此页面由 Cloud Translation API 翻译。

将 VirusTotal v3 与 Google SecOps 集成

本文档介绍了如何将 VirusTotal v3 与 Google Security Operations (Google SecOps) 集成。

集成版本：34.0

此集成使用 VirusTotal API v3。如需详细了解 VirusTotal API v3，请参阅 VirusTotal API v3 概览。

此集成使用一个或多个开源组件。您可以从 Cloud Storage 存储桶下载此集成的完整源代码的压缩副本。

使用场景

VirusTotal v3 集成可帮助您解决以下使用情形：

文件分析：使用 Google SecOps 功能向 VirusTotal 提交文件哈希或文件以进行分析，并从多个杀毒引擎检索扫描结果，以确定提交的项目是否为恶意项目。
网址分析：使用 Google SecOps 功能针对 VirusTotal 数据库运行网址，以识别潜在的恶意网站或钓鱼式攻击网页。
IP 地址分析：使用 Google SecOps 功能调查 IP 地址，并确定其声誉和任何关联的恶意活动。
网域分析：使用 Google SecOps 功能分析网域名称，并确定其声誉和任何关联的恶意活动，例如钓鱼式攻击或恶意软件分发。
回溯狩猎：使用 Google SecOps 功能扫描 VirusTotal 历史数据，以搜索之前被标记为恶意的文件、网址、IP 或网域。
自动丰富数据：利用 Google SecOps 功能自动使用威胁情报来丰富突发事件数据。
钓鱼式攻击调查：使用 Google SecOps 功能分析可疑电子邮件和附件，方法是将它们提交给 VirusTotal 进行分析。
恶意软件分析：使用 Google SecOps 功能将恶意软件样本上传到 VirusTotal 进行动态和静态分析，并深入了解样本的行为和潜在影响。

准备工作

为了正常运行，此集成需要 VirusTotal Premium API。如需详细了解 VirusTotal Premium API，请参阅公共 API 与 Premium API。

在 Google SecOps 中配置 VirusTotal v3 集成之前，请先在 VirusTotal 中配置 API 密钥。

如需配置 API 密钥，请完成以下步骤：

登录 VirusTotal 门户。
在您的用户名下方，点击 API 密钥。
复制生成的 API 密钥，以便在集成参数中使用。
点击保存。

集成参数

VirusTotal v3 集成需要以下参数：

参数说明

参数	说明
`API Key`	必填。 VirusTotal API 密钥。
`Verify SSL`	可选。如果选中此选项，集成会在连接到 VirusTotal 时验证 SSL 证书。此选项将会默认选中。

API Key

必填。

VirusTotal API 密钥。

Verify SSL

可选。

如果选中此选项，集成会在连接到 VirusTotal 时验证 SSL 证书。

此选项将会默认选中。

如需了解如何在 Google SecOps 中配置集成，请参阅配置集成。

如有需要，您可以在稍后阶段进行更改。配置集成实例后，您可以在剧本中使用该实例。如需详细了解如何配置和支持多个实例，请参阅支持多个实例。

操作

如需详细了解操作，请参阅处理“工作台”中的待处理操作和执行手动操作。

向实体添加注释

使用 Add Comment To Entity 操作可向 VirusTotal 中的实体添加评论。

此操作可在以下 Google SecOps 实体上运行：

File Hash
Hostname
IP Address
URL

此操作仅支持 MD5、SHA-1 和 SHA-256 哈希。

操作输入

向实体添加注释操作需要以下参数：

参数说明

参数	说明
`Comment`	必填。要添加到实体的评论。

Comment

必填。

要添加到实体的评论。

操作输出

向实体添加注释操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

JSON 结果

以下示例展示了使用向实体添加注释操作时收到的 JSON 结果输出：

{
   "Status": "Done"
}

{
   "Status": "Not done"
}

输出消息

向实体添加评论操作可以返回以下输出消息：

输出消息消息说明

输出消息	消息说明
`Successfully added comments to the following entities in VirusTotal: ENTITY_ID.` `Action wasn't able to add comments to the following entities in VirusTotal: ENTITY_ID.` `No comments were added to the provided entities in VirusTotal.`	操作成功。
`Error executing action "Add Comment To Entity". Reason: ERROR_REASON`	操作失败。检查与服务器的连接、输入参数或凭据。

Successfully added comments to the following entities in VirusTotal: ENTITY_ID.

Action wasn't able to add comments to the following entities in VirusTotal: ENTITY_ID.

No comments were added to the provided entities in VirusTotal.

操作成功。

Error executing action "Add Comment To Entity". Reason:
      ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用 Add Comment To Entity 操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

向实体添加投票

使用 Add Vote To Entity 操作可向 VirusTotal 中的实体添加投票。

此操作可在以下 Google SecOps 实体上运行：

File Hash
Hostname
IP Address
URL

此操作仅支持 MD5、SHA-1 和 SHA-256 哈希。

操作输入

向实体添加投票操作需要以下参数：

参数说明

参数	说明
`Vote`	必填。要添加到实体的投票。可能的值如下： `Harmless` `Malicious`

Vote

必填。

要添加到实体的投票。

可能的值如下：

Harmless
Malicious

操作输出

向实体添加投票操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

JSON 结果

以下示例展示了使用向实体添加投票操作时收到的 JSON 结果输出：

{
   "Status": "Done"
}

{
   "Status": "Not done"
}

输出消息

Add Vote To Entity 操作可以返回以下输出消息：

输出消息消息说明

输出消息	消息说明
`Successfully added votes to the following entities in VirusTotal: ENTITY_ID.` `Action wasn't able to add votess to the following entities in VirusTotal: ENTITY_ID.` `No votes were added to the provided entities in VirusTotal.`	操作成功。
`Error executing action "Add Vote To Entity". Reason: ERROR_REASON`	操作失败。检查与服务器的连接、输入参数或凭据。

Successfully added votes to the following entities in VirusTotal: ENTITY_ID.

Action wasn't able to add votess to the following entities in VirusTotal: ENTITY_ID.

No votes were added to the provided entities in VirusTotal.

操作成功。

Error executing action "Add Vote To Entity". Reason:
      ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用 Add Vote To Entity 操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

下载文件

使用下载文件操作从 VirusTotal 下载文件。

如需运行下载文件操作，您必须拥有 VirusTotal Enterprise (VTE) 账号。

此操作在 Google SecOps Hash 实体上运行。

此操作仅支持 MD5、SHA-1 和 SHA-256 哈希。

操作输入

下载文件操作需要以下参数：

参数说明

参数	说明
`Download Folder Path`	必填。用于存储下载文件的文件夹的路径。
`Overwrite`	可选。如果选择此操作，则当文件名相同时，该操作会使用新文件覆盖现有文件。此选项将会默认选中。

Download Folder Path

必填。

用于存储下载文件的文件夹的路径。

Overwrite

可选。

如果选择此操作，则当文件名相同时，该操作会使用新文件覆盖现有文件。

此选项将会默认选中。

操作输出

下载文件操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

JSON 结果

以下示例展示了使用下载文件操作时收到的 JSON 结果输出：

{
    "absolute_file_paths": ["file_path_1","file_path_2"]
}

输出消息

下载文件操作可以返回以下输出消息：

输出消息消息说明

输出消息	消息说明
`Successfully returned related files for the following entities in VirusTotal: ENTITY_ID.` `No related files were found for the following entities in VirusTotal: ENTITY_ID.` `No related files were found for the provided entities in VirusTotal.`	操作成功。
`Error executing action "Download File". Reason: ERROR_REASON`	操作失败。检查与服务器的连接、输入参数或凭据。

Successfully returned related files for the following entities in VirusTotal: ENTITY_ID.

No related files were found for the following entities in VirusTotal: ENTITY_ID.

No related files were found for the provided entities in VirusTotal.

操作成功。

Error executing action "Download File". Reason:
      ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

