將 VirusTotal v3 與 Google SecOps 整合

本文說明如何將 VirusTotal 第 3 版與 Google Security Operations (Google SecOps) 整合。

整合版本:34.0

這項整合功能使用 VirusTotal API v3。如要進一步瞭解 VirusTotal API v3,請參閱 VirusTotal API v3 總覽

這項整合功能使用一或多個開放原始碼元件。 您可以從 Cloud Storage bucket 下載這個整合的完整原始碼壓縮副本。

用途

VirusTotal v3 整合功能可協助您解決下列用途:

  • 檔案分析:使用 Google SecOps 功能,將檔案雜湊或檔案提交至 VirusTotal 進行分析,並從多個防毒引擎擷取掃描結果,判斷提交的項目是否為惡意項目。

  • 網址分析:使用 Google SecOps 功能,針對 VirusTotal 資料庫執行網址,找出潛在惡意網站或網路釣魚網頁。

  • IP 位址分析:使用 Google SecOps 功能調查 IP 位址,並找出其信譽和任何相關的惡意活動。

  • 網域分析:使用 Google SecOps 功能分析網域名稱,找出網域信譽和任何相關聯的惡意活動,例如網路釣魚或散布惡意軟體。

  • 回溯搜尋:使用 Google SecOps 功能掃描 VirusTotal 歷來資料,找出先前標示為惡意的檔案、網址、IP 或網域。

  • 自動擴充:使用 Google SecOps 功能,自動以威脅情報擴充事件資料。

  • 網路釣魚調查:使用 Google SecOps 功能分析可疑電子郵件和附件,方法是將這些內容提交至 VirusTotal 進行分析。

  • 惡意軟體分析:使用 Google SecOps 功能將惡意軟體樣本上傳至 VirusTotal,進行動態和靜態分析,並深入瞭解樣本的行為和潛在影響。

事前準備

如要正常運作,這項整合功能需要 VirusTotal Premium API。如要進一步瞭解 VirusTotal Premium API,請參閱「Public vs Premium API」(公開與進階版 API)。

在 Google SecOps 中設定 VirusTotal 第 3 版整合功能之前,請先在 VirusTotal 中設定 API 金鑰。

如要設定 API 金鑰,請完成下列步驟:

  1. 登入 VirusTotal 入口網站。
  2. 在使用者名稱下方,按一下「API 金鑰」
  3. 複製產生的 API 金鑰,以便在整合參數中使用。
  4. 按一下 [儲存]

整合參數

VirusTotal v3 整合需要下列參數:

參數 說明
API Key

必填。

VirusTotal API 金鑰。
Verify SSL

選填。

如果選取這個選項,整合服務會在連線至 VirusTotal 時驗證 SSL 憑證。

(此為預設選項)。

如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。

如有需要,您可以在稍後階段進行變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。

動作

如要進一步瞭解動作,請參閱「回覆『你的工作台』中的待處理動作」和「執行手動動作」。

為實體新增註解

使用「Add Comment To Entity」動作,在 VirusTotal 中為實體新增註解。

這項動作會在下列 Google SecOps 實體上執行:

  • File Hash
  • Hostname
  • IP Address
  • URL

這項操作僅支援 MD5、SHA-1 和 SHA-256 雜湊。

動作輸入內容

「Add Comment To Entity」動作需要下列參數:

參數 說明
Comment

必填。

要新增至實體的註解。

動作輸出內容

「Add Comment To Entity」(為實體新增註解) 動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「Add Comment To Entity」(在實體中新增留言) 動作時收到的 JSON 結果輸出內容:

{
   "Status": "Done"
}

{
   "Status": "Not done"
}
輸出訊息

「Add Comment To Entity」動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully added comments to the following entities in VirusTotal: ENTITY_ID.

Action wasn't able to add comments to the following entities in VirusTotal: ENTITY_ID.

No comments were added to the provided entities in VirusTotal.

動作成功。
Error executing action "Add Comment To Entity". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「Add Comment To Entity」(為實體新增留言) 動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

為實體新增投票

使用「Add Vote To Entity」(為實體新增投票) 動作,為 VirusTotal 中的實體新增投票。

這項動作會在下列 Google SecOps 實體上執行:

  • File Hash
  • Hostname
  • IP Address
  • URL

這項操作僅支援 MD5、SHA-1 和 SHA-256 雜湊。

動作輸入內容

「將投票新增至實體」動作需要下列參數:

參數 說明
Vote

必填。

要新增至實體的投票。

可能的值如下:

  • Harmless
  • Malicious

動作輸出內容

「Add Vote To Entity」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「將票數新增至實體」動作時收到的 JSON 結果輸出內容:

{
   "Status": "Done"
}

{
   "Status": "Not done"
}
輸出訊息

「Add Vote To Entity」動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully added votes to the following entities in VirusTotal: ENTITY_ID.

Action wasn't able to add votess to the following entities in VirusTotal: ENTITY_ID.

No votes were added to the provided entities in VirusTotal.

動作成功。
Error executing action "Add Vote To Entity". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「將票數新增至實體」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

下載檔案

使用「下載檔案」動作,從 VirusTotal 下載檔案。

如要執行「下載檔案」動作,必須使用 VirusTotal Enterprise (VTE)。

這項動作會在 Google SecOps Hash 實體上執行。

這項操作僅支援 MD5、SHA-1 和 SHA-256 雜湊。

動作輸入內容

「下載檔案」動作需要下列參數:

參數 說明
Download Folder Path

必填。

要儲存下載檔案的資料夾路徑。
Overwrite

選填。

如果選取這個選項,當新檔案與現有檔案的名稱相同時,系統會覆寫現有檔案。

(此為預設選項)。

動作輸出內容

「下載檔案」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「下載檔案」動作時收到的 JSON 結果輸出內容:

{
    "absolute_file_paths": ["file_path_1","file_path_2"]
}
輸出訊息

「下載檔案」動作可以傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully returned related files for the following entities in VirusTotal: ENTITY_ID.

No related files were found for the following entities in VirusTotal: ENTITY_ID.

No related files were found for the provided entities in VirusTotal.

 動作成功。
Error executing action "Download File". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。

充實雜湊

使用「Enrich Hash」(擴充雜湊) 動作,透過 VirusTotal 的資訊擴充雜湊。

這項動作會在 Google SecOps Hash 實體上執行。

這項操作僅支援 MD5、SHA-1 和 SHA-256 雜湊。

動作輸入內容

Enrich Hash 動作需要下列參數:

參數 說明
Engine Threshold

選填。

實體必須由至少多少個引擎分類為惡意或可疑,才會被視為可疑。

如果您設定 Engine Whitelist,動作只會計入指定引擎的結果。
Engine Percentage Threshold

選填。

將實體標示為惡意或可疑的引擎所占的最低百分比,達到這個百分比時,系統就會將實體視為可疑。

如果您設定 Engine Whitelist,系統只會計算指定引擎的結果。如果您同時設定 Engine ThresholdEngine Percentage Threshold 參數,動作會使用 Engine Threshold 參數值。

這個參數的有效值介於 0100 之間 (含首尾)。
Engine Whitelist

選填。

以半形逗號分隔的引擎名稱清單,用於判斷雜湊是否為惡意時,考量動作。

如未設定值,動作會使用所有可用的引擎。如果引擎未提供實體相關資訊,就不會納入門檻計算。
Resubmit Hash

選填。

如果選取此選項,系統會重新提交雜湊值進行分析,而非使用現有結果。

預設為未選取。
Resubmit After (Days)

選填。

最新分析後重新提交雜湊的天數。

只有在選取 Resubmit Hash 參數時,這個參數才適用。

預設值為 30
Retrieve Comments

選填。

如果選取這個選項,動作會擷取與雜湊相關聯的留言。

(此為預設選項)。
Retrieve Sigma Analysis

選填。

如果選取這個選項,動作會擷取雜湊的 Sigma 分析結果。

(此為預設選項)。
Sandbox

選填。

以半形逗號分隔的沙箱環境清單,可用於行為分析。

如未設定值,動作會使用預設值。

預設值為 VirusTotal Jujubox
Retrieve Sandbox Analysis

選填。

如果選取這個選項,這項動作會擷取雜湊的沙箱分析結果,並為每個指定的沙箱在 JSON 輸出中建立個別區段。

(此為預設選項)。
Create Insight

選填。

如果選取這個選項,動作會建立洞察資料,其中包含所分析雜湊的相關資訊。

(此為預設選項)。
Only Suspicious Entity Insight

選填。

選取後,系統只會針對根據門檻參數判定為可疑的雜湊值產生洞察資料。

只有在選取 Create Insight 參數時,這個參數才適用。

預設為未選取。
Max Comments To Return

選填。

每次動作執行時要擷取的留言數量上限。

預設值為 10
Widget Theme

選填。

VirusTotal 小工具要使用的主題。

預設值為 Dark

可能的值如下:

  • Light
  • Dark
  • Chronicle
Fetch Widget

選填。

如果選取這個動作,系統會擷取與雜湊相關的擴增小工具。

(此為預設選項)。
Fetch MITRE Details

選填。

如果選取這個選項,這項動作會擷取與雜湊相關的 MITRE ATT&CK 技術和戰術。

預設為未選取。
Lowest MITRE Technique Severity

選填。

MITRE ATT&CK 技術的最低嚴重程度,可納入結果。這項動作會將 Unknown 嚴重程度視為 Info

可能的值如下:

  • High
  • Medium
  • Low
  • Info

預設值為 Low

動作輸出內容

「Enrich Hash」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 可用
案件訊息牆表格 可用
實體擴充資料表 可用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用

「Enrich Hash」動作可為每個經過擴充的實體提供下列連結:

名稱:報表連結

值:URL

案件訊息牆表格

「Enrich Hash」動作可為每個經過擴充的實體提供下表:

資料表名稱:ENTITY_ID

資料表欄:

  • 名稱
  • 類別
  • 方法
  • 結果

「Enrich Hash」動作可為每個有註解的實體提供下表:

表格名稱:Comments:ENTITY_ID

資料表欄:

  • 日期
  • 註解
  • 濫用投票
  • 負評
  • 贊成票
  • ID

Enrich Hash 動作可為每個有 Sigma 分析結果的實體提供下表:

表格名稱:Sigma Analysis:ENTITY_ID

資料表欄:

  • ID
  • 嚴重性
  • 來源
  • 標題
  • 說明
  • 比對內容
實體擴充資料表

下表列出使用「Enrich Hash」動作擴充的欄位:

補充資料欄位名稱 適用性
VT3_id 如果 JSON 結果中提供這項資訊,就會套用。
VT3_magic 如果 JSON 結果中提供這項資訊,就會套用。
VT3_md5 如果 JSON 結果中提供這項資訊,就會套用。
VT3_sha1 如果 JSON 結果中提供這項資訊,就會套用。
VT3_sha256 如果 JSON 結果中提供這項資訊,就會套用。
VT3_ssdeep 如果 JSON 結果中提供這項資訊,就會套用。
VT3_tlsh 如果 JSON 結果中提供這項資訊,就會套用。
VT3_vhash 如果 JSON 結果中提供這項資訊,就會套用。
VT3_meaningful_name 如果 JSON 結果中提供這項資訊,就會套用。
VT3_magic 如果 JSON 結果中提供這項資訊,就會套用。
VT3_harmless_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_malicious_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_suspicious_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_undetected_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_reputation 如果 JSON 結果中提供這項資訊,就會套用。
VT3_tags 如果 JSON 結果中提供這項資訊,就會套用。
VT3_malicious_vote_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_harmless_vote_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_report_link 如果 JSON 結果中提供這項資訊,就會套用。
JSON 結果

以下範例顯示使用「Enrich Hash」動作時收到的 JSON 結果輸出內容:

{
    "data": {
        "attributes": {
            "categories": {
                "Dr.Web": "known infection source/not recommended site",
                "Forcepoint ThreatSeeker": "compromised websites",
                "sophos": "malware repository, spyware and malware"
            },
            "first_submission_date": 1582300443,
            "html_meta": {},
            "last_analysis_date": 1599853405,
            "last_analysis_results": {
                "EXAMPLELabs": {
                    "category": "harmless",
                    "engine_name": "EXAMPLELabs",
                    "method": "blacklist",
                    "result": "clean"
                },
                "Example": {
                    "category": "harmless",
                    "engine_name": "Example",
                    "method": "blacklist",
                    "result": "clean"
                },
            },
            "last_analysis_stats": {
                "harmless": 64,
                "malicious": 6,
                "suspicious": 1,
                "timeout": 0,
                "undetected": 8
            },
            "last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
            "last_http_response_code": 404,
            "last_http_response_content_length": 204,
            "last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
            "last_http_response_headers": {
                "connection": "keep-alive",
                "content-length": "204",
                "content-type": "text/html; charset=iso-8859-1",
                "date": "Fri, 11 Sep 2020 19:51:50 GMT",
                "keep-alive": "timeout=60",
                "server": "nginx"
            },
            "last_modification_date": 1599853921,
            "last_submission_date": 1599853405,
            "reputation": 0,
            "tags": [
                "ip"
            ],
            "targeted_brand": {},
            "threat_names": [
                "Mal/HTMLGen-A"
            ],
            "times_submitted": 3,
            "title": "404 Not Found",
            "total_votes": {
                "harmless": 0,
                "malicious": 0
            },
            "trackers": {},
            "url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
        },
        "id": "ID",
        "links": {
            "self": "https://www.virustotal.com/api/v3/urls/ID"
        },
        "type": "url",
        "comments": [
"text": "attributes/text",
"date": "attributes/date"
]
    }
    "is_risky": true

"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}]
}
輸出訊息

「Enrich Hash」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully enriched the following hashes using VirusTotal: ENTITY_IDS.

Action wasn't able to enrich the following hashes using VirusTotal: ENTITY_IDS.

No hashes were enriched.

The following whitelisted engines were not found in VirusTotal: ENGINE_NAMES.

 動作成功。
Error executing action "Enrich Hash". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「Enrich Hash」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

充實 IOC

使用「Enrich IOC」動作,透過 VirusTotal 的資訊增補入侵指標 (IOC)。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「Enrich IOC」動作需要下列參數:

參數 說明
IOC Type

選填。

要擴充的 IOC 類型。

預設值為 Filehash

可能的值如下:

  • Filehash
  • URL
  • Domain
  • IP Address
IOCs

必填。

以半形逗號分隔的 IOC 清單,用於擴充資訊。
Widget Theme

選填。

小工具要使用的主題。

預設值為 Dark

可能的值如下:

  • Light
  • Dark
  • Chronicle
Fetch Widget

選填。

如果選取這個動作,系統會擷取 IOC 的小工具。

(此為預設選項)。

動作輸出內容

「Enrich IOC」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 可用
案件訊息牆表格 可用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用

「Enrich IOC」動作可為每個經過擴充的實體提供下列連結:

名稱:報表連結

值:URL

案件訊息牆表格

「Enrich IOC」(豐富 IOC) 動作可為每個豐富的實體提供下表:

資料表名稱:IOC_ID

資料表欄:

  • 名稱
  • 類別
  • 方法
  • 結果
JSON 結果

以下範例顯示使用「Enrich IOC」動作時收到的 JSON 結果輸出內容:

{
    "ioc": {
        "identifier": "203.0.113.1",
        "details": {
            "attributes": {
                "categories": {
                    "Dr.Web": "known infection source/not recommended site",
                    "Forcepoint ThreatSeeker": "compromised websites",
                    "sophos": "malware repository, spyware and malware"
                },
                "first_submission_date": 1582300443,
                "html_meta": {},
                "last_analysis_date": 1599853405,
                "last_analysis_results": {
                    "EXAMPLELabs": {
                        "category": "harmless",
                        "engine_name": "EXAMPLELabs",
                        "method": "blacklist",
                        "result": "clean"
                    },
                    "Example": {
                        "category": "harmless",
                        "engine_name": "Example",
                        "method": "blacklist",
                        "result": "clean"
                    }
                },
                "last_analysis_stats": {
                    "harmless": 64,
                    "malicious": 6,
                    "suspicious": 1,
                    "timeout": 0,
                    "undetected": 8
                },
                "last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
                "last_http_response_code": 404,
                "last_http_response_content_length": 204,
                "last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
                "last_http_response_headers": {
                    "connection": "keep-alive",
                    "content-length": "204",
                    "content-type": "text/html; charset=iso-8859-1",
                    "date": "Fri, 11 Sep 2020 19:51:50 GMT",
                    "keep-alive": "timeout=60",
                    "server": "nginx"
                },
                "last_modification_date": 1599853921,
                "last_submission_date": 1599853405,
                "reputation": 0,
                "tags": [
                    "ip"
                ],
                "targeted_brand": {},
                "threat_names": [
                    "Mal/HTMLGen-A"
                ],
                "times_submitted": 3,
                "title": "404 Not Found",
                "total_votes": {
                    "harmless": 0,
                    "malicious": 0
                },
                "trackers": {},
                "url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
            },
            "id": "ID",
            "links": {
                "self": "https://www.virustotal.com/api/v3/urls/ID"
            },
            "type": "url",
        "report_link": "{generated report link}",
            "widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
        }
    }
}
輸出訊息

「Ping」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully enriched the following IOCs using VirusTotal: IOC_LIST

No information found for the following IOCs using VirusTotal: IOC_LIST

No information about IOCs were found

 動作成功。
Error executing action "Enrich IOC". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「Enrich IOC」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

充實 IP

使用「Enrich IP」(擴充 IP) 動作,透過 VirusTotal 的資訊擴充 IP 位址。

這項動作會在 Google SecOps IP Address 實體上執行。

動作輸入內容

「Enrich IP」動作需要下列參數:

參數 說明
Engine Threshold

選填。

實體必須由至少多少個引擎分類為惡意或可疑,才會被視為可疑。

如果您設定 Engine Whitelist,動作只會計入指定引擎的結果。
Engine Percentage Threshold

選填。

引擎將實體分類為惡意或可疑時,視為可疑的最低百分比。

如果您設定 Engine Whitelist 參數,系統只會計算指定引擎的結果。如果同時設定 Engine ThresholdEngine Percentage Threshold 參數,動作會使用 Engine Threshold 參數值。

這個參數的有效值介於 0100 之間 (含首尾)。
Engine Whitelist

選填。

以半形逗號分隔的引擎名稱清單,用於判斷雜湊是否為惡意時,考量動作。

如未設定值,動作會使用所有可用的引擎。如果引擎未提供實體相關資訊,就不會納入門檻計算。
Retrieve Comments

選填。

如果選取這個選項,動作會擷取與雜湊相關聯的留言。

(此為預設選項)。
Create Insight

選填。

如果選取這個選項,動作會建立洞察資料,其中包含所分析雜湊的相關資訊。

(此為預設選項)。
Only Suspicious Entity Insight

選填。

選取後,系統只會針對根據門檻參數判定為可疑的雜湊值產生洞察資料。

只有在選取 Create Insight 參數時,這個參數才適用。

預設為未選取。
Max Comments To Return

選填。

每次動作執行時要擷取的留言數量上限。

預設值為 10
Widget Theme

選填。

VirusTotal 小工具要使用的主題。

預設值為 Dark

可能的值如下:

  • Light
  • Dark
  • Chronicle
Fetch Widget

選填。

如果選取這個動作,系統會擷取與雜湊相關的擴增小工具。

(此為預設選項)。

動作輸出內容

「Enrich IP」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 可用
案件訊息牆表格 可用
實體擴充資料表 可用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用

豐富 IP 動作可為每個豐富的實體提供下列連結:

名稱:報表連結

值:URL

案件訊息牆表格

「Enrich IP」(豐富 IP) 動作可為每個豐富的實體提供下表:

資料表名稱:ENTITY_ID

資料表欄:

  • 名稱
  • 類別
  • 方法
  • 結果

「Enrich IP」動作可為每個有註解的實體提供下表:

表格名稱:Comments:ENTITY_ID

資料表欄:

  • 日期
  • 註解
  • 濫用投票
  • 負評
  • 贊成票
  • ID
實體擴充資料表

下表列出使用「Enrich IP」動作擴充的欄位:

補充資料欄位名稱 適用性
VT3_id 如果 JSON 結果中提供這項資訊,就會套用。
VT3_owner 如果 JSON 結果中提供這項資訊,就會套用。
VT3_asn 如果 JSON 結果中提供這項資訊,就會套用。
VT3_continent 如果 JSON 結果中提供這項資訊,就會套用。
VT3_country 如果 JSON 結果中提供這項資訊,就會套用。
VT3_harmless_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_malicious_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_suspicious_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_undetected_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_certificate_valid_not_after 如果 JSON 結果中提供這項資訊,就會套用。
VT3_certificate_valid_not_before 如果 JSON 結果中提供這項資訊,就會套用。
VT3_reputation 如果 JSON 結果中提供這項資訊,就會套用。
VT3_tags 如果 JSON 結果中提供這項資訊,就會套用。
VT3_malicious_vote_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_harmless_vote_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_report_link 如果 JSON 結果中提供這項資訊,就會套用。
JSON 結果

以下範例顯示使用「Enrich IP」動作時收到的 JSON 結果輸出內容:

{
    "data": {
        "attributes": {
            "as_owner": "Example",
            "asn": 50673,
            "continent": "EU",
            "country": "NL",
            "last_analysis_results": {
                "EXAMPLELabs": {
                    "category": "harmless",
                    "engine_name": "ExampleLabs",
                    "method": "blacklist",
                    "result": "clean"
                },
                "example.com URL checker": {
                    "category": "harmless",
                    "engine_name": "example.com URL checker",
                    "method": "blacklist",
                    "result": "clean"
                },
                "example": {
                    "category": "harmless",
                    "engine_name": "example",
                    "method": "blacklist",
                    "result": "clean"
                },
                "example": {
                    "category": "harmless",
                    "engine_name": "example",
                    "method": "blacklist",
                    "result": "clean"
                }
            },
            "last_analysis_stats": {
                "harmless": 81,
                "malicious": 5,
                "suspicious": 1,
                "timeout": 0,
                "undetected": 8
            },
            "last_https_certificate": {
                "cert_signature": {
                    "signature": "48ae0d5d0eb411e56bd328b93c7212c72fd21785070648e11d9ae2b80386711699978e650eafa233d234671b87c8134c1c38c59f702518ddebdc7849dc512e0158941507970ab3ab93788d27df728d727d7f9d28ed358abb145fb24803d0eeab04687ae07c7f1d3176374367efc000bd26d3cfc0659e54826ea2dfa2366d7bd9e8ed3bd2ff8a26898b37fadea198f93de8cf3ae3d703513bc0638f7b411d8eda9a3ac9a7510d7bfe553592792d10f8b2c255bc4a05c8c6bfbdb8def045dc754b39c9b89d2a5140818622760eb116abf6fd0a5798c1e274fe56a056ed21f419a6873d314c15238a398d8049b5ecc1ca003d0a07a989a710d137e4fc74b5671caa",
                    "signature_algorithm": "sha256RSA"
                },
                "extensions": {
                    "1.3.6.1.4.1.11129.2.4.2": "0481f200f00075007d3ef2f88fff88556824c2c0ca9e5289792bc50e78097f2e",
                    "CA": true,
                    "authority_key_identifier": {
                        "keyid": "KEY_ID"
                    },
                    "ca_information_access": {
                        "CA Issuers": "http://example.RSADomainValidationSecureServerCA.crt",
                        "OCSP": "http://example.com"
                    },
                    "certificate_policies": [
                        "1.3.6.1.4.1.6449.1.2.2.7",
                        "2.23.140.1.2.1"
                    ],
                    "extended_key_usage": [
                        "serverAuth",
                        "clientAuth"
                    ],
                    "key_usage": [
                        "ff"
                    ],
                    "subject_alternative_name": [
                        "example-panel.xyz",
                        "www.example-panel.xyz"
                    ],
                    "subject_key_identifier": "4f6429eaccd761eca91d9120b004f9d962453fef",
                    "tags": []
                },
                "issuer": {
                    "C": "US",
                    "CN": "Example RSA Domain Validation Secure Server CA",
                    "L": "Mountain View",
                    "O": "Example Ltd.",
                },
                "public_key": {
                    "algorithm": "RSA",
                    "rsa": {
                        "exponent": "010001",
                        "key_size": 2048,
                        "modulus": "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"
                    }
                },
                "serial_number": "248562d360bcc919bb97883f0dfc609d",
                "signature_algorithm": "sha256RSA",
                "size": 1472,
                "subject": {
                    "CN": "example-panel.xyz"
                },
                "tags": [],
                "thumbprint": "f9aae62cc9262302e45d94fcc512d65529ea1b31",
                "thumbprint_sha256": "406ac0efb0ef67de743b1ab0f4e0352564a7d5ebbd71e3a883c067acc3563016",
                "validity": {
                    "not_after": "2021-08-06 23:59:59",
                    "not_before": "2020-08-06 00:00:00"
                },
                "version": "V3"
            },
            "last_https_certificate_date": 1605415789,
            "last_modification_date": 1605430702,
            "network": "203.0.113.0/24",
            "regional_internet_registry": "EXAMPLE",
            "reputation": -95,
            "tags": [],
            "total_votes": {
                "harmless": 0,
                "malicious": 10
            },
            "whois": "NetRange: 203.0.113.0 - 203.0.113.255\nCIDR: 203.0.113.0/24\nNetName: EXAMPLE-5\nNetHandle: NET-203-0-113-0-1\nParent: ()\nNetType: Allocated to EXAMPLE\nOrig",
            "whois_date": 1603912270
        },
        "id": "203.0.113.1",
        "links": {
            "self": "https://www.virustotal.com/api/v3/ip_addresses/203.0.113.1"
        },
        "type": "ip_address"
        "comments": [
"text": "attributes/text",
"date": "attributes/date"
]
    }
    "is_risky": true
}
輸出訊息

「Enrich IP」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully enriched the following IPs using VirusTotal: ENTITY_ID

Action wasn't able to enrich the following IPs using VirusTotal: ENTITY_ID

No IPs were enriched.

