success |
true ou false |
Conectores
Para mais informações sobre como configurar conectores no Google SecOps, consulte Ingerir seus dados (conectores).
Conector Livehunt do VirusTotal
Use o conector do VirusTotal Livehunt para extrair informações sobre as notificações do VirusTotal Livehunt e arquivos relacionados.
Regras do conector
O conector do VirusTotal - Livehunt é compatível com proxies.
Entradas do conector
O Conector do VirusTotal - Livehunt exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
API Key |
Obrigatório. A chave de API do VirusTotal. |
Engine Percentage Threshold To Fetch |
Obrigatório. O limite mínimo de porcentagem de mecanismos de segurança ( O valor padrão é |
Engine Whitelist |
Opcional. Uma lista separada por vírgulas de nomes de mecanismos que a ação deve considerar ao determinar se um hash é malicioso. O cálculo exclui mecanismos que não fornecem informações de entidade. Se nenhum valor for fornecido, a ação usará todos os mecanismos disponíveis. |
Environment Field Name |
Opcional. O nome do campo em que o nome do ambiente é armazenado. Se o campo "environment" estiver ausente, o conector usará o valor padrão. O valor padrão é |
Environment Regex Pattern |
Opcional. Um padrão de expressão regular a ser executado no valor encontrado no campo Use o valor padrão Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final será o ambiente padrão. |
Event Field Name |
Obrigatório. O nome do campo que determina o nome do evento (subtipo). O valor padrão é |
Max Hours Backwards |
Opcional. O número de horas de período de retorno para recuperar alertas. Esse parâmetro pode ser aplicado à iteração inicial do conector depois que você o ativa pela primeira vez ou ao valor de substituição de um carimbo de data/hora expirado do conector. O valor padrão é |
Max Notifications To Fetch |
Opcional. O número máximo de notificações a serem processadas em cada execução do conector. O valor padrão é |
Product Field Name |
Obrigatório. O nome do campo em que o nome do produto é armazenado. O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor padrão é resolvido como um valor substituto referenciado no código. Qualquer entrada inválida para esse parâmetro é resolvida como um valor de substituição por padrão. O valor padrão é |
Proxy Password |
Opcional. A senha para autenticação do servidor proxy. |
Proxy Server Address |
Opcional. O endereço do servidor proxy a ser usado. |
Proxy Username |
Opcional. O nome de usuário para autenticação do servidor proxy. |
PythonProcessTimeout |
Obrigatório. O limite de tempo limite, em segundos, para o processo do Python que executa o script atual. O valor padrão é |
Use dynamic list as a blacklist |
Opcional. Se selecionado, o conector usa a lista dinâmica como uma lista de bloqueio. Essa configuração está desativada por padrão. |
Verify SSL |
Opcional. Se selecionada, a integração valida o certificado SSL ao se conectar ao servidor do VirusTotal. Ativado por padrão. |
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.