丰富哈希

使用 Enrich Hash 操作通过 VirusTotal 中的信息来丰富哈希。

此操作在 Google SecOps Hash 实体上运行。

此操作仅支持 MD5、SHA-1 和 SHA-256 哈希。

操作输入

丰富哈希操作需要以下参数：

参数	说明
`Engine Threshold`	可选。必须将实体归类为恶意或可疑的引擎数量下限，才能将该实体视为可疑实体。如果您配置了 `Engine Whitelist`，则该操作只会统计指定搜索引擎的结果。
`Engine Percentage Threshold`	可选。将实体标记为恶意或可疑的引擎的最低百分比，以将实体视为可疑。如果您配置了 `Engine Whitelist`，则该操作只会统计指定搜索引擎的结果。如果您同时配置了 `Engine Threshold` 和 `Engine Percentage Threshold` 参数，操作会使用 `Engine Threshold` 参数值。此参数的有效值介于 `0` 到 `100` 之间（含边界值）。
`Engine Whitelist`	可选。一个逗号分隔的引擎名称列表，用于指定在确定哈希是否为恶意哈希时要考虑的引擎。如果您未设置值，则操作会使用所有可用的引擎。阈值计算不包括不提供实体信息的引擎。
`Resubmit Hash`	可选。如果选择此项，操作会重新提交哈希进行分析，而不是使用现有结果。默认情况下未选中。
`Resubmit After (Days)`	可选。在最新分析后重新提交哈希的天数。此参数仅在您选择 `Resubmit Hash` 参数时适用。默认值为 `30`。
`Retrieve Comments`	可选。如果选中，该操作会检索与哈希关联的评论。此选项将会默认选中。
`Retrieve Sigma Analysis`	可选。如果选中，该操作会检索相应哈希的 Sigma 分析结果。此选项将会默认选中。
`Sandbox`	可选。用于行为分析的沙盒环境的英文逗号分隔列表。如果您未设置值，该操作会使用默认值。默认值为 `VirusTotal Jujubox`。
`Retrieve Sandbox Analysis`	可选。如果选中，该操作会检索相应哈希的沙盒分析结果，并在 JSON 输出中为每个指定的沙盒创建一个单独的部分。此选项将会默认选中。
`Create Insight`	可选。如果选中，该操作会创建一个包含有关所分析哈希的信息的洞见。此选项将会默认选中。
`Only Suspicious Entity Insight`	可选。如果选择此项，该操作将仅针对根据阈值参数被视为可疑的哈希生成数据洞见。仅当您选择 `Create Insight` 参数时，此参数才适用。默认情况下未选中。
`Max Comments To Return`	可选。每次操作运行要检索的评论数量上限。默认值为 `10`。
`Widget Theme`	可选。要用于 VirusTotal widget 的主题。默认值为 `Dark`。可能的值如下： `Light` `Dark` `Chronicle`
`Fetch Widget`	可选。如果选中，该操作会检索与哈希相关联的增强型 widget。此选项将会默认选中。
`Fetch MITRE Details`	可选。如果选择此项，该操作会检索与哈希相关联的 MITRE ATT&CK 技术和策略。默认情况下未选中。
`Lowest MITRE Technique Severity`	可选。要纳入结果中的 MITRE ATT&CK 技术的最低严重程度。该操作将 `Unknown` 严重程度视为 `Info`。可能的值如下： `High` `Medium` `Low` `Info` 默认值为 `Low`。

操作输出

丰富哈希操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	可用
“支持请求墙”表格	可用
实体丰富化表	可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

案例墙链接

丰富哈希操作可为每个丰富实体提供以下链接：

名称：报告链接

值：URL

“支持请求墙”表格

丰富哈希操作可为每个丰富实体提供以下表格：

表格名称：ENTITY_ID

表列：

名称
类别
方法
结果

丰富哈希操作可以为每个有评论的实体提供下表：

表格名称：Comments：ENTITY_ID

表列：

日期
备注
滥用投票
差评
好评
ID

丰富哈希操作可以为具有 Sigma 分析结果的每个实体提供以下表格：

表格名称：Sigma 分析：ENTITY_ID

表列：

ID
严重级别
来源
Title
说明
比赛背景

实体丰富化表

下表列出了使用 Enrich Hash 操作丰富后的字段：

扩充项字段名称	适用性
`VT3_id`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_magic`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_md5`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_sha1`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_sha256`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_ssdeep`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_tlsh`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_vhash`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_meaningful_name`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_magic`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_harmless_count`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_malicious_count`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_suspicious_count`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_undetected_count`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_reputation`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_tags`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_malicious_vote_count`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_harmless_vote_count`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_report_link`	如果 JSON 结果中包含此信息，则应用此设置。

JSON 结果

以下示例展示了使用丰富哈希操作时收到的 JSON 结果输出：

{
    "data": {
        "attributes": {
            "categories": {
                "Dr.Web": "known infection source/not recommended site",
                "Forcepoint ThreatSeeker": "compromised websites",
                "sophos": "malware repository, spyware and malware"
            },
            "first_submission_date": 1582300443,
            "html_meta": {},
            "last_analysis_date": 1599853405,
            "last_analysis_results": {
                "EXAMPLELabs": {
                    "category": "harmless",
                    "engine_name": "EXAMPLELabs",
                    "method": "blacklist",
                    "result": "clean"
                },
                "Example": {
                    "category": "harmless",
                    "engine_name": "Example",
                    "method": "blacklist",
                    "result": "clean"
                },
            },
            "last_analysis_stats": {
                "harmless": 64,
                "malicious": 6,
                "suspicious": 1,
                "timeout": 0,
                "undetected": 8
            },
            "last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
            "last_http_response_code": 404,
            "last_http_response_content_length": 204,
            "last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
            "last_http_response_headers": {
                "connection": "keep-alive",
                "content-length": "204",
                "content-type": "text/html; charset=iso-8859-1",
                "date": "Fri, 11 Sep 2020 19:51:50 GMT",
                "keep-alive": "timeout=60",
                "server": "nginx"
            },
            "last_modification_date": 1599853921,
            "last_submission_date": 1599853405,
            "reputation": 0,
            "tags": [
                "ip"
            ],
            "targeted_brand": {},
            "threat_names": [
                "Mal/HTMLGen-A"
            ],
            "times_submitted": 3,
            "title": "404 Not Found",
            "total_votes": {
                "harmless": 0,
                "malicious": 0
            },
            "trackers": {},
            "url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
        },
        "id": "ID",
        "links": {
            "self": "https://www.virustotal.com/api/v3/urls/ID"
        },
        "type": "url",
        "comments": [
"text": "attributes/text",
"date": "attributes/date"
]
    }
    "is_risky": true

"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}]
}

输出消息

丰富哈希操作可以返回以下输出消息：

输出消息消息说明

输出消息	消息说明
`Successfully enriched the following hashes using VirusTotal: ENTITY_IDS.` `Action wasn't able to enrich the following hashes using VirusTotal: ENTITY_IDS.` `No hashes were enriched.` `The following whitelisted engines were not found in VirusTotal: ENGINE_NAMES.`	操作成功。
`Error executing action "Enrich Hash". Reason: ERROR_REASON`	操作失败。检查与服务器的连接、输入参数或凭据。

Successfully enriched the following hashes using VirusTotal: ENTITY_IDS.

Action wasn't able to enrich the following hashes using VirusTotal: ENTITY_IDS.

No hashes were enriched.

The following whitelisted engines were not found in VirusTotal: ENGINE_NAMES.

操作成功。

Error executing action "Enrich Hash". Reason:
      ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用 Enrich Hash 操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

丰富 IOC

使用 Enrich IOC 操作可使用 VirusTotal 中的信息来丰富入侵指标 (IoC)。

此操作不适用于 Google SecOps 实体。

操作输入

丰富 IOC 操作需要以下参数：

参数	说明
`IOC Type`	可选。要丰富化的 IOC 的类型。默认值为 `Filehash`。可能的值如下： `Filehash` `URL` `Domain` `IP Address`
`IOCs`	必填。要扩充的 IOC 的英文逗号分隔列表。
`Widget Theme`	可选。要用于 widget 的主题。默认值为 `Dark`。可能的值如下： `Light` `Dark` `Chronicle`
`Fetch Widget`	可选。如果选中，该操作会检索 IOC 的 widget。此选项将会默认选中。

操作输出

丰富 IOC 操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	可用
“支持请求墙”表格	可用
丰富化表	不可用
JSON 结果	不可用
输出消息	可用
脚本结果	可用

案例墙链接

丰富 IOC 操作可为每个丰富实体提供以下链接：

名称：报告链接

值：URL

“支持请求墙”表格

丰富 IOC 操作可为每个丰富实体提供下表：

表格名称：IOC_ID

表列：

名称
类别
方法
结果

JSON 结果

以下示例展示了使用丰富 IOC 操作时收到的 JSON 结果输出：

{
    "ioc": {
        "identifier": "203.0.113.1",
        "details": {
            "attributes": {
                "categories": {
                    "Dr.Web": "known infection source/not recommended site",
                    "Forcepoint ThreatSeeker": "compromised websites",
                    "sophos": "malware repository, spyware and malware"
                },
                "first_submission_date": 1582300443,
                "html_meta": {},
                "last_analysis_date": 1599853405,
                "last_analysis_results": {
                    "EXAMPLELabs": {
                        "category": "harmless",
                        "engine_name": "EXAMPLELabs",
                        "method": "blacklist",
                        "result": "clean"
                    },
                    "Example": {
                        "category": "harmless",
                        "engine_name": "Example",
                        "method": "blacklist",
                        "result": "clean"
                    }
                },
                "last_analysis_stats": {
                    "harmless": 64,
                    "malicious": 6,
                    "suspicious": 1,
                    "timeout": 0,
                    "undetected": 8
                },
                "last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
                "last_http_response_code": 404,
                "last_http_response_content_length": 204,
                "last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
                "last_http_response_headers": {
                    "connection": "keep-alive",
                    "content-length": "204",
                    "content-type": "text/html; charset=iso-8859-1",
                    "date": "Fri, 11 Sep 2020 19:51:50 GMT",
                    "keep-alive": "timeout=60",
                    "server": "nginx"
                },
                "last_modification_date": 1599853921,
                "last_submission_date": 1599853405,
                "reputation": 0,
                "tags": [
                    "ip"
                ],
                "targeted_brand": {},
                "threat_names": [
                    "Mal/HTMLGen-A"
                ],
                "times_submitted": 3,
                "title": "404 Not Found",
                "total_votes": {
                    "harmless": 0,
                    "malicious": 0
                },
                "trackers": {},
                "url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
            },
            "id": "ID",
            "links": {
                "self": "https://www.virustotal.com/api/v3/urls/ID"
            },
            "type": "url",
        "report_link": "{generated report link}",
            "widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
        }
    }
}

输出消息

Ping 操作可以返回以下输出消息：

输出消息消息说明

输出消息	消息说明
`Successfully enriched the following IOCs using VirusTotal: IOC_LIST` `No information found for the following IOCs using VirusTotal: IOC_LIST` `No information about IOCs were found`	操作成功。
`Error executing action "Enrich IOC". Reason: ERROR_REASON`	操作失败。检查与服务器的连接、输入参数或凭据。

