VirusTotal in Google SecOps einbinden
In diesem Dokument wird beschrieben, wie Sie VirusTotal in Google Security Operations (Google SecOps) einbinden.
Integrationsversion: 39.0
Für diese Integration wird die VirusTotal API v2 verwendet.
In dieser Integration werden eine oder mehrere Open-Source-Komponenten verwendet. Sie können eine gezippte Kopie des vollständigen Quellcodes dieser Integration aus dem Cloud Storage-Bucket herunterladen.
Hinweise
Wenn Sie die VirusTotal-Integration verwenden möchten, müssen Sie einen API-Schlüssel konfigurieren.
Führen Sie die folgenden Schritte aus, um den API-Schlüssel zu konfigurieren:
- Melden Sie sich im VirusTotal-Portal an.
- Klicken Sie unter Ihrem Nutzernamen auf API-Schlüssel.
- Kopieren Sie den generierten API-Schlüssel, um ihn in den Integrationsparametern zu verwenden.
- Klicken Sie auf Speichern.
Integrationsparameter
Für die VirusTotal-Integration sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Api Key |
Erforderlich. Der API-Schlüssel für den Zugriff auf VirusTotal. |
Verify SSL |
Optional. Wenn diese Option ausgewählt ist, wird das SSL-Zertifikat bei der Verbindung zu VirusTotal validiert. Diese Option ist standardmäßig nicht ausgewählt. |
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
Aktionen
Weitere Informationen zu Aktionen finden Sie unter Auf ausstehende Aktionen in „Mein Arbeitsbereich“ reagieren und Manuelle Aktion ausführen.
Domainbericht abrufen
Mit der Aktion Get Domain Report (Domainbericht abrufen) können Sie Domainberichte von VirusTotal für bereitgestellte Entitäten abrufen und diese Entitäten in der Google SecOps-Plattform anreichern.
Diese Aktion wird für die folgenden Google SecOps-Entitäten ausgeführt:
UserHostname
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Domain-Bericht abrufen liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Tabelle zur Elementanreicherung | Verfügbar |
| JSON-Ergebnis | Verfügbar |
| Scriptergebnis | Verfügbar |
Tabelle zur Elementanreicherung
Mit der Aktion Domain-Bericht abrufen können die folgenden Felder angereichert werden:
| Name des Anreicherungsfelds | Anwendbare Logik |
|---|---|
Forcepoint ThreatSeeker category |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
BitDefender domain info |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
Categories |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
BitDefender Category |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
Alexa Category |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
Alexa domain info |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
Websense ThreatSeeker category |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
TrendMicro category |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
Opera domain info |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
Webutation domain info |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
verbose_msg |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
whois |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Get Domain Report (Domainbericht abrufen) empfangen wird:
[
{
"EntityResult": {
"detected_downloaded_samples": [],
"undetected_downloaded_samples": [{
"date": "2018-08-08 22:48:28",
"positives": 0,
"sha256": "ef1955ae757c8b966c83248350331bd3a30f658ced11f387f8ebf05ab3368629",
"total": 59
}],
"resolutions": [{
"last_resolved": "2019-01-13 03:31:09",
"ip_address": "192.0.2.1"
}],
"Opera domain info": "The URL domain/host was seen to host badware at some point in time",
"domain_siblings": [],
"BitDefender domain info": "This URL domain/host was seen to host badware at some point in time",
"whois": "Domain Name: EXAMPLE.CO.IN, nUpdated Date: 2018-05-22T09:30:37Z, nCreation Date: 2003-06-23T14:02:33Z, nRegistry Expiry Date: 2019-06-23T14:02:33Z, nDomain Status: clientDeleteProhibited, nDomain Status: clientTransferProhibited, nDomain Status: clientUpdateProhibited, nRegistrant Country: US, nName Server: NS1.EXAMPLE.COM, nName Server: NS2.EXAMPLE.COM, nName Server: NS3.EXAMPLE.COM, nName Server: NS4.EXAMPLE.COM, nDNSSEC: unsigned",