The following whitelisted engines were not found in VirusTotal: ENGINE_NAMES

 動作成功。
Error executing action "Enrich IP". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「Enrich IP」(豐富 IP) 動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

充實網址

使用「Enrich URL」(擴充網址) 動作,透過 VirusTotal 的資訊擴充網址。

這項動作會在 Google SecOps URL 實體上執行。

動作輸入內容

「Enrich URL」動作需要下列參數:

參數 說明
Engine Threshold

選填。

如果網址要視為可疑,至少須有這個數量的引擎將網址歸類為惡意或可疑。

如果您設定 Engine Whitelist,動作只會計入指定引擎的結果。
Engine Percentage Threshold

選填。

如果網址要視為可疑,至少要有這個百分比的引擎將網址歸類為惡意或可疑。

如果您設定 Engine Whitelist 參數,動作只會計算指定引擎的結果。如果您同時設定 Engine ThresholdEngine Percentage Threshold 參數,動作會使用 Engine Threshold 參數值。

這個參數的有效值介於 0100 之間 (含首尾)。
Engine Whitelist

選填。

以半形逗號分隔的引擎名稱清單,用於判斷雜湊是否為惡意時,考量動作。
Resubmit URL

選填。

如果選取這個選項,系統會重新提交網址以供分析,而非使用現有結果。

預設為未選取。
Resubmit After (Days)

選填。

最新分析後重新提交網址的天數。

只有在選取 Resubmit URL 參數時,這個參數才適用。

預設值為 30
Retrieve Comments

選填。

如果選取這個選項,動作會擷取與網址相關聯的留言。

(此為預設選項)。
Create Insight

選填。

如果選取這個選項,系統會建立洞察資料,其中包含所分析網址的相關資訊。

(此為預設選項)。
Only Suspicious Entity Insight

選填。

如果選取這個選項,系統只會針對根據門檻參數判定為可疑的網址產生洞察資料。

只有在選取 Create Insight 參數時,這個參數才適用。

預設為未選取。
Max Comments To Return

選填。

每次動作執行時要擷取的留言數量上限。

預設值為 10
Widget Theme

選填。

VirusTotal 小工具要使用的主題。

預設值為 Dark

可能的值如下:

  • Light
  • Dark
  • Chronicle
Fetch Widget

選填。

如果選取這個動作,系統會擷取與雜湊相關的擴增小工具。

(此為預設選項)。

動作輸出內容

「豐富網址」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 可用
案件訊息牆表格 可用
實體擴充資料表 可用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用

「豐富網址」動作可為每個豐富的實體提供下列連結:

名稱:報表連結

值:URL

案件訊息牆表格

擴充網址動作可為每個擴充實體提供下表:

資料表名稱:ENTITY_ID

資料表欄:

  • 名稱
  • 類別
  • 方法
  • 結果

「豐富網址」動作可為每個有註解的實體提供下表:

表格名稱:Comments:ENTITY_ID

資料表欄:

  • 日期
  • 註解
  • 濫用投票
  • 負評
  • 贊成票
  • ID
實體擴充資料表

下表列出使用「Enrich URL」(擴充網址) 動作擴充的欄位:

補充資料欄位名稱 適用性
VT3_id 如果 JSON 結果中提供這項資訊,就會套用。
VT3_title 如果 JSON 結果中提供這項資訊,就會套用。
VT3_last_http_response_code 如果 JSON 結果中提供這項資訊,就會套用。
VT3_last_http_response_content_length 如果 JSON 結果中提供這項資訊,就會套用。
VT3_threat_names 如果 JSON 結果中提供這項資訊,就會套用。
VT3_harmless_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_malicious_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_suspicious_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_undetected_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_reputation 如果 JSON 結果中提供這項資訊,就會套用。
VT3_tags 如果 JSON 結果中提供這項資訊,就會套用。
VT3_malicious_vote_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_harmless_vote_count 如果 JSON 結果中提供這項資訊,就會套用。
VT3_report_link 如果 JSON 結果中提供這項資訊,就會套用。
JSON 結果

以下範例顯示使用「Enrich URL」動作時收到的 JSON 結果輸出內容:

{
    "data": {
        "attributes": {
            "categories": {
                "Dr.Web": "known infection source/not recommended site",
                "Forcepoint ThreatSeeker": "compromised websites",
                "sophos": "malware repository, spyware and malware"
            },
            "first_submission_date": 1582300443,
            "html_meta": {},
            "last_analysis_date": 1599853405,
            "last_analysis_results": {
                "AEXAMPLELabs": {
                    "category": "harmless",
                    "engine_name": "EXAMPLELabs",
                    "method": "blacklist",
                    "result": "clean"
                },
                "Example": {
                    "category": "harmless",
                    "engine_name": "Example",
                    "method": "blacklist",
                    "result": "clean"
                },
            },
            "last_analysis_stats": {
                "harmless": 64,
                "malicious": 6,
                "suspicious": 1,
                "timeout": 0,
                "undetected": 8
            },
            "last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
            "last_http_response_code": 404,
            "last_http_response_content_length": 204,
            "last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
            "last_http_response_headers": {
                "connection": "keep-alive",
                "content-length": "204",
                "content-type": "text/html; charset=iso-8859-1",
                "date": "Fri, 11 Sep 2020 19:51:50 GMT",
                "keep-alive": "timeout=60",
                "server": "nginx"
            },
            "last_modification_date": 1599853921,
            "last_submission_date": 1599853405,
            "reputation": 0,
            "tags": [
                "ip"
            ],
            "targeted_brand": {},
            "threat_names": [
                "Mal/HTMLGen-A"
            ],
            "times_submitted": 3,
            "title": "404 Not Found",
            "total_votes": {
                "harmless": 0,
                "malicious": 0
            },
            "trackers": {},
            "url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
        },
        "id": "ID",
        "links": {
            "self": "https://www.virustotal.com/api/v3/urls/ID"
        },
        "type": "url",
        "comments": [
"text": "attributes/text",
"date": "attributes/date"
]
    }
    "is_risky": true
}
輸出訊息

「Enrich URL」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully enriched the following URLs using VirusTotal: ENTITY_ID

Action wasn't able to enrich the following URLs using VirusTotal: ENTITY_ID

No URLs were enriched.

The following whitelisted engines were not found in VirusTotal: ENGINE_NAMES

Waiting for action to retrieve results for the following URLs: URLS

 動作成功。
Error executing action "Enrich URL". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「Enrich URL」(擴充網址) 動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

取得網域詳細資料

使用「取得網域詳細資料」動作,透過 VirusTotal 的資訊擷取網域的詳細資訊。

這項動作會在下列 Google SecOps 實體上執行:

  • URL
  • Hostname

動作輸入內容

「取得網域詳細資料」動作需要下列參數:

參數 說明
Engine Threshold

選填。

網域必須由至少多少個引擎分類為惡意或可疑,才會被視為可疑。
Engine Percentage Threshold

選填。

網域必須由至少這個百分比的引擎分類為惡意或可疑,才會被視為可疑。
Engine Whitelist

選填。

以半形逗號分隔的引擎名稱清單,用於評估網域風險。
Retrieve Comments

選填。

如果選取這項動作,系統會從 VirusTotal 擷取與網域相關聯的留言。

(此為預設選項)。
Create Insight

選填。

如果選取這個動作,系統會建立洞察資料,提供網域相關資訊。

(此為預設選項)。
Only Suspicious Entity Insight

選填。

選取後,系統只會針對根據門檻參數判定為可疑的實體產生洞察資料。

預設為未選取。
Max Comments To Return

選填。

每次動作執行時,網域可擷取的留言數上限。

預設值為 10
Widget Theme

選填。

VirusTotal 小工具要使用的主題。

預設值為 Dark

可能的值如下:

  • Light
  • Dark
  • Chronicle
Fetch Widget

選填。

選取這個動作後,系統會擷取並顯示網域的 VirusTotal 小工具。

(此為預設選項)。

動作輸出內容

「取得網域詳細資料」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 可用
案件訊息牆表格 可用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用

「取得網域詳細資料」動作可為每個經過擴充的實體提供下列連結:

名稱:報表連結

值:URL

案件訊息牆表格

「取得網域詳細資料」動作可為每個經過擴充的實體提供下表:

資料表名稱:ENTITY_ID

資料表欄:

  • 名稱
  • 類別
  • 方法
  • 結果

「取得網域詳細資料」動作可為每個有留言的實體提供下表:

表格名稱:Comments:ENTITY_ID

資料表欄:

  • 日期
  • 註解
  • 濫用投票
  • 負評
  • 贊成票
  • ID
JSON 結果

以下範例顯示使用「取得網域詳細資料」動作時收到的 JSON 結果輸出內容:

{
    "data": {
        "attributes": {
            "categories": {
                "Dr.Web": "known infection source/not recommended site",
                "Forcepoint ThreatSeeker": "compromised websites",
                "sophos": "malware repository, spyware and malware"
            },
            "first_submission_date": 1582300443,
            "html_meta": {},
            "last_analysis_date": 1599853405,
            "last_analysis_results": {
                "EXAMPLELabs": {
                    "category": "harmless",
                    "engine_name": "EXAMPLELabs",
                    "method": "blacklist",
                    "result": "clean"
                },
                "Example": {
                    "category": "harmless",
                    "engine_name": "Example",
                    "method": "blacklist",
                    "result": "clean"
                },
            },
            "last_analysis_stats": {
                "harmless": 64,
                "malicious": 6,
                "suspicious": 1,
                "timeout": 0,
                "undetected": 8
            },
            "last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
            "last_http_response_code": 404,
            "last_http_response_content_length": 204,
            "last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
            "last_http_response_headers": {
                "connection": "keep-alive",
                "content-length": "204",
                "content-type": "text/html; charset=iso-8859-1",
                "date": "Fri, 11 Sep 2020 19:51:50 GMT",
                "keep-alive": "timeout=60",
                "server": "nginx"
            },
            "last_modification_date": 1599853921,
            "last_submission_date": 1599853405,
            "reputation": 0,
            "tags": [
                "ip"
            ],
            "targeted_brand": {},
            "threat_names": [
                "Mal/HTMLGen-A"
            ],
            "times_submitted": 3,
            "title": "404 Not Found",
            "total_votes": {
                "harmless": 0,
                "malicious": 0
            },
            "trackers": {},
            "url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
        },
        "id": "ID",
        "links": {
            "self": "https://www.virustotal.com/api/v3/urls/ID"
        },
        "type": "url",
        "comments": [
"text": "attributes/text",
"date": "attributes/date"
]
    }
    "is_risky": true
}
輸出訊息

「Get Domain Details」動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully returned details about the following domains using VirusTotal: DOMAINS

Action wasn't able to return details about the following domains using VirusTotal: DOMAINS

The following whitelisted engines were not found in VirusTotal: ENGINE_NAMES

 動作成功。
Error executing action "Get Domain Details". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「取得網域詳細資料」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

取得圖表詳細資料

使用「Get Graph Details」(取得圖表詳細資料) 動作,取得 VirusTotal 中圖表的詳細資訊。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「取得圖表詳細資料」動作需要下列參數:

參數 說明
Graph ID

必填。

以半形逗號分隔的圖表 ID 清單,用於擷取詳細資料。
Max Links To Return

選填。

每個圖表要傳回的連結數量上限。

預設值為 50

動作輸出內容

「Get Graph Details」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 可用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
案件訊息牆表格

「取得圖表詳細資料」動作可為每個經過擴充的實體提供下表:

表格名稱:圖表 ENTITY_ID 連結

資料表欄:

  • 來源
  • 目標
  • 連線類型
JSON 結果

下列範例顯示使用「Get Graph Details」(取得圖表詳細資料) 動作時收到的 JSON 結果輸出內容:

{
    "data": {
        "attributes": {
            "comments_count": 0,
            "creation_date": 1603219837,
            "graph_data": {
                "description": "Example LLC",
                "version": "api-5.0.0"
            },
            "last_modified_date": 1603219837,
            "links": [
                {
                    "connection_type": "last_serving_ip_address",
                    "source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
                    "target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
                },
                {
                    "connection_type": "last_serving_ip_address",
                    "source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
                    "target": "203.0.113.3"
                },
                {
                    "connection_type": "network_location",
                    "source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
                    "target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
                },
                {
                    "connection_type": "network_location",
                    "source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
                    "target": "203.0.113.3"
                },
                {
                    "connection_type": "communicating_files",
                    "source": "203.0.113.3",
                    "target": "relationships_communicating_files_20301133"
                },
                {
                    "connection_type": "communicating_files",
                    "source": "relationships_communicating_files_20301133",
                    "target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
                },
                {
                    "connection_type": "communicating_files",
                    "source": "relationships_communicating_files_20301133",
                    "target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
                },
                {
                    "connection_type": "communicating_files",
                    "source": "relationships_communicating_files_20301133",
                    "target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
                },
                {
                    "connection_type": "communicating_files",
                    "source": "relationships_communicating_files_20301133",
                    "target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
                },
                {
                    "connection_type": "communicating_files",
                    "source": "relationships_communicating_files_20301133",
                    "target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
                },
                {
                    "connection_type": "communicating_files",
                    "source": "relationships_communicating_files_20301133",
                    "target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
                },
                {
                    "connection_type": "communicating_files",
                    "source": "relationships_communicating_files_20301133",
                    "target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
                },
                {
                    "connection_type": "communicating_files",
                    "source": "relationships_communicating_files_20301133",
                    "target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
                },
                {
                    "connection_type": "communicating_files",
                    "source": "relationships_communicating_files_20301133",
                    "target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
                },
                {
                    "connection_type": "communicating_files",
                    "source": "relationships_communicating_files_20301133",
                    "target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
                }
            ],
            "nodes": [
                {
                    "entity_attributes": {
                        "has_detections": false
                    },
                    "entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
                    "index": 0,
                    "text": "",
                    "type": "url",
                    "x": 51.22276722115952,
                    "y": 65.7811310194184
                },
                {
                    "entity_attributes": {},
                    "entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
                    "index": 1,
                    "text": "",
                    "type": "relationship",
                    "x": 25.415664700492094,
                    "y": 37.66636498768037
                },
                {
                    "entity_attributes": {
                        "country": "US"
                    },
                    "entity_id": "203.0.113.3",
                    "fx": -19.03611541222395,
                    "fy": 24.958500220062717,
                    "index": 2,
                    "text": "",
                    "type": "ip_address",
                    "x": -19.03611541222395,
                    "y": 24.958500220062717
                },
                {
                    "entity_attributes": {},
                    "entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
                    "index": 3,
                    "text": "",
                    "type": "relationship",
                    "x": 14.37403861978968,
                    "y": 56.85562691824892
                },
                {
                    "entity_attributes": {},
                    "entity_id": "relationships_communicating_files_20301133",
                    "index": 4,
                    "text": "",
                    "type": "relationship",
                    "x": -51.78097726144755,
                    "y": 10.087893225996158
                },
                {
                    "entity_attributes": {
                        "has_detections": true,
                        "type_tag": "peexe"
                    },
                    "entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
                    "index": 5,
                    "text": "",
                    "type": "file",
                    "x": -79.11606194776019,
                    "y": -18.475026322309112
                },
                {
                    "entity_attributes": {
                        "has_detections": true,
                        "type_tag": "peexe"
                    },
                    "entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
                    "index": 6,
                    "text": "",
                    "type": "file",
                    "x": -64.80938048199627,
                    "y": 46.75892061191275
                },
                {
                    "entity_attributes": {
                        "has_detections": true,
                        "type_tag": "android"
                    },
                    "entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
                    "index": 7,
                    "text": "",
                    "type": "file",
                    "x": -43.54064004476819,
                    "y": -28.547923020662786
                },
                {
                    "entity_attributes": {
                        "has_detections": true,
                        "type_tag": "android"
                    },
                    "entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
                    "index": 8,
                    "text": "",
                    "type": "file",
                    "x": -15.529860440278318,
                    "y": -2.068209789825876
                },
                {
                    "entity_attributes": {
                        "has_detections": true,
                        "type_tag": "android"
                    },
                    "entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
                    "index": 9,
                    "text": "",
                    "type": "file",
                    "x": -42.55971948293377,
                    "y": 46.937155845680415
                },
                {
                    "entity_attributes": {
                        "has_detections": true,
                        "type_tag": "html"
                    },
                    "entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
                    "index": 10,
                    "text": "",
                    "type": "file",
                    "x": -62.447976875107706,
                    "y": -28.172418384729067
                },
                {
                    "entity_attributes": {
                        "has_detections": true,
                        "type_tag": "android"
                    },
                    "entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
                    "index": 11,
                    "text": "",
                    "type": "file",
                    "x": -89.0326649183805,
                    "y": -2.2638551448322484
                },
                {
                    "entity_attributes": {
                        "has_detections": true,
                        "type_tag": "android"
                    },
                    "entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
                    "index": 12,
                    "text": "",
                    "type": "file",
                    "x": -26.35260716195174,
                    "y": -20.25669077264115
                },
                {
                    "entity_attributes": {
                        "has_detections": true,
                        "type_tag": "android"
                    },
                    "entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
                    "index": 13,
                    "text": "",
                    "type": "file",
                    "x": -82.1415994911387,
                    "y": 34.89636762607467
                },
                {
                    "entity_attributes": {
                        "has_detections": true,
                        "type_tag": "android"
                    },
                    "entity_id": "ENTITY_ID",
                    "index": 14,
                    "text": "",
                    "type": "file",
                    "x": -90.87738694680043,
                    "y": 16.374462198116138
                }
            ],
            "private": false,
            "views_count": 30
        },
        "id": "ID",
        "links": {
            "self": "https://www.virustotal.com/api/v3/graphs/ID"
        },
        "type": "graph"
    }
}
輸出訊息

「取得圖表詳細資料」動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully returned details about the following graphs in VirusTotal: GRAPH_IDS

Action wasn't able to return details about the following graphs in VirusTotal: GRAPH_IDS

No information about the provided graphs was found.