Successfully enriched the following IOCs using VirusTotal: IOC_LIST

No information found for the following IOCs using VirusTotal: IOC_LIST

No information about IOCs were found

操作成功。

Error executing action "Enrich IOC". Reason:
      ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用 Enrich IOC 操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

丰富 IP

使用 Enrich IP 操作，通过 VirusTotal 中的信息来丰富 IP 地址。

此操作在 Google SecOps IP Address 实体上运行。

操作输入

丰富 IP 操作需要以下参数：

参数	说明
`Engine Threshold`	可选。必须将实体归类为恶意或可疑的引擎数量下限，才能将该实体视为可疑实体。如果您配置了 `Engine Whitelist`，则该操作只会统计指定搜索引擎的结果。
`Engine Percentage Threshold`	可选。必须将实体归类为恶意或可疑的引擎的最低百分比，才能将该实体视为可疑实体。如果您配置了 `Engine Whitelist` 参数，则该操作只会统计指定搜索引擎的结果。如果您同时配置了 `Engine Threshold` 和 `Engine Percentage Threshold` 参数，操作会使用 `Engine Threshold` 参数值。此参数的有效值介于 `0` 到 `100` 之间（含边界值）。
`Engine Whitelist`	可选。一个逗号分隔的引擎名称列表，用于指定在确定哈希是否为恶意哈希时要考虑的引擎。如果您未设置值，则操作会使用所有可用的引擎。阈值计算不包括不提供实体信息的引擎。
`Retrieve Comments`	可选。如果选中，该操作会检索与哈希关联的评论。此选项将会默认选中。
`Create Insight`	可选。如果选中，该操作会创建一个包含有关所分析哈希的信息的洞见。此选项将会默认选中。
`Only Suspicious Entity Insight`	可选。如果选择此项，该操作将仅针对根据阈值参数被视为可疑的哈希生成数据洞见。仅当您选择 `Create Insight` 参数时，此参数才适用。默认情况下未选中。
`Max Comments To Return`	可选。每次操作运行要检索的评论数量上限。默认值为 `10`。
`Widget Theme`	可选。要用于 VirusTotal widget 的主题。默认值为 `Dark`。可能的值如下： `Light` `Dark` `Chronicle`
`Fetch Widget`	可选。如果选中，该操作会检索与哈希相关联的增强型 widget。此选项将会默认选中。

操作输出

丰富 IP 操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	可用
“支持请求墙”表格	可用
实体丰富化表	可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

案例墙链接

丰富 IP 操作可为每个丰富实体提供以下链接：

名称：报告链接

值：URL

“支持请求墙”表格

丰富 IP 操作可为每个丰富后的实体提供下表：

表格名称：ENTITY_ID

表列：

名称
类别
方法
结果

丰富 IP 操作可以为有评论的每个实体提供下表：

表格名称：Comments：ENTITY_ID

表列：

日期
备注
滥用投票
差评
好评
ID

实体丰富化表

下表列出了使用 Enrich IP 操作丰富后的字段：

扩充项字段名称	适用性
`VT3_id`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_owner`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_asn`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_continent`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_country`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_harmless_count`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_malicious_count`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_suspicious_count`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_undetected_count`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_certificate_valid_not_after`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_certificate_valid_not_before`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_reputation`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_tags`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_malicious_vote_count`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_harmless_vote_count`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_report_link`	如果 JSON 结果中包含此信息，则应用此设置。

JSON 结果

以下示例显示了使用丰富 IP 操作时收到的 JSON 结果输出：

{
    "data": {
        "attributes": {
            "as_owner": "Example",
            "asn": 50673,
            "continent": "EU",
            "country": "NL",
            "last_analysis_results": {
                "EXAMPLELabs": {
                    "category": "harmless",
                    "engine_name": "ExampleLabs",
                    "method": "blacklist",
                    "result": "clean"
                },
                "example.com URL checker": {
                    "category": "harmless",
                    "engine_name": "example.com URL checker",
                    "method": "blacklist",
                    "result": "clean"
                },
                "example": {
                    "category": "harmless",
                    "engine_name": "example",
                    "method": "blacklist",
                    "result": "clean"
                },
                "example": {
                    "category": "harmless",
                    "engine_name": "example",
                    "method": "blacklist",
                    "result": "clean"
                }
            },
            "last_analysis_stats": {
                "harmless": 81,
                "malicious": 5,
                "suspicious": 1,
                "timeout": 0,
                "undetected": 8
            },
            "last_https_certificate": {
                "cert_signature": {
                    "signature": "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",
                    "signature_algorithm": "sha256RSA"
                },
                "extensions": {
                    "1.3.6.1.4.1.11129.2.4.2": "0481f200f00075007d3ef2f88fff88556824c2c0ca9e5289792bc50e78097f2e",
                    "CA": true,
                    "authority_key_identifier": {
                        "keyid": "KEY_ID"
                    },
                    "ca_information_access": {
                        "CA Issuers": "http://example.RSADomainValidationSecureServerCA.crt",
                        "OCSP": "http://example.com"
                    },
                    "certificate_policies": [
                        "1.3.6.1.4.1.6449.1.2.2.7",
                        "2.23.140.1.2.1"
                    ],
                    "extended_key_usage": [
                        "serverAuth",
                        "clientAuth"
                    ],
                    "key_usage": [
                        "ff"
                    ],
                    "subject_alternative_name": [
                        "example-panel.xyz",
                        "www.example-panel.xyz"
                    ],
                    "subject_key_identifier": "4f6429eaccd761eca91d9120b004f9d962453fef",
                    "tags": []
                },
                "issuer": {
                    "C": "US",
                    "CN": "Example RSA Domain Validation Secure Server CA",
                    "L": "Mountain View",
                    "O": "Example Ltd.",
                },
                "public_key": {
                    "algorithm": "RSA",
                    "rsa": {
                        "exponent": "010001",
                        "key_size": 2048,
                        "modulus": "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"
                    }
                },
                "serial_number": "248562d360bcc919bb97883f0dfc609d",
                "signature_algorithm": "sha256RSA",
                "size": 1472,
                "subject": {
                    "CN": "example-panel.xyz"
                },
                "tags": [],
                "thumbprint": "f9aae62cc9262302e45d94fcc512d65529ea1b31",
                "thumbprint_sha256": "406ac0efb0ef67de743b1ab0f4e0352564a7d5ebbd71e3a883c067acc3563016",
                "validity": {
                    "not_after": "2021-08-06 23:59:59",
                    "not_before": "2020-08-06 00:00:00"
                },
                "version": "V3"
            },
            "last_https_certificate_date": 1605415789,
            "last_modification_date": 1605430702,
            "network": "203.0.113.0/24",
            "regional_internet_registry": "EXAMPLE",
            "reputation": -95,
            "tags": [],
            "total_votes": {
                "harmless": 0,
                "malicious": 10
            },
            "whois": "NetRange: 203.0.113.0 - 203.0.113.255\nCIDR: 203.0.113.0/24\nNetName: EXAMPLE-5\nNetHandle: NET-203-0-113-0-1\nParent: ()\nNetType: Allocated to EXAMPLE\nOrig",
            "whois_date": 1603912270
        },
        "id": "203.0.113.1",
        "links": {
            "self": "https://www.virustotal.com/api/v3/ip_addresses/203.0.113.1"
        },
        "type": "ip_address"
        "comments": [
"text": "attributes/text",
"date": "attributes/date"
]
    }
    "is_risky": true
}

输出消息

丰富 IP 操作可以返回以下输出消息：

输出消息消息说明

输出消息	消息说明
`Successfully enriched the following IPs using VirusTotal: ENTITY_ID` `Action wasn't able to enrich the following IPs using VirusTotal: ENTITY_ID` `No IPs were enriched.` `The following whitelisted engines were not found in VirusTotal: ENGINE_NAMES`	操作成功。
`Error executing action "Enrich IP". Reason: ERROR_REASON`	操作失败。检查与服务器的连接、输入参数或凭据。

Successfully enriched the following IPs using VirusTotal: ENTITY_ID

Action wasn't able to enrich the following IPs using VirusTotal: ENTITY_ID

No IPs were enriched.