"Alexa domain info": "example.co.in is one of the top 100 sites in the world and is in the Search_Engines category",
"verbose_msg": "Domain found in dataset",
"BitDefender category": "searchengines",
"undetected_referrer_samples": [{
"date": "2019-02-05 13:20:39",
"positives": 0,
"sha256": "3baf9f2a2d2b152193d2af602378b71e40d381e835b0aa3111851b2f29e64f38",
"total": 71
}],
"whois_timestamp": 1548379042,
"WOT domain info": {
"Vendor reliability": "Excellent",
"Child safety": "Excellent",
"Trustworthiness": "Excellent",
"Privacy": "Excellent"
},
"detected_referrer_samples": [{
"date": "2019-02-05 01:11:35",
"positives": 1,
"sha256": "097ea19b440441248b157698e2b23555cdf6117491b5f49f7ec8e492550cb02c",
"total": 70
}],
"Forcepoint ThreatSeeker category": "search engines and portals",
"Alexa category": "search_engines",
"detected_communicating_samples": [{
"date": "2019-01-28 23:58:13",
"positives": 30,
"sha256": "e65faa1283f8941d98dc23ff6822be228a24cb4489a5e5b01aeee749bf851658",
"total": 70
}],
"TrendMicro category": "search engines portals",
"categories": [
"searchengines", "search engines and portals"
],
"undetected_urls": [[
"http://example.co.in/example", "daed97b2c77f0f72c9e4ee45506e3e1bc4e34d7b8846246877a02779bb85dd5b", 0, 70, "2019-02-04 14:58:23"
]],
"response_code": 1,
"Webutation domain info": {
"Safety score": 100,
"Adult content": "no",
"Verdict": "safe"
},
"subdomains": [
"www.example.co.in"
],
"Websense ThreatSeeker category": "search engines and portals",
"detected_urls": [{
"url": "http://example.co.in/urlURL",
"positives": 2,
"total": 66,
"scan_date": "2018-01-13 00:38:35"
}],
"Alexa rank": 100,
"undetected_communicating_samples": [{
"date": "2018-11-17 03:19:28",
"positives": 0,
"sha256": "e2a6ab7d594490c62bd3bb508dc38d7191ad48977da4d8dcce08dcb8af0070e9",
"total": 68
}],
"pcaps": [
"97e4a17068ce3ed01ed1c25c3d263fc0145e5ecc53b7db6f2ba84496b53d4a65"
]},
"Entity": "example.co.in"
}
]
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Get Domain Report verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Hash scannen
Mit der Aktion Scan Hash können Sie Datei-Hashes mit VirusTotal scannen, Entitäten als verdächtig markieren und Statistiken anzeigen, wenn der Risikowert einem bestimmten Schwellenwert entspricht.
Diese Aktion wird für die Google SecOps-Filehash-Entität ausgeführt.
Aktionseingaben
Für die Aktion Scan Hash sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Threshold |
Erforderlich. Der Schwellenwert, ab dem Erkennungen als verdächtig markiert werden. Wenn die Erkennungen der Engine für schädliche Software den festgelegten Schwellenwert erreichen oder überschreiten, wird das Element durch die Aktion als verdächtig markiert. |
Rescan after days |
Optional. Die Anzahl der Tage nach dem letzten Scan, nach denen die Einheit noch einmal gescannt werden soll. |
Aktionsausgaben
Die Aktion Scan Hash (Hash scannen) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Tabelle zur Elementanreicherung | Verfügbar |
| Insight | Verfügbar |
| JSON-Ergebnis | Verfügbar |
| Scriptergebnis | Verfügbar |
Tabelle zur Elementanreicherung
Mit der Aktion Scan Hash können die folgenden Felder angereichert werden:
| Name des Anreicherungsfelds | Anwendbare Logik |
|---|---|
permalink |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
sha1 |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
resource |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
Scan date |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
Scan ID |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
verbose_msg |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
total |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
positives |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
sha256 |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
md5 |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
Detecting Engines |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