 動作成功。
Error executing action "Get Graph Details". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「取得圖表詳細資料」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

使用「Get Related Domains」(取得相關網域) 動作,從 VirusTotal 取得與所提供實體相關的網域。

如要執行「取得相關網域」動作,必須使用 VirusTotal Enterprise (VTE)。

這項操作僅支援 MD5、SHA-1 和 SHA-256 雜湊。

這項動作會在下列 Google SecOps 實體上執行:

  • Hash
  • Hostname
  • IP Address
  • URL

動作輸入內容

「取得相關網域」動作需要下列參數:

參數 說明
Results

選填。

傳回 JSON 結果的順序。

可能的值如下:

  • Combined
  • Per Entity

如果選取 Combined,這項動作會傳回所提供實體的所有不重複結果。如果選取 Per Entity,動作會傳回每個實體的所有不重複項目。

預設值為 Combined
Max Domains To Return

選填。

要傳回的網域數量。

如果您在 Results 參數中選取 Combined ,動作會傳回所有實體的設定網域數量。如果您在 Results 參數中選取 Per Entity ,動作會傳回每個實體的設定網域數量。

預設值為 40

動作輸出內容

「取得相關網域」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「取得相關網域」動作時收到的 JSON 結果輸出內容:

{
    "domain": ["example.com"]
}
輸出訊息

「Get Related Domains」(取得相關網域) 動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully returned related domains for the provided entities from VirusTotal.

No related domains were found for the provided entities from VirusTotal.

 動作成功。
Error executing action "Get Related Domains". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「取得相關網域」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

使用「Get Related Hashes」(取得相關雜湊) 動作,從 VirusTotal 取得與所提供實體相關的雜湊。

如要執行「取得相關雜湊」動作,必須使用 VirusTotal Enterprise (VTE)。

這項操作僅支援 MD5、SHA-1 和 SHA-256 雜湊。

這項動作會在下列 Google SecOps 實體上執行:

  • Hash
  • Hostname
  • IP Address
  • URL

動作輸入內容

「取得相關雜湊值」動作需要下列參數:

參數 說明
Results

選填。

傳回 JSON 結果的順序。

可能的值如下:

  • Combined
  • Per Entity

如果選取 Combined,這項動作會傳回所提供實體的所有不重複結果。如果選取 Per Entity,動作會傳回每個實體的所有不重複項目。

預設值為 Combined
Max Hashes To Return

選填。

要傳回的檔案雜湊數量。

如果您在 Results 參數中選取 Combined,動作會傳回所有實體的設定雜湊數。如果您在 Results 參數中選取 Per Entity,動作會傳回每個實體的設定雜湊數。

預設值為 40

動作輸出內容

「取得相關雜湊」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「取得相關雜湊」動作時收到的 JSON 結果輸出內容:

{
    "sha256_hashes": ["http://example.com"]
}
輸出訊息

「Get Related Hashes」(取得相關雜湊) 動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully returned related hashes for the provided entities from VirusTotal.

No related hashes were found for the provided entities from VirusTotal.

 動作成功。
Error executing action "Get Related Hashes". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「取得相關雜湊」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

使用「Get Related IPs」(取得相關 IP) 動作,從 VirusTotal 取得與所提供實體相關的 IP 位址。

如要執行「取得相關 IP」動作,必須使用 VirusTotal Enterprise (VTE)。

這項操作僅支援 MD5、SHA-1 和 SHA-256 雜湊。

這項動作會在下列 Google SecOps 實體上執行:

  • Hash
  • Hostname
  • IP Address
  • URL

動作輸入內容

「取得相關 IP」動作需要下列參數:

參數 說明
Results

選填。

傳回 JSON 結果的順序。

可能的值如下:

  • Combined
  • Per Entity

如果選取 Combined,這項動作會傳回所提供實體的所有不重複結果。如果選取 Per Entity,動作會傳回每個實體的所有不重複項目。

預設值為 Combined
Max IPs To Return

選填。

要傳回的 IP 位址數量。

如果您在 Results 參數中選取 Combined,動作會傳回所有實體的設定 IP 位址數量。如果您在 Results 參數中選取 Per Entity,動作會傳回每個實體設定的 IP 位址數量。

預設值為 40

動作輸出內容

「取得相關 IP」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「取得相關 IP」動作時收到的 JSON 結果輸出內容:

{
    "ips": ["203.0.113.1"]
}
輸出訊息

「取得相關 IP」動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully returned related IPs to the provided entities from VirusTotal.

No related IPs were found to the provided entities from VirusTotal.

 動作成功。
Error executing action "Get Related IPs". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「取得相關 IP」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

使用「Get Related URLs」(取得相關網址) 動作,從 VirusTotal 取得與所提供實體相關的網址。

如要執行「取得相關網址」動作,必須使用 VirusTotal Enterprise (VTE)。

這項操作僅支援 MD5、SHA-1 和 SHA-256 雜湊。

這項動作會在下列 Google SecOps 實體上執行:

  • Hash
  • jsHostname
  • IP Address
  • URL

動作輸入內容

「取得相關網址」動作需要下列參數:

參數 說明
Results

選填。

傳回 JSON 結果的順序。

可能的值如下:

  • Combined
  • Per Entity

如果選取 Combined,這項動作會傳回所提供實體的所有不重複結果。如果選取 Per Entity,動作會傳回每個實體的所有不重複項目。

預設值為 Combined
Max URLs To Return

選填。

要傳回的網址數量。

如果您在 Results 參數中選取 Combined,動作會傳回所有實體的設定網址數量。如果您在 Results 參數中選取 Per Entity,動作會傳回每個實體的設定網址數量。

預設值為 40

動作輸出內容

「取得相關網址」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「取得相關網址」動作時收到的 JSON 結果輸出內容:

{
    "urls": ["http://example.com"]
}
輸出訊息

「取得相關網址」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully returned related URLs to the provided entities from VirusTotal.

No related URLs were found to the provided entities from VirusTotal.

 動作成功。
Error executing action "Get Related URLs". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「取得相關網址」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

乒乓

使用「Ping」動作測試與 VirusTotal 的連線。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

動作輸出內容

「Ping」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「Ping」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully connected to the VirusTotal server with the provided connection parameters!

 動作成功。
Failed to connect to the VirusTotal server! Error is ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「Ping」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

搜尋實體圖表

使用「Search Entity Graphs」動作,根據 VirusTotal 中的實體搜尋圖表。

這項操作僅支援 MD5、SHA-1 和 SHA-256 雜湊。

這項動作會在下列 Google SecOps 實體上執行:

  • Hash
  • IP Address
  • Threat Actor
  • URL
  • User

動作輸入內容

「搜尋實體圖表」動作需要下列參數:

參數 說明
Sort Field

選填。

用於排序 VirusTotal 圖表的欄位值。

預設值為 Owner

可能的值如下:

  • Owner
  • Creation Date
  • Last Modified Date
  • Views Count
  • Comments Count
Max Graphs To Return

選填。

每次動作執行時傳回的圖表數量上限。

預設值為 10

動作輸出內容

「搜尋實體圖」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「搜尋實體圖形」動作時收到的 JSON 結果輸出內容:

{
    "data": [
        {
            "attributes": {
                "graph_data": {
                    "description": "EXAMPLE",
                    "version": "5.0.0"
                }
            },
            "id": "ID",
            "links": {
                "self": "https://www.virustotal.com/api/v3/graphs/ID"
            },
            "type": "graph"
        },
        {
            "attributes": {
                "graph_data": {
                    "description": "Example Feb2020",
                    "version": "5.0.0"
                }
            },
            "id": "ID_2",
            "links": {
                "self": "https://www.virustotal.com/api/v3/graphs/ID_2"
            },
            "type": "graph"
        }
    ],
    "links": {
        "next": "https://www.virustotal",
        "self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
    },
    "meta": {
        "cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
    }
}
輸出訊息

「搜尋實體圖表」動作可傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully returned graphs based on the provided entities in VirusTotal.

Action wasn't able to successfully return graph based on the provided entities on VirusTotal. Reason: ERROR_REASON.

No graphs were found for the provided entities.