The following whitelisted engines were not found in VirusTotal: ENGINE_NAMES

操作成功。

Error executing action "Enrich IP". Reason:
      ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用丰富 IP 操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

丰富网址

使用 Enrich 网址 操作可使用 VirusTotal 中的信息来丰富网址。

此操作在 Google SecOps URL 实体上运行。

操作输入

丰富网址操作需要以下参数：

参数	说明
`Engine Threshold`	可选。必须将网址归类为恶意或可疑的引擎的最低数量，才能将该网址视为可疑网址。如果您配置了 `Engine Whitelist`，则该操作只会统计指定搜索引擎的结果。
`Engine Percentage Threshold`	可选。必须将相应网址归类为恶意或可疑的引擎的最低百分比，才能将该网址视为可疑网址。如果您配置了 `Engine Whitelist` 参数，则该操作只会统计指定搜索引擎的结果。如果您同时配置了 `Engine Threshold` 和 `Engine Percentage Threshold` 参数，操作会使用 `Engine Threshold` 参数值。此参数的有效值介于 `0` 到 `100` 之间（含边界值）。
`Engine Whitelist`	可选。一个逗号分隔的引擎名称列表，用于指定在确定哈希是否为恶意哈希时要考虑的引擎。
`Resubmit URL`	可选。如果选择此项，该操作会重新提交网址以供分析，而不是使用现有结果。默认情况下未选中。
`Resubmit After (Days)`	可选。在最新分析后重新提交网址的天数。此参数仅在您选择 `Resubmit URL` 参数时适用。默认值为 `30`。
`Retrieve Comments`	可选。如果选择此操作，则会检索与网址相关联的评论。此选项将会默认选中。
`Create Insight`	可选。如果选择此操作，系统会创建一个包含分析网址相关信息的分析。此选项将会默认选中。
`Only Suspicious Entity Insight`	可选。如果选择此操作，系统只会针对根据阈值参数判定为可疑的网址生成数据洞见。仅当您选择 `Create Insight` 参数时，此参数才适用。默认情况下未选中。
`Max Comments To Return`	可选。每次操作运行要检索的评论数量上限。默认值为 `10`。
`Widget Theme`	可选。要用于 VirusTotal widget 的主题。默认值为 `Dark`。可能的值如下： `Light` `Dark` `Chronicle`
`Fetch Widget`	可选。如果选中，该操作会检索与哈希相关联的增强型 widget。此选项将会默认选中。

操作输出

丰富网址操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	可用
“支持请求墙”表格	可用
实体丰富化表	可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

案例墙链接

丰富网址操作可为每个丰富实体提供以下链接：

名称：报告链接

值：URL

“支持请求墙”表格

丰富网址操作可为每个丰富实体提供下表：

表格名称：ENTITY_ID

表列：

名称
类别
方法
结果

丰富网址操作可以为有评论的每个实体提供下表：

表格名称：Comments：ENTITY_ID

表列：

日期
备注
滥用投票
差评
好评
ID

实体丰富化表

下表列出了使用丰富网址操作丰富后的字段：

扩充项字段名称	适用性
`VT3_id`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_title`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_last_http_response_code`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_last_http_response_content_length`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_threat_names`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_harmless_count`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_malicious_count`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_suspicious_count`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_undetected_count`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_reputation`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_tags`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_malicious_vote_count`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_harmless_vote_count`	如果 JSON 结果中包含此信息，则应用此设置。
`VT3_report_link`	如果 JSON 结果中包含此信息，则应用此设置。

JSON 结果

以下示例展示了使用 Enrich 网址 操作时收到的 JSON 结果输出：

{
    "data": {
        "attributes": {
            "categories": {
                "Dr.Web": "known infection source/not recommended site",
                "Forcepoint ThreatSeeker": "compromised websites",
                "sophos": "malware repository, spyware and malware"
            },
            "first_submission_date": 1582300443,
            "html_meta": {},
            "last_analysis_date": 1599853405,
            "last_analysis_results": {
                "AEXAMPLELabs": {
                    "category": "harmless",
                    "engine_name": "EXAMPLELabs",
                    "method": "blacklist",
                    "result": "clean"
                },
                "Example": {
                    "category": "harmless",
                    "engine_name": "Example",
                    "method": "blacklist",
                    "result": "clean"
                },
            },
            "last_analysis_stats": {
                "harmless": 64,
                "malicious": 6,
                "suspicious": 1,
                "timeout": 0,
                "undetected": 8
            },
            "last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
            "last_http_response_code": 404,
            "last_http_response_content_length": 204,
            "last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
            "last_http_response_headers": {
                "connection": "keep-alive",
                "content-length": "204",
                "content-type": "text/html; charset=iso-8859-1",
                "date": "Fri, 11 Sep 2020 19:51:50 GMT",
                "keep-alive": "timeout=60",
                "server": "nginx"
            },
            "last_modification_date": 1599853921,
            "last_submission_date": 1599853405,
            "reputation": 0,
            "tags": [
                "ip"
            ],
            "targeted_brand": {},
            "threat_names": [
                "Mal/HTMLGen-A"
            ],
            "times_submitted": 3,
            "title": "404 Not Found",
            "total_votes": {
                "harmless": 0,
                "malicious": 0
            },
            "trackers": {},
            "url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
        },
        "id": "ID",
        "links": {
            "self": "https://www.virustotal.com/api/v3/urls/ID"
        },
        "type": "url",
        "comments": [
"text": "attributes/text",
"date": "attributes/date"
]
    }
    "is_risky": true
}

输出消息

丰富网址操作可以返回以下输出消息：

输出消息消息说明

输出消息	消息说明
`Successfully enriched the following URLs using VirusTotal: ENTITY_ID` `Action wasn't able to enrich the following URLs using VirusTotal: ENTITY_ID` `No URLs were enriched.` `The following whitelisted engines were not found in VirusTotal: ENGINE_NAMES` `Waiting for action to retrieve results for the following URLs: URLS`	操作成功。
`Error executing action "Enrich URL". Reason: ERROR_REASON`	操作失败。检查与服务器的连接、输入参数或凭据。

Successfully enriched the following URLs using VirusTotal: ENTITY_ID

Action wasn't able to enrich the following URLs using VirusTotal: ENTITY_ID

No URLs were enriched.

The following whitelisted engines were not found in VirusTotal: ENGINE_NAMES

Waiting for action to retrieve results for the following URLs: URLS

操作成功。

Error executing action "Enrich URL". Reason:
      ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用丰富网址操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

获取网域详细信息

使用 Get Domain Details 操作可使用 VirusTotal 中的信息检索有关网域的详细信息。

此操作可在以下 Google SecOps 实体上运行：

URL
Hostname

操作输入

获取网域详细信息操作需要以下参数：

参数	说明
`Engine Threshold`	可选。必须将网域归类为恶意或可疑的引擎数量下限，才能将该网域视为可疑网域。
`Engine Percentage Threshold`	可选。必须将网域归类为恶意或可疑的引擎的最低百分比，才能将该网域视为可疑网域。
`Engine Whitelist`	可选。评估网域风险时要考虑的引擎名称的英文逗号分隔列表。
`Retrieve Comments`	可选。如果选中，该操作会从 VirusTotal 检索与网域关联的评论。此选项将会默认选中。
`Create Insight`	可选。如果选择此项，该操作会创建包含网域相关信息的分析洞见。此选项将会默认选中。
`Only Suspicious Entity Insight`	可选。如果选择此项，该操作将仅针对根据阈值参数被视为可疑的实体生成数据洞见。默认情况下未选中。
`Max Comments To Return`	可选。每次操作运行中要检索的网域评论数量上限。默认值为 `10`。
`Widget Theme`	可选。要用于 VirusTotal widget 的主题。默认值为 `Dark`。可能的值如下： `Light` `Dark` `Chronicle`
`Fetch Widget`	可选。如果选择此操作，则会检索并显示相应网域的 VirusTotal widget。此选项将会默认选中。

操作输出

获取网域详细信息操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	可用
“支持请求墙”表格	可用
丰富化表	不可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

案例墙链接

获取网域详细信息操作可为每个富化实体提供以下链接：

名称：报告链接

值：URL

“支持请求墙”表格

获取网域详细信息操作可为每个富化实体提供下表：

表格名称：ENTITY_ID

表列：

名称
类别
方法
结果

获取网域详细信息操作可为包含注释的每个实体提供下表：

表格名称：Comments：ENTITY_ID

表列：

日期
备注
滥用投票
差评
好评
ID

JSON 结果

以下示例展示了使用获取网域详细信息操作时收到的 JSON 结果输出：

{
    "data": {
        "attributes": {
            "categories": {
                "Dr.Web": "known infection source/not recommended site",
                "Forcepoint ThreatSeeker": "compromised websites",
                "sophos": "malware repository, spyware and malware"
            },
            "first_submission_date": 1582300443,
            "html_meta": {},
            "last_analysis_date": 1599853405,
            "last_analysis_results": {
                "EXAMPLELabs": {
                    "category": "harmless",
                    "engine_name": "EXAMPLELabs",
                    "method": "blacklist",
                    "result": "clean"
                },
                "Example": {
                    "category": "harmless",
                    "engine_name": "Example",
                    "method": "blacklist",
                    "result": "clean"
                },
            },
            "last_analysis_stats": {
                "harmless": 64,
                "malicious": 6,
                "suspicious": 1,
                "timeout": 0,
                "undetected": 8
            },
            "last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
            "last_http_response_code": 404,
            "last_http_response_content_length": 204,
            "last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
            "last_http_response_headers": {
                "connection": "keep-alive",
                "content-length": "204",
                "content-type": "text/html; charset=iso-8859-1",
                "date": "Fri, 11 Sep 2020 19:51:50 GMT",
                "keep-alive": "timeout=60",
                "server": "nginx"
            },
            "last_modification_date": 1599853921,
            "last_submission_date": 1599853405,
            "reputation": 0,
            "tags": [
                "ip"
            ],
            "targeted_brand": {},
            "threat_names": [
                "Mal/HTMLGen-A"
            ],
            "times_submitted": 3,
            "title": "404 Not Found",
            "total_votes": {
                "harmless": 0,
                "malicious": 0
            },
            "trackers": {},
            "url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
        },
        "id": "ID",
        "links": {
            "self": "https://www.virustotal.com/api/v3/urls/ID"
        },
        "type": "url",
        "comments": [
"text": "attributes/text",
"date": "attributes/date"
]
    }
    "is_risky": true
}

输出消息

获取网域详细信息操作可以返回以下输出消息：

输出消息消息说明

输出消息	消息说明
`Successfully returned details about the following domains using VirusTotal: DOMAINS` `Action wasn't able to return details about the following domains using VirusTotal: DOMAINS` `The following whitelisted engines were not found in VirusTotal: ENGINE_NAMES`	操作成功。
`Error executing action "Get Domain Details". Reason: ERROR_REASON`	操作失败。检查与服务器的连接、输入参数或凭据。

Successfully returned details about the following domains using VirusTotal: DOMAINS

Action wasn't able to return details about the following domains using VirusTotal: DOMAINS

The following whitelisted engines were not found in VirusTotal: ENGINE_NAMES

操作成功。

Error executing action "Get Domain Details". Reason:
      ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用获取网域详细信息操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

获取图表详细信息

使用 Get Graph Details 操作可获取有关 VirusTotal 中图表的详细信息。

此操作不适用于 Google SecOps 实体。

操作输入

获取图表详细信息操作需要以下参数：

参数说明

参数	说明
`Graph ID`	必填。要检索详细信息的图 ID 的英文逗号分隔列表。
`Max Links To Return`	可选。每个图要返回的链接数量上限。默认值为 `50`。

Graph ID

必填。

要检索详细信息的图 ID 的英文逗号分隔列表。

Max Links To Return

可选。

每个图要返回的链接数量上限。

默认值为 50。

操作输出

获取图表详细信息操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	可用
丰富化表	不可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

“支持请求墙”表格

获取图表详细信息操作可为每个富化实体提供下表：

表格名称：Graph ENTITY_ID Links

表列：

来源
目标
连接类型

JSON 结果

以下示例展示了使用 Get Graph Details 操作时收到的 JSON 结果输出：

{
    "data": {
        "attributes": {
            "comments_count": 0,
            "creation_date": 1603219837,
            "graph_data": {
                "description": "Example LLC",
                "version": "api-5.0.0"
            },
            "last_modified_date": 1603219837,
            "links": [
                {
                    "connection_type": "last_serving_ip_address",
                    "source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
                    "target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
                },
                {
                    "connection_type": "last_serving_ip_address",
                    "source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
                    "target": "203.0.113.3"
                },
                {
                    "connection_type": "network_location",
                    "source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
                    "target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
                },
                {
                    "connection_type": "network_location",
                    "source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
                    "target": "203.0.113.3"
                },
                {
                    "connection_type": "communicating_files",
                    "source": "203.0.113.3",
                    "target": "relationships_communicating_files_20301133"
                },
                {
                    "connection_type": "communicating_files",
                    "source": "relationships_communicating_files_20301133",
                    "target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
                },
                {
                    "connection_type": "communicating_files",
                    "source": "relationships_communicating_files_20301133",
                    "target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
                },
                {
                    "connection_type": "communicating_files",
                    "source": "relationships_communicating_files_20301133",
                    "target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
                },
                {
                    "connection_type": "communicating_files",
                    "source": "relationships_communicating_files_20301133",
                    "target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
                },
                {
                    "connection_type": "communicating_files",
                    "source": "relationships_communicating_files_20301133",
                    "target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
                },
                {
                    "connection_type": "communicating_files",
                    "source": "relationships_communicating_files_20301133",
                    "target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
                },
                {
                    "connection_type": "communicating_files",
                    "source": "relationships_communicating_files_20301133",
                    "target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
                },
                {
                    "connection_type": "communicating_files",
                    "source": "relationships_communicating_files_20301133",
                    "target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
                },
                {
                    "connection_type": "communicating_files",
                    "source": "relationships_communicating_files_20301133",
                    "target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
                },
                {
                    "connection_type": "communicating_files",
                    "source": "relationships_communicating_files_20301133",
                    "target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
                }
            ],
            "nodes": [
                {
                    "entity_attributes": {
                        "has_detections": false
                    },
                    "entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
                    "index": 0,
                    "text": "",
                    "type": "url",
                    "x": 51.22276722115952,
                    "y": 65.7811310194184
                },
                {
                    "entity_attributes": {},
                    "entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
                    "index": 1,
                    "text": "",
                    "type": "relationship",
                    "x": 25.415664700492094,
                    "y": 37.66636498768037
                },
                {
                    "entity_attributes": {
                        "country": "US"
                    },
                    "entity_id": "203.0.113.3",
                    "fx": -19.03611541222395,
                    "fy": 24.958500220062717,
                    "index": 2,
                    "text": "",
                    "type": "ip_address",
                    "x": -19.03611541222395,
                    "y": 24.958500220062717
                },
                {
                    "entity_attributes": {},
                    "entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
                    "index": 3,
                    "text": "",
                    "type": "relationship",
                    "x": 14.37403861978968,
                    "y": 56.85562691824892
                },
                {
                    "entity_attributes": {},
                    "entity_id": "relationships_communicating_files_20301133",
                    "index": 4,
                    "text": "",
                    "type": "relationship",
                    "x": -51.78097726144755,
                    "y": 10.087893225996158
                },
                {
                    "entity_attributes": {
                        "has_detections": true,
                        "type_tag": "peexe"
                    },
                    "entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
                    "index": 5,
                    "text": "",
                    "type": "file",
                    "x": -79.11606194776019,
                    "y": -18.475026322309112
                },
                {
                    "entity_attributes": {
                        "has_detections": true,
                        "type_tag": "peexe"
                    },
                    "entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
                    "index": 6,
                    "text": "",
                    "type": "file",
                    "x": -64.80938048199627,
                    "y": 46.75892061191275
                },
                {
                    "entity_attributes": {
                        "has_detections": true,
                        "type_tag": "android"
                    },
                    "entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
                    "index": 7,
                    "text": "",
                    "type": "file",
                    "x": -43.54064004476819,
                    "y": -28.547923020662786
                },
                {
                    "entity_attributes": {
                        "has_detections": true,
                        "type_tag": "android"
                    },
                    "entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
                    "index": 8,
                    "text": "",
                    "type": "file",
                    "x": -15.529860440278318,
                    "y": -2.068209789825876
                },
                {
                    "entity_attributes": {
                        "has_detections": true,
                        "type_tag": "android"
                    },
                    "entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
                    "index": 9,
                    "text": "",
                    "type": "file",
                    "x": -42.55971948293377,
                    "y": 46.937155845680415
                },
                {
                    "entity_attributes": {
                        "has_detections": true,
                        "type_tag": "html"
                    },
                    "entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
                    "index": 10,
                    "text": "",
                    "type": "file",
                    "x": -62.447976875107706,
                    "y": -28.172418384729067
                },
                {
                    "entity_attributes": {
                        "has_detections": true,
                        "type_tag": "android"
                    },
                    "entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
                    "index": 11,
                    "text": "",
                    "type": "file",
                    "x": -89.0326649183805,
                    "y": -2.2638551448322484
                },
                {
                    "entity_attributes": {
                        "has_detections": true,
                        "type_tag": "android"
                    },
                    "entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
                    "index": 12,
                    "text": "",
                    "type": "file",
                    "x": -26.35260716195174,
                    "y": -20.25669077264115
                },
                {
                    "entity_attributes": {
                        "has_detections": true,
                        "type_tag": "android"
                    },
                    "entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
                    "index": 13,
                    "text": "",
                    "type": "file",
                    "x": -82.1415994911387,
                    "y": 34.89636762607467
                },
                {
                    "entity_attributes": {
                        "has_detections": true,
                        "type_tag": "android"
                    },
                    "entity_id": "ENTITY_ID",
                    "index": 14,
                    "text": "",
                    "type": "file",
                    "x": -90.87738694680043,
                    "y": 16.374462198116138
                }
            ],
            "private": false,
            "views_count": 30
        },
        "id": "ID",
        "links": {
            "self": "https://www.virustotal.com/api/v3/graphs/ID"
        },
        "type": "graph"
    }
}

输出消息

获取图表详细信息操作可以返回以下输出消息：

输出消息消息说明

输出消息	消息说明
`Successfully returned details about the following graphs in VirusTotal: GRAPH_IDS` `Action wasn't able to return details about the following graphs in VirusTotal: GRAPH_IDS` `No information about the provided graphs was found.`	操作成功。
`Error executing action "Get Graph Details". Reason: ERROR_REASON`	操作失败。检查与服务器的连接、输入参数或凭据。

Successfully returned details about the following graphs in VirusTotal: GRAPH_IDS

Action wasn't able to return details about the following graphs in VirusTotal: GRAPH_IDS

No information about the provided graphs was found.

操作成功。

Error executing action "Get Graph Details". Reason:
      ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用 Get Graph Details 操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

获取相关网域

使用 Get Related Domains 操作从 VirusTotal 获取与所提供实体相关的网域。

如需运行 Get Related Domains 操作，您必须拥有 VirusTotal Enterprise (VTE) 许可。

此操作仅支持 MD5、SHA-1 和 SHA-256 哈希。

此操作可在以下 Google SecOps 实体上运行：

Hash
Hostname
IP Address
URL

操作输入

获取相关网域操作需要以下参数：

参数说明

参数	说明
`Results`	可选。返回 JSON 结果的顺序。可能的值如下： `Combined` `Per Entity` 如果您选择 `Combined`，该操作会返回所提供实体的所有唯一结果。如果您选择 `Per Entity`，该操作会针对每个实体返回所有唯一项。默认值为 `Combined`。
`Max Domains To Return`	可选。要返回的网域数量。如果您在 `Results` 参数中选择 `Combined`，则该操作会返回所有实体的配置网域数量。如果您在 `Results` 参数中选择 `Per Entity`，则该操作会针对每个实体返回配置的网域数量。默认值为 `40`。

Results

可选。

返回 JSON 结果的顺序。

可能的值如下：

Combined
Per Entity

如果您选择 Combined，该操作会返回所提供实体的所有唯一结果。如果您选择 Per Entity，该操作会针对每个实体返回所有唯一项。

默认值为 Combined。

Max Domains To Return

可选。

要返回的网域数量。

如果您在 Results 参数中选择 Combined，则该操作会返回所有实体的配置网域数量。如果您在 Results 参数中选择 Per Entity，则该操作会针对每个实体返回配置的网域数量。

默认值为 40。

操作输出

获取相关网域操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

JSON 结果

以下示例展示了使用获取相关网域操作时收到的 JSON 结果输出：

{
    "domain": ["example.com"]
}

输出消息

获取相关网域操作可以返回以下输出消息：

输出消息消息说明

输出消息	消息说明
`Successfully returned related domains for the provided entities from VirusTotal.` `No related domains were found for the provided entities from VirusTotal.`	操作成功。
`Error executing action "Get Related Domains". Reason: ERROR_REASON`	操作失败。检查与服务器的连接、输入参数或凭据。

Successfully returned related domains for the provided entities from VirusTotal.