 動作成功。
Error executing action "Search Entity Graphs". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。

搜尋圖表

使用「Search Graphs」動作,根據 VirusTotal 中的自訂篩選器搜尋圖表。

這項操作不會在 Google SecOps 實體上執行。

參數 說明
Query

必填。

圖表的查詢篩選器。

如要進一步瞭解查詢,請參閱「如何建立查詢」和「圖表相關修飾符」。
Sort Field

選填。

用於排序 VirusTotal 圖表的欄位值。

預設值為 Owner

可能的值如下:

  • Owner
  • Creation Date
  • Last Modified Date
  • Views Count
  • Comments Count
Max Graphs To Return

選填。

每次動作執行時傳回的圖表數量上限。

預設值為 10

如何建立查詢

如要縮小圖形搜尋結果範圍,請建立包含圖形相關修飾符的查詢。如要改善搜尋結果,可以將修飾符與 ANDORNOT 運算子合併使用。

日期和數值欄位支援加號 (+) 或減號 (-) 後置字元。加號後置字元會比對大於所提供的值。負號後置字元會比對小於提供的值。如果沒有後置字元,查詢會傳回完全相符的結果。

如要定義範圍,您可以在查詢中多次使用相同的修飾符。舉例來說,如要搜尋 2018 年 11 月 15 日至 2018 年 11 月 20 日之間建立的圖表,請使用下列查詢:

creation_date:2018-11-15+ creation_date:2018-11-20-

如果日期或月份以 0 開頭,請移除查詢中的 0 字元。 舉例來說,您可以將 2018 年 11 月 1 日的日期格式設為 2018-11-1

下表列出可用來建構搜尋查詢的修飾符:

修飾詞 說明 範例
Id 依圖表 ID 篩選。 id:g675a2fd4c8834e288af
Name 依圖表名稱篩選。 name:Example-name
Owner 篩選使用者擁有的圖表。 owner:example_user
Group 依群組擁有的圖表篩選。 group:example
Visible_to_user 依使用者可見的圖表篩選。 visible_to_user:example_user
Visible_to_group 依群組可見的圖表篩選。 visible_to_group:example
Private 依私有圖表篩選。 private:trueprivate:false
Creation_date 依圖表建立日期篩選。 creation_date:2018-11-15
last_modified_date 依圖表上次修改日期篩選。 last_modified_date:2018-11-20
Total_nodes 依含有特定節點數量的圖表進行篩選。 total_nodes:100
Comments_count 依圖表中的留言數篩選。 comments_count:10+
Views_count 依圖表瀏覽次數篩選。 views_count:1000+
Label 篩選含有特定標籤節點的圖表。 label:Kill switch
File 篩選含有特定檔案的圖表。 file:131f95c51cc819465fa17
Domain 篩選含有特定網域的圖表。 domain:example.com
Ip_address 依含有特定 IP 位址的圖表篩選。 ip_address:203.0.113.1
Url 篩選含有特定網址的圖表。 url:https://example.com/example/
Actor 篩選出包含特定參與者的圖表。 actor:example actor
Victim 篩選出含有特定受害者的圖表。 victim:example_user
Email 篩選包含特定電子郵件地址的圖表。 email:user@example.com
Department 篩選含有特定部門的圖表。 department:engineers

動作輸出內容

「搜尋圖表」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

下列範例顯示使用「搜尋圖表」動作時收到的 JSON 結果輸出內容:

{
    "data": [
        {
            "attributes": {
                "graph_data": {
                    "description": "EXAMPLE",
                    "version": "5.0.0"
                }
            },
            "id": "ID",
            "links": {
                "self": "https://www.virustotal.com/api/v3/graphs/ID"
            },
            "type": "graph"
        },
        {
            "attributes": {
                "graph_data": {
                    "description": "Example Feb2020",
                    "version": "5.0.0"
                }
            },
            "id": "ID_2",
            "links": {
                "self": "https://www.virustotal.com/api/v3/graphs/ID_2"
            },
            "type": "graph"
        }
    ],
    "links": {
        "next": "https://www.virustotal",
        "self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
    },
    "meta": {
        "cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
    }
}
輸出訊息

「搜尋圖表」動作可以傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully returned graphs for the provided query in VirusTotal.

Action wasn't able to successfully return graph for the provided query in VirusTotal. Reason: ERROR_REASON.

No graphs were found for the provided query.

 動作成功。
Error executing action "Search Graphs". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「搜尋圖表」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

搜尋 IOC

使用「搜尋 IOC」動作,在 VirusTotal 資料集中搜尋 IOC。

如要執行「搜尋 IOC」動作,必須使用 VirusTotal Enterprise (VTE)。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「搜尋 IOC」動作需要下列參數:

參數 說明
Query

必填。

用於搜尋 IOC 的查詢。

預設值為 ""

如要設定查詢,請按照適用於 VirusTotal Intelligence 使用者介面的查詢語法操作。
Create Entities

選填。

如果選取這個選項,系統會為傳回的 IOC 建立實體。

這項操作不會擴充實體。

預設為未選取。
Order By

必填。

傳回結果的排序欄位。

可能的值如下:

  • Use Default Order
  • Last Submission Date
  • First Submission Date
  • Positives
  • Times Submitted
  • Creation Date
  • Last Modification Date Last Update Date

實體類型可以有不同的排序欄位。如要進一步瞭解如何在 VirusTotal 中搜尋檔案,請參閱「進階語料庫搜尋」。

預設值為 Use Default Order
Sort Order

選填。

結果的排序順序。

可能的值如下:

  • Ascending
  • Descending

如果為 Order By 參數設定 Use Default Order 值,動作會忽略這個參數。

預設值為 Descending
Max IOCs To Return

選填。

要傳回的 IOC 數量。

上限為 300

預設值為 10

動作輸出內容

「搜尋 IOC」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例顯示使用「搜尋 IOC」動作時收到的 JSON 結果輸出內容:

{
  "data": [
    {
      "attributes": {
        "type_description": "Email",
        "tlsh": "T1B4D31F04BE452B3093E7238E064E6FDBAFCC135F6611F1C60881AAD6C5C77A2E57D689",
        "exiftool": {
          "MIMEType": "text/plain",
          "FileType": "TXT",
          "WordCount": "2668",
          "LineCount": "1820",
          "MIMEEncoding": "us-ascii",
          "FileTypeExtension": "txt",
          "Newlines": "Windows CRLF"
        },
        "type_tags": [
          "internet",
          "email"
        ],
        "threat_severity": {
          "threat_severity_level": "SEVERITY_HIGH",
          "threat_severity_data": {
            "num_gav_detections": 3,
            "has_vulnerabilities": true,
            "popular_threat_category": "trojan",
            "type_tag": "email",
            "has_embedded_ips_with_detections": true
          },
          "last_analysis_date": "1698050597",
          "version": 2,
          "level_description": "Severity HIGH because it was considered trojan. Other contributing factors were that it has known exploits, it contains embedded IPs with detections and it could not be run in sandboxes."
        },
        "names": [
          "Re Example.eml"
        ],
        "last_modification_date": 1698057197,
        "type_tag": "email",
        "times_submitted": 1,
        "total_votes": {
          "harmless": 0,
          "malicious": 0
        },
        "size": 132299,
        "popular_threat_classification": {
          "suggested_threat_label": "obfsobjdat/malformed",
          "popular_threat_name": [
            {
              "count": 8,
              "value": "obfsobjdat"
            },
            {
              "count": 2,
              "value": "malformed"
            }
          ]
        },
        "last_submission_date": 1698049979,
        "last_analysis_results": {
          "Bkav": {
            "category": "undetected",
            "engine_name": "Example1",
            "engine_version": "2.0.0.1",
            "result": null,
            "method": "blacklist",
            "engine_update": "20231023"
          },
          "Lionic": {
            "category": "undetected",
            "engine_name": "Example2",
            "engine_version": "7.5",
            "result": null,
            "method": "blacklist",
            "engine_update": "20231023"
          },
        },
        "downloadable": true,
        "trid": [
          {
            "file_type": "file seems to be plain text/ASCII",
            "probability": 0
          }
        ],
        "sha256": "2d9df36964fe2e477e6e0f7a73391e4d4b2eeb0995dd488b431c4abfb4c27dbf",
        "type_extension": "eml",
        "tags": [
          "exploit",
          "cve-2018-0802",
          "cve-2018-0798",
          "email",
          "cve-2017-11882"
        ],
        "last_analysis_date": 1698049979,
        "unique_sources": 1,
        "first_submission_date": 1698049979,
        "ssdeep": "768:MedEkBNnx8ueVV+fitChi9KbpK0fixbRwHbcElIK944tCVQOgzdsSuom+cWmsCGY:Meo+fitC0mKuixYxlI1OO1cSPo0gptA",
        "md5": "bdfe36052e0c083869505ef4fd77e865",
        "sha1": "3a350de97009efe517ceffcea406534bb1ab800c",
        "magic": "SMTP mail, ASCII text, with CRLF line terminators",
        "last_analysis_stats": {
          "harmless": 0,
          "type-unsupported": 16,
          "suspicious": 0,
          "confirmed-timeout": 0,
          "timeout": 0,
          "failure": 0,
          "malicious": 28,
          "undetected": 32
        },
        "meaningful_name": "Re Example.eml",
        "reputation": 0
      },
      "type": "file",
      "id": "ID",
      "links": {
        "self": "URL"
      }
    },
  ]
}

輸出訊息

「搜尋 IOC」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully returned IOCs based on the provided query from VirusTotal.