No related domains were found for the provided entities from VirusTotal.

操作成功。

Error executing action "Get Related Domains". Reason:
      ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用 Get Related Domains 操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

获取相关哈希

使用 Get Related Hashes 操作从 VirusTotal 获取与所提供实体相关的哈希。

如需运行 Get Related Hashes 操作，您必须拥有 VirusTotal Enterprise (VTE) 许可。

此操作仅支持 MD5、SHA-1 和 SHA-256 哈希。

此操作可在以下 Google SecOps 实体上运行：

Hash
Hostname
IP Address
URL

操作输入

获取相关哈希操作需要以下参数：

参数说明

参数	说明
`Results`	可选。返回 JSON 结果的顺序。可能的值如下： `Combined` `Per Entity` 如果您选择 `Combined`，该操作会返回所提供实体的所有唯一结果。如果您选择 `Per Entity`，该操作会针对每个实体返回所有唯一项。默认值为 `Combined`。
`Max Hashes To Return`	可选。要返回的文件哈希数。如果您在 `Results` 参数中选择 `Combined`，则操作会返回所有实体的配置哈希数。如果您在 `Results` 参数中选择 `Per Entity`，则操作会针对每个实体返回配置数量的哈希值。默认值为 `40`。

Results

可选。

返回 JSON 结果的顺序。

可能的值如下：

Combined
Per Entity

如果您选择 Combined，该操作会返回所提供实体的所有唯一结果。如果您选择 Per Entity，该操作会针对每个实体返回所有唯一项。

默认值为 Combined。

Max Hashes To Return

可选。

要返回的文件哈希数。

如果您在 Results 参数中选择 Combined，则操作会返回所有实体的配置哈希数。如果您在 Results 参数中选择 Per Entity，则操作会针对每个实体返回配置数量的哈希值。

默认值为 40。

操作输出

获取相关哈希操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

JSON 结果

以下示例展示了使用 Get Related Hashes 操作时收到的 JSON 结果输出：

{
    "sha256_hashes": ["http://example.com"]
}

输出消息

获取相关哈希操作可能会返回以下输出消息：

输出消息消息说明

输出消息	消息说明
`Successfully returned related hashes for the provided entities from VirusTotal.` `No related hashes were found for the provided entities from VirusTotal.`	操作成功。
`Error executing action "Get Related Hashes". Reason: ERROR_REASON`	操作失败。检查与服务器的连接、输入参数或凭据。

Successfully returned related hashes for the provided entities from VirusTotal.

No related hashes were found for the provided entities from VirusTotal.

操作成功。

Error executing action "Get Related Hashes". Reason:
      ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用 Get Related Hashes 操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

获取相关 IP

使用 Get Related IPs 操作从 VirusTotal 获取与所提供实体相关的 IP 地址。

如需运行获取相关 IP 操作，您必须拥有 VirusTotal Enterprise (VTE) 许可。

此操作仅支持 MD5、SHA-1 和 SHA-256 哈希。

此操作可在以下 Google SecOps 实体上运行：

Hash
Hostname
IP Address
URL

操作输入

获取相关 IP 操作需要以下参数：

参数说明

参数	说明
`Results`	可选。返回 JSON 结果的顺序。可能的值如下： `Combined` `Per Entity` 如果您选择 `Combined`，该操作会返回所提供实体的所有唯一结果。如果您选择 `Per Entity`，该操作会针对每个实体返回所有唯一项。默认值为 `Combined`。
`Max IPs To Return`	可选。要返回的 IP 地址数量。如果您在 `Results` 参数中选择 `Combined`，则该操作会返回所有实体的配置 IP 地址数量。如果您在 `Results` 参数中选择 `Per Entity`，则该操作会针对每个实体返回配置的 IP 地址数量。默认值为 `40`。

Results

可选。

返回 JSON 结果的顺序。

可能的值如下：

Combined
Per Entity

如果您选择 Combined，该操作会返回所提供实体的所有唯一结果。如果您选择 Per Entity，该操作会针对每个实体返回所有唯一项。

默认值为 Combined。

Max IPs To Return

可选。

要返回的 IP 地址数量。

如果您在 Results 参数中选择 Combined，则该操作会返回所有实体的配置 IP 地址数量。如果您在 Results 参数中选择 Per Entity，则该操作会针对每个实体返回配置的 IP 地址数量。

默认值为 40。

操作输出

获取相关 IP 操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

JSON 结果

以下示例展示了使用获取相关 IP 操作时收到的 JSON 结果输出：

{
    "ips": ["203.0.113.1"]
}

输出消息

获取相关 IP 操作可以返回以下输出消息：

输出消息消息说明

输出消息	消息说明
`Successfully returned related IPs to the provided entities from VirusTotal.` `No related IPs were found to the provided entities from VirusTotal.`	操作成功。
`Error executing action "Get Related IPs". Reason: ERROR_REASON`	操作失败。检查与服务器的连接、输入参数或凭据。

Successfully returned related IPs to the provided entities from VirusTotal.

No related IPs were found to the provided entities from VirusTotal.

操作成功。

Error executing action "Get Related IPs". Reason:
      ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用获取相关 IP 操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

获取相关网址

使用 Get Related 网址s 操作从 VirusTotal 获取与所提供实体相关的网址。

如需运行获取相关网址操作，您必须拥有 VirusTotal Enterprise (VTE) 许可。

此操作仅支持 MD5、SHA-1 和 SHA-256 哈希。

此操作可在以下 Google SecOps 实体上运行：

Hash
jsHostname
IP Address
URL

操作输入

获取相关网址操作需要以下参数：

参数说明

Results

可选。

返回 JSON 结果的顺序。

可能的值如下：

Combined
Per Entity

如果您选择 Combined，该操作会返回所提供实体的所有唯一结果。如果您选择 Per Entity，该操作会针对每个实体返回所有唯一项。

默认值为 Combined。

Max URLs To Return

可选。

要返回的网址数量。

如果您在 Results 参数中选择 Combined，则该操作会返回所有实体的配置网址数量。如果您在 Results 参数中选择 Per Entity，则该操作会针对每个实体返回配置数量的网址。

默认值为 40。

操作输出

获取相关网址操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

JSON 结果

以下示例展示了使用获取相关网址操作时收到的 JSON 结果输出：

{
    "urls": ["http://example.com"]
}

输出消息

获取相关网址操作可能会返回以下输出消息：

输出消息消息说明

Successfully returned related URLs to the provided entities from VirusTotal.

No related URLs were found to the provided entities from VirusTotal.

操作成功。

Error executing action "Get Related URLs". Reason:
      ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用获取相关网址操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

Ping

使用 Ping 操作测试与 VirusTotal 的连接。

此操作不适用于 Google SecOps 实体。

操作输入

无。

操作输出

Ping 操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	不可用
输出消息	可用
脚本结果	可用

输出消息

Ping 操作可以返回以下输出消息：

输出消息消息说明

Successfully connected to the VirusTotal server with the provided connection parameters!

操作成功。

Failed to connect to the VirusTotal server! Error is
      ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用 Ping 操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

搜索实体图

使用搜索实体图操作，搜索基于 VirusTotal 中的实体的图。

此操作仅支持 MD5、SHA-1 和 SHA-256 哈希。

此操作可在以下 Google SecOps 实体上运行：

Hash
IP Address
Threat Actor
URL
User

操作输入

搜索实体图操作需要以下参数：

参数说明

Sort Field

可选。

用于对 VirusTotal 图表进行排序的字段值。

默认值为 Owner。

可能的值如下：

Owner
Creation Date
Last Modified Date
Views Count
Comments Count

Max Graphs To Return

可选。

每次操作运行返回的图表数量上限。

默认值为 10。

操作输出

搜索实体图操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

JSON 结果

以下示例展示了使用搜索实体图操作时收到的 JSON 结果输出：

{
    "data": [
        {
            "attributes": {
                "graph_data": {
                    "description": "EXAMPLE",
                    "version": "5.0.0"
                }
            },
            "id": "ID",
            "links": {
                "self": "https://www.virustotal.com/api/v3/graphs/ID"
            },
            "type": "graph"
        },
        {
            "attributes": {
                "graph_data": {
                    "description": "Example Feb2020",
                    "version": "5.0.0"
                }
            },
            "id": "ID_2",
            "links": {
                "self": "https://www.virustotal.com/api/v3/graphs/ID_2"
            },
            "type": "graph"
        }
    ],
    "links": {
        "next": "https://www.virustotal",
        "self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
    },
    "meta": {
        "cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
    }
}

输出消息

搜索实体图操作可以返回以下输出消息：

输出消息消息说明

Successfully returned graphs based on the provided entities in VirusTotal.