The following IOCs were not created as new entities, as they already exist in the system: IOC_LIST

No IOCs were found for the provided query.

 動作成功。
Error executing action "Search IOCs". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「搜尋 IOC」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

提交檔案

使用「提交檔案」動作提交檔案,並從 VirusTotal 傳回結果。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「提交檔案」動作需要下列參數:

參數 說明
File Paths

必填。

以半形逗號分隔的檔案絕對路徑清單,用於提交檔案。

如果您設定 Linux Server Address 參數,動作會嘗試從遠端伺服器擷取檔案。
Engine Threshold

選填。

檔案必須由至少這個數量的引擎分類為惡意或可疑,才會被視為可疑。

如果您設定 Engine Whitelist,動作只會計入指定引擎的結果。
Engine Percentage Threshold

選填。

檔案必須由至少這個百分比的引擎分類為惡意或可疑,才會被視為可疑。
Engine Whitelist

選填。

評估風險時要考量的引擎名稱清單 (以半形逗號分隔),例如 AlienVault,Kaspersky

如未設定值,動作會使用所有可用的引擎。門檻計算不會納入未提供實體相關資訊的引擎。
Retrieve Comments

選填。

如果選取這個選項,動作會從 VirusTotal 擷取與檔案相關聯的註解。

(此為預設選項)。

啟用私人提交功能後,系統不會擷取留言。
Retrieve Sigma Analysis

選填。

如果選取這個選項,動作會擷取檔案的 Sigma 分析結果。

(此為預設選項)。
Max Comments To Return

選填。

每次動作執行時要擷取的留言數量上限。

預設值為 50
Linux Server Address

選填。

檔案所在遠端 Linux 伺服器的 IP 位址或主機名稱。
Linux Username

選填。

用於向遠端 Linux 伺服器驗證的使用者名稱。
Linux Password

選填。

用於向遠端 Linux 伺服器驗證的密碼。
Private Submission

選填。

選取後,系統會私下提交檔案。如要私下提交檔案,必須具備 VirusTotal Premium 存取權。

預設為未選取。
Fetch MITRE Details

選填。

如果選取這個選項,這項動作會擷取與雜湊相關的 MITRE ATT&CK 技術和戰術。

預設為未選取。
Lowest MITRE Technique Severity

選填。

MITRE ATT&CK 技術的最低嚴重程度,可納入結果。這項動作會將 Unknown 嚴重程度視為 Info

可能的值如下:

  • High
  • Medium
  • Low
  • Info

預設值為 Low
Retrieve AI Summary

選填。

這項參數屬於實驗性質。

選取後,系統會擷取檔案的 AI 生成摘要。 這個選項僅適用於私人提交內容。

預設為未選取。

動作輸出內容

「提交檔案」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 可用
案件訊息牆表格 可用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用

「提交檔案」動作可為每個經過擴充的實體提供下列連結:

名稱:報表連結:PATH

值:URL

案件訊息牆表格

「提交檔案」動作可為每個提交的檔案提供下表:

表格名稱:結果:PATH

資料表欄:

  • 名稱
  • 類別
  • 方法
  • 結果

如果提交的檔案含有註解,系統會針對每個檔案提供下表:

表格名稱:Comments:PATH

資料表欄:

  • 日期
  • 註解
  • 濫用投票
  • 負評
  • 贊成票
  • ID

「提交檔案」動作可為每個有 Sigma 分析結果的實體提供下表:

表格名稱:Sigma Analysis:ENTITY_ID

資料表欄:

  • ID
  • 嚴重性
  • 來源
  • 標題
  • 說明
  • 比對內容
JSON 結果

以下範例顯示使用「提交檔案」動作時收到的 JSON 結果輸出內容:

{
    "data": {
        "attributes": {
            "categories": {
                "Dr.Web": "known infection source/not recommended site",
                "Forcepoint ThreatSeeker": "compromised websites",
                "sophos": "malware repository, spyware and malware"
            },
            "first_submission_date": 1582300443,
            "html_meta": {},
            "last_analysis_date": 1599853405,
            "last_analysis_results": {
                "EXAMPLELabs": {
                    "category": "harmless",
                    "engine_name": "EXAMPLELabs",
                    "method": "blacklist",
                    "result": "clean"
                },
                "Example": {
                    "category": "harmless",
                    "engine_name": "Example",
                    "method": "blacklist",
                    "result": "clean"
                },
            },
            "last_analysis_stats": {
                "harmless": 64,
                "malicious": 6,
                "suspicious": 1,
                "timeout": 0,
                "undetected": 8
            },
            "last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
            "last_http_response_code": 404,
            "last_http_response_content_length": 204,
            "last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
            "last_http_response_headers": {
                "connection": "keep-alive",
                "content-length": "204",
                "content-type": "text/html; charset=iso-8859-1",
                "date": "Fri, 11 Sep 2020 19:51:50 GMT",
                "keep-alive": "timeout=60",
                "server": "nginx"
            },
            "last_modification_date": 1599853921,
            "last_submission_date": 1599853405,
            "reputation": 0,
            "tags": [
                "ip"
            ],
            "targeted_brand": {},
            "threat_names": [
                "Mal/HTMLGen-A"
            ],
            "times_submitted": 3,
            "title": "404 Not Found",
            "total_votes": {
                "harmless": 0,
                "malicious": 0
            },
            "trackers": {},
            "url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
        },
        "id": "ID",
        "links": {
            "self": "https://www.virustotal.com/api/v3/urls/ID"
        },
        "type": "url",
        "comments": [
"text": "attributes/text",
"date": "attributes/date"
]
    }
    "is_risky": true
}
輸出訊息

「提交檔案」動作可以傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully returned details about the following files using VirusTotal: PATHS

Action wasn't able to return details about the following files using VirusTotal: PATHS

No details about the files were retrieved.

The following whitelisted engines were not found in VirusTotal: ENGINE_NAMES

Waiting for results for the following files: PATHS

 動作成功。
Error executing action "Submit File". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表列出使用「提交檔案」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

連接器

如要進一步瞭解如何在 Google SecOps 中設定連接器,請參閱「擷取資料 (連接器)」。

VirusTotal - Livehunt 連接器

使用 VirusTotal - Livehunt Connector,擷取有關 VirusTotal Livehunt 通知和相關檔案的資訊。

這個連接器需要 VirusTotal Premium API 權杖。動態清單適用於 rule_name 參數。

連接器輸入內容

「VirusTotal - Livehunt Connector」需要下列參數:

參數 說明
Product Field Name

必填。

儲存產品名稱的欄位名稱。

預設值為 Product Name

產品名稱主要會影響對應。為簡化及改善連接器的對應程序,預設值 Product Name 會解析為程式碼參照的回退值。這個參數的任何無效輸入內容,預設都會解析為備用值。
Event Field Name

必填。

儲存事件名稱 (子類型) 的欄位名稱。

預設值為 type
Environment Field Name

選填。

儲存環境名稱的欄位名稱。

如果找不到環境欄位,連接器會使用預設值。

預設值為 ""
Environment Regex Pattern

選填。

要在 Environment Field Name 欄位中找到的值上執行的規則運算式模式。這個參數可讓您使用規則運算式邏輯,操控環境欄位。

使用預設值 .* 擷取必要的原始 Environment Field Name 值。

如果規則運算式模式為空值或空白,或環境值為空值,最終環境結果就是預設環境。
PythonProcessTimeout

必填。

執行目前指令碼的 Python 程序逾時限制 (以秒為單位)。

預設值為 180
API Key

必填。

VirusTotal API 金鑰。
Verify SSL

必填。

如果選取這個選項,整合服務會在連線至 VirusTotal 時驗證 SSL 憑證。

(此為預設選項)。
Engine Whitelist

選填。

以半形逗號分隔的引擎名稱清單,用於評估 Engine Percentage Threshold To Fetch 參數值。

如未設定值,動作會使用所有可用的引擎。
Engine Percentage Threshold To Fetch

必填。

如果檔案遭標示為惡意或可疑,且標示的引擎百分比達到這個值,連接器就會擷取檔案。

有效值為 0100

預設值為 0
Max Hours Backwards

選填。

在第一個連接器疊代之前,要擷取事件的小時數。首次啟用連接器後,這個參數可套用至初始連接器疊代,或套用至過期連接器時間戳記的回溯值。

預設值為 1
Max Notifications To Fetch

選填。

每次執行連接器時處理的通知數量上限。

預設值為 40
Use dynamic list as a blacklist

必填。

如果選取,動態清單會做為封鎖清單使用。

預設為未選取。
Proxy Server Address

選填。

要使用的 Proxy 伺服器位址。
Proxy Username

選填。

Proxy 伺服器驗證的使用者名稱。
Proxy Password

選填。

Proxy 伺服器驗證的密碼。

連接器規則

連接器支援 Proxy。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。