Action wasn't able to successfully return graph based on the provided entities on VirusTotal. Reason: ERROR_REASON.

No graphs were found for the provided entities.

操作成功。

Error executing action "Search Entity Graphs". Reason:
      ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

搜索图表

使用 Search Graphs 操作可根据 VirusTotal 中的自定义过滤条件搜索图表。

此操作不适用于 Google SecOps 实体。

参数说明

Query

必填。

图表的查询过滤条件。

如需详细了解查询，请参阅如何创建查询和与图表相关的修饰符。

Sort Field

可选。

用于对 VirusTotal 图表进行排序的字段值。

默认值为 Owner。

可能的值如下：

Owner
Creation Date
Last Modified Date
Views Count
Comments Count

Max Graphs To Return

可选。

每次操作运行返回的图表数量上限。

默认值为 10。

如何创建查询

如需优化图搜索结果，请创建包含与图相关的修饰符的查询。为了改进搜索，您可以将修饰符与 AND、OR 和 NOT 运算符结合使用。

日期和数字字段支持加号 (+) 或减号 (-) 后缀。加号后缀表示匹配大于所提供的值的值。带有减号后缀的范围匹配小于所提供的值的值。如果不带后缀，查询会返回完全匹配的结果。

如需定义范围，您可以在一个查询中多次使用同一修饰符。例如，如需搜索在 2018 年 11 月 15 日至 2018 年 11 月 20 日之间创建的图表，请使用以下查询：

creation_date:2018-11-15+ creation_date:2018-11-20-

对于以 0 开头的日期或月份，请移除查询中的 0 字符。例如，将 2018-11-01 的日期格式设置为 2018-11-1。

下表列出了可用于构建搜索查询的修饰符：

修饰符	说明	示例
`Id`	按图表标识符过滤。	`id:g675a2fd4c8834e288af`
`Name`	按图表名称过滤。	`name:Example-name`
`Owner`	按用户拥有的图表进行过滤。	`owner:example_user`
`Group`	按群组拥有的图表进行过滤。	`group:example`
`Visible_to_user`	按用户可见的图表进行过滤。	`visible_to_user:example_user`
`Visible_to_group`	按群组可见的图表进行过滤。	`visible_to_group:example`
`Private`	按私密图过滤。	`private:true`，`private:false`
`Creation_date`	按图表创建日期过滤。	`creation_date:2018-11-15`
`last_modified_date`	按图表的最新修改日期进行过滤。	`last_modified_date:2018-11-20`
`Total_nodes`	按包含特定数量节点的图表进行过滤。	`total_nodes:100`
`Comments_count`	按图表中的评论数量过滤。	`comments_count:10+`
`Views_count`	按图表浏览量过滤。	`views_count:1000+`
`Label`	按包含具有特定标签的节点的图表进行过滤。	`label:Kill switch`
`File`	按包含特定文件的图表进行过滤。	`file:131f95c51cc819465fa17`
`Domain`	按包含特定网域的图表进行过滤。	`domain:example.com`
`Ip_address`	按包含特定 IP 地址的图表进行过滤。	`ip_address:203.0.113.1`
`Url`	按包含特定网址的图表进行过滤。	`url:https://example.com/example/`
`Actor`	按包含特定演员的图表进行过滤。	`actor:example actor`
`Victim`	按包含特定受害者的图表进行过滤。	`victim:example_user`
`Email`	按包含特定电子邮件地址的图表进行过滤。	`email:user@example.com`
`Department`	按包含特定部门的图表进行过滤。	`department:engineers`

操作输出

搜索图表操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

JSON 结果

以下示例展示了使用 Search Graphs 操作时收到的 JSON 结果输出：

{
    "data": [
        {
            "attributes": {
                "graph_data": {
                    "description": "EXAMPLE",
                    "version": "5.0.0"
                }
            },
            "id": "ID",
            "links": {
                "self": "https://www.virustotal.com/api/v3/graphs/ID"
            },
            "type": "graph"
        },
        {
            "attributes": {
                "graph_data": {
                    "description": "Example Feb2020",
                    "version": "5.0.0"
                }
            },
            "id": "ID_2",
            "links": {
                "self": "https://www.virustotal.com/api/v3/graphs/ID_2"
            },
            "type": "graph"
        }
    ],
    "links": {
        "next": "https://www.virustotal",
        "self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
    },
    "meta": {
        "cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
    }
}

输出消息

搜索图表操作可以返回以下输出消息：

输出消息消息说明

Successfully returned graphs for the provided query in VirusTotal.

Action wasn't able to successfully return graph for the provided query in VirusTotal. Reason: ERROR_REASON.

No graphs were found for the provided query.

操作成功。

Error executing action "Search Graphs". Reason:
      ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用 Search Graphs 操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

搜索 IOC

使用 Search IOCs 操作在 VirusTotal 数据集中搜索 IOC。

如需运行 Search IOCs 操作，您必须拥有 VirusTotal Enterprise (VTE) 许可。

此操作不适用于 Google SecOps 实体。

操作输入

搜索 IOC 操作需要以下参数：

参数	说明
`Query`	必填。用于搜索 IOC 的查询。默认值为 `""`。如需配置查询，请遵循适用于 VirusTotal Intelligence 界面的查询语法。
`Create Entities`	可选。如果选择此项，则操作会为返回的 IOC 创建实体。此操作不会扩充实体。默认情况下未选中。
`Order By`	必填。用于返回结果的排序字段。可能的值如下： `Use Default Order` `Last Submission Date` `First Submission Date` `Positives` `Times Submitted` `Creation Date` `Last Modification Date Last Update Date` 实体类型可以具有不同的排序字段。如需详细了解如何在 VirusTotal 中搜索文件，请参阅高级语料库搜索。默认值为 `Use Default Order`。
`Sort Order`	可选。结果的排序顺序。可能的值如下： `Ascending` `Descending` 如果您为 `Order By` 参数设置了 `Use Default Order` 值，相应操作会忽略此参数。默认值为 `Descending`。
`Max IOCs To Return`	可选。要返回的 IOC 数量。最大值为 `300`。默认值为 `10`。

操作输出

搜索 IOC 操作提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	不可用
“支持请求墙”表格	不可用
丰富化表	不可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

JSON 结果

以下示例展示了使用搜索 IOC 操作时收到的 JSON 结果输出：

{
  "data": [
    {
      "attributes": {
        "type_description": "Email",
        "tlsh": "T1B4D31F04BE452B3093E7238E064E6FDBAFCC135F6611F1C60881AAD6C5C77A2E57D689",
        "exiftool": {
          "MIMEType": "text/plain",
          "FileType": "TXT",
          "WordCount": "2668",
          "LineCount": "1820",
          "MIMEEncoding": "us-ascii",
          "FileTypeExtension": "txt",
          "Newlines": "Windows CRLF"
        },
        "type_tags": [
          "internet",
          "email"
        ],
        "threat_severity": {
          "threat_severity_level": "SEVERITY_HIGH",
          "threat_severity_data": {
            "num_gav_detections": 3,
            "has_vulnerabilities": true,
            "popular_threat_category": "trojan",
            "type_tag": "email",
            "has_embedded_ips_with_detections": true
          },
          "last_analysis_date": "1698050597",
          "version": 2,
          "level_description": "Severity HIGH because it was considered trojan. Other contributing factors were that it has known exploits, it contains embedded IPs with detections and it could not be run in sandboxes."
        },
        "names": [
          "Re Example.eml"
        ],
        "last_modification_date": 1698057197,
        "type_tag": "email",
        "times_submitted": 1,
        "total_votes": {
          "harmless": 0,
          "malicious": 0
        },
        "size": 132299,
        "popular_threat_classification": {
          "suggested_threat_label": "obfsobjdat/malformed",
          "popular_threat_name": [
            {
              "count": 8,
              "value": "obfsobjdat"
            },
            {
              "count": 2,
              "value": "malformed"
            }
          ]
        },
        "last_submission_date": 1698049979,
        "last_analysis_results": {
          "Bkav": {
            "category": "undetected",
            "engine_name": "Example1",
            "engine_version": "2.0.0.1",
            "result": null,
            "method": "blacklist",
            "engine_update": "20231023"
          },
          "Lionic": {
            "category": "undetected",
            "engine_name": "Example2",
            "engine_version": "7.5",
            "result": null,
            "method": "blacklist",
            "engine_update": "20231023"
          },
        },
        "downloadable": true,
        "trid": [
          {
            "file_type": "file seems to be plain text/ASCII",
            "probability": 0
          }
        ],
        "sha256": "2d9df36964fe2e477e6e0f7a73391e4d4b2eeb0995dd488b431c4abfb4c27dbf",
        "type_extension": "eml",
        "tags": [
          "exploit",
          "cve-2018-0802",
          "cve-2018-0798",
          "email",
          "cve-2017-11882"
        ],
        "last_analysis_date": 1698049979,
        "unique_sources": 1,
        "first_submission_date": 1698049979,
        "ssdeep": "768:MedEkBNnx8ueVV+fitChi9KbpK0fixbRwHbcElIK944tCVQOgzdsSuom+cWmsCGY:Meo+fitC0mKuixYxlI1OO1cSPo0gptA",
        "md5": "bdfe36052e0c083869505ef4fd77e865",
        "sha1": "3a350de97009efe517ceffcea406534bb1ab800c",
        "magic": "SMTP mail, ASCII text, with CRLF line terminators",
        "last_analysis_stats": {
          "harmless": 0,
          "type-unsupported": 16,
          "suspicious": 0,
          "confirmed-timeout": 0,
          "timeout": 0,
          "failure": 0,
          "malicious": 28,
          "undetected": 32
        },
        "meaningful_name": "Re Example.eml",
        "reputation": 0
      },
      "type": "file",
      "id": "ID",
      "links": {
        "self": "URL"
      }
    },
  ]
}

输出消息

搜索 IOC 操作可以返回以下输出消息：

输出消息消息说明

Successfully returned IOCs based on the provided query from VirusTotal.

The following IOCs were not created as new entities, as they already exist in the system: IOC_LIST

No IOCs were found for the provided query.

操作成功。

Error executing action "Search IOCs". Reason:
      ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用 Search IOCs 操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

提交文件

使用 Submit File 操作提交文件并从 VirusTotal 返回结果。

此操作不适用于 Google SecOps 实体。

操作输入

提交文件操作需要以下参数：

参数	说明
`File Paths`	必填。要提交的文件的绝对路径列表（以英文逗号分隔）。如果您配置了 `Linux Server Address` 参数，该操作会尝试从远程服务器检索文件。
`Engine Threshold`	可选。必须将文件归类为恶意或可疑的引擎数量下限，才能将该文件视为可疑文件。如果您配置了 `Engine Whitelist`，则该操作只会统计指定搜索引擎的结果。
`Engine Percentage Threshold`	可选。必须将文件归类为恶意或可疑的引擎的最低百分比，才能将该文件视为可疑文件。
`Engine Whitelist`	可选。在评估风险时要考虑的引擎名称的逗号分隔列表，例如 `AlienVault,Kaspersky`。如果您未设置值，则操作会使用所有可用的引擎。阈值计算不包括不提供实体信息的引擎。
`Retrieve Comments`	可选。如果选中，该操作会从 VirusTotal 中检索与文件关联的评论。此选项将会默认选中。启用不公开提交后，系统不会提取评论。
`Retrieve Sigma Analysis`	可选。如果选中，该操作会检索文件的 Sigma 分析结果。此选项将会默认选中。
`Max Comments To Return`	可选。每次操作运行要检索的评论数量上限。默认值为 `50`。
`Linux Server Address`	可选。文件所在的远程 Linux 服务器的 IP 地址或主机名。
`Linux Username`	可选。用于向远程 Linux 服务器进行身份验证的用户名。
`Linux Password`	可选。用于向远程 Linux 服务器进行身份验证的密码。
`Private Submission`	可选。如果选择此操作，系统会私下提交文件。如需私密提交文件，您必须拥有 VirusTotal Premium 访问权限。默认情况下未选中。
`Fetch MITRE Details`	可选。如果选择此项，该操作会检索与哈希相关联的 MITRE ATT&CK 技术和策略。默认情况下未选中。
`Lowest MITRE Technique Severity`	可选。要纳入结果中的 MITRE ATT&CK 技术的最低严重程度。该操作将 `Unknown` 严重程度视为 `Info`。可能的值如下： `High` `Medium` `Low` `Info` 默认值为 `Low`。
`Retrieve AI Summary`	可选。此参数尚处于实验阶段。如果选择此操作，系统会检索文件的 AI 生成摘要。此选项仅适用于非公开提交。默认情况下未选中。

操作输出

提交文件操作会提供以下输出：

操作输出类型	可用性
案例墙附件	不可用
案例墙链接	可用
“支持请求墙”表格	可用
丰富化表	不可用
JSON 结果	可用
输出消息	可用
脚本结果	可用

案例墙链接

提交文件操作可为每个富化实体提供以下链接：

名称：报告链接：PATH

值：URL

“支持请求墙”表格

提交文件操作可以为每个提交的文件提供下表：

表格名称：结果：PATH

表列：

名称
类别
方法
结果

对于每份包含评论的已提交文件，提交文件操作可以提供下表：

表格名称：Comments：PATH

表列：

日期
备注
滥用投票
差评
好评
ID

提交文件操作可以为具有 Sigma 分析结果的每个实体提供以下表格：

表格名称：Sigma 分析：ENTITY_ID

表列：

ID
严重级别
来源
Title
说明
比赛背景

JSON 结果

以下示例展示了使用提交文件操作时收到的 JSON 结果输出：

{
    "data": {
        "attributes": {
            "categories": {
                "Dr.Web": "known infection source/not recommended site",
                "Forcepoint ThreatSeeker": "compromised websites",
                "sophos": "malware repository, spyware and malware"
            },
            "first_submission_date": 1582300443,
            "html_meta": {},
            "last_analysis_date": 1599853405,
            "last_analysis_results": {
                "EXAMPLELabs": {
                    "category": "harmless",
                    "engine_name": "EXAMPLELabs",
                    "method": "blacklist",
                    "result": "clean"
                },
                "Example": {
                    "category": "harmless",
                    "engine_name": "Example",
                    "method": "blacklist",
                    "result": "clean"
                },
            },
            "last_analysis_stats": {
                "harmless": 64,
                "malicious": 6,
                "suspicious": 1,
                "timeout": 0,
                "undetected": 8
            },
            "last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
            "last_http_response_code": 404,
            "last_http_response_content_length": 204,
            "last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
            "last_http_response_headers": {
                "connection": "keep-alive",
                "content-length": "204",
                "content-type": "text/html; charset=iso-8859-1",
                "date": "Fri, 11 Sep 2020 19:51:50 GMT",
                "keep-alive": "timeout=60",
                "server": "nginx"
            },
            "last_modification_date": 1599853921,
            "last_submission_date": 1599853405,
            "reputation": 0,
            "tags": [
                "ip"
            ],
            "targeted_brand": {},
            "threat_names": [
                "Mal/HTMLGen-A"
            ],
            "times_submitted": 3,
            "title": "404 Not Found",
            "total_votes": {
                "harmless": 0,
                "malicious": 0
            },
            "trackers": {},
            "url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
        },
        "id": "ID",
        "links": {
            "self": "https://www.virustotal.com/api/v3/urls/ID"
        },
        "type": "url",
        "comments": [
"text": "attributes/text",
"date": "attributes/date"
]
    }
    "is_risky": true
}

输出消息

提交文件操作可以返回以下输出消息：

输出消息消息说明

Successfully returned details about the following files using VirusTotal: PATHS

Action wasn't able to return details about the following files using VirusTotal: PATHS

No details about the files were retrieved.

The following whitelisted engines were not found in VirusTotal: ENGINE_NAMES

Waiting for results for the following files: PATHS

操作成功。

Error executing action "Submit File". Reason:
      ERROR_REASON

操作失败。

检查与服务器的连接、输入参数或凭据。

脚本结果

下表列出了使用提交文件操作时脚本结果输出的值：

脚本结果名称	值
`is_success`	`True` 或 `False`

连接器

如需详细了解如何在 Google SecOps 中配置连接器，请参阅注入数据（连接器）。

VirusTotal - Livehunt 连接器

使用 VirusTotal - Livehunt 连接器提取有关 VirusTotal Livehunt 通知和相关文件的信息。

此连接器需要 VirusTotal Premium API 令牌。动态列表与 rule_name 参数搭配使用。

连接器输入

VirusTotal - Livehunt 连接器需要以下参数：

参数	说明
`Product Field Name`	必填。存储商品名称的字段的名称。默认值为 `Product Name`。商品名称主要影响映射。为了简化和改进连接器的映射流程，默认值 `Product Name` 会解析为代码中引用的回退值。此参数的任何无效输入默认都会解析为回退值。
`Event Field Name`	必填。存储事件名称（子类型）的字段的名称。默认值为 `type`。
`Environment Field Name`	可选。存储环境名称的字段的名称。如果找不到环境字段，连接器会使用默认值。默认值为 `""`。
`Environment Regex Pattern`	可选。要对 `Environment Field Name` 字段中的值运行的正则表达式模式。此参数可让您使用正则表达式逻辑来操纵环境字段。使用默认值 `.*` 可检索所需的原始 `Environment Field Name` 值。如果正则表达式模式为 null 或空，或者环境值为 null，则最终环境结果为默认环境。
`PythonProcessTimeout`	必填。运行当前脚本的 Python 进程的超时时间限制（以秒为单位）。默认值为 `180`。
`API Key`	必填。 VirusTotal API 密钥。
`Verify SSL`	必填。如果选择此项，集成会在连接到 VirusTotal 时验证 SSL 证书。此选项将会默认选中。
`Engine Whitelist`	可选。在评估 `Engine Percentage Threshold To Fetch` 参数值时要考虑的引擎名称的英文逗号分隔列表。如果您未设置值，则操作会使用所有可用的引擎。
`Engine Percentage Threshold To Fetch`	必填。将文件标记为恶意或可疑的引擎的最低百分比，只有达到此百分比，连接器才会注入相应文件。有效值的范围介于 `0` 到 `100` 之间。默认值为 `0`。
`Max Hours Backwards`	可选。在首次连接器迭代之前检索事件的小时数。此参数可应用于首次启用连接器后的初始连接器迭代，也可作为过期连接器时间戳的回退值。默认值为 `1`。
`Max Notifications To Fetch`	可选。每次连接器运行中要处理的通知数量上限。默认值为 `40`。
`Use dynamic list as a blacklist`	必填。如果选中，则动态列表用作屏蔽名单。默认情况下未选中。
`Proxy Server Address`	可选。要使用的代理服务器的地址。
`Proxy Username`	可选。用于代理服务器身份验证的用户名。
`Proxy Password`	可选。代理服务器身份验证的密码。

连接器规则

连接器支持代理。