Insight
Die Aktion Scan Hash kann die folgenden Informationen zurückgeben:
| Schweregrad | Beschreibung |
|---|---|
Warn |
Durch die Aktion wird ein Warnungssichtfeld erstellt, um über den schädlichen Status des angereicherten Hash zu informieren. Die Aktion erstellt den Insight nur, wenn die Anzahl der erkannten Engines den von Ihnen vor dem Scan festgelegten Mindestschwellenwert für verdächtige Engines erreicht oder überschreitet. |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ausgabe, die bei Verwendung der Aktion Scan Hash empfangen wird:
[
{
"EntityResult": {
"permalink": "https://www.virustotal.com/file/HASH/analysis/ANALYSIS_ID/",
"sha1": "3395856ce81f2b7382dee72602f798b642f14140",
"resource": "HASH",
"response_code": 1,
"scan_date": "2019-02-05 15:41:52",
"scan_id": "HASH-ANALYSIS_ID",
"verbose_msg": "Scan finished, information embedded",
"total": 60,
"positives": 54,
"sha256": "HASH",
"md5": "44d88612fea8a8f36de82e1278abb02f",
"scans": {
"Bkav": {
"detected": true,
"version": "192.0.2.1",
"result": "Trojan",
"update": "20190201"
},
"MicroWorld-eScan": {
"detected": true,
"version": "14.0.297.0",
"result": "Test-File",
"update": "20190205"
}}},
"Entity": "HASH"
}
]
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Scan Hash aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_risky |
True oder False |
IP scannen
Mit der Aktion IP scannen können Sie Informationen abrufen, die VirusTotal in letzter Zeit zu einer bestimmten IP-Adresse gesehen hat.
Diese Aktion wird für die Google SecOps-IP Address-Entität ausgeführt.
Aktionseingaben
Für die Aktion IP scannen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Threshold |
Optional. Der Schwellenwert, ab dem eine IP-Adresse als verdächtig markiert wird. Wenn die Erkennungen der Engine für schädliche Inhalte den festgelegten Schwellenwert erreichen oder überschreiten, wird die IP-Adresse durch die Aktion als verdächtig markiert. Der Standardwert ist |
Aktionsausgaben
Die Aktion IP scannen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Tabelle zur Elementanreicherung | Verfügbar |
| Statistiken | Verfügbar |
| JSON-Ergebnis | Verfügbar |
| Scriptergebnis | Verfügbar |
Tabelle zur Elementanreicherung
Mit der Aktion IP scannen können die folgenden Felder angereichert werden:
| Name des Anreicherungsfelds | Anwendbare Logik |
|---|---|
Country |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
Related Domains |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
Last Scan Date |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
verbose_msg |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
Resolutions |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
Statistiken
Die Aktion IP-Adresse scannen kann die folgenden Informationen zurückgeben:
| Schweregrad | Beschreibung |
|---|---|
Warn |
Durch die Aktion wird ein Warnungssicht erstellt, um über den schädlichen Status der angereicherten IP-Adresse zu informieren. Durch die Aktion wird der Insight nur erstellt, wenn die Anzahl der erkannten Engines den von Ihnen vor dem Scan festgelegten Mindestschwellenwert für verdächtige Engines erreicht oder überschreitet. |
| Name der Information | Text |
|---|---|
Entity Insight |
|
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ausgabe, die bei Verwendung der Aktion IP scannen empfangen wird:
[
{
"EntityResult": {
"asn": 4436,
"undetected_urls": [[
"http://example.com", "2ed06796f95e7c1xxxxxbd68d81754acf535c999e901bfe2cf9c45612396f66", 0, 66, "2022-11-23 06:51:49"
]],
"undetected_downloaded_samples": [{
"date": "2018-07-09 07:53:30",
"positives": 0,
"sha256": "6a0bf66ddc73d7e64eb2ff0dd3512c5378c0c63c2ad4e13c0e1429fe",
"total": 60
}],
"country": "country",
"response_code": 1,
"as_owner": "Example, Inc.",
"verbose_msg": "IP address in dataset",
"detected_downloaded_samples": [{
"date": "2023-05-20 08:38:00",
"positives": 6,
"sha256": "9cf5c07c99c3342d83b241c25850da0bf231ee150cb962cab1e8399cb",
"total": 57
}],
"resolutions": [{
"last_resolved": "2023-05-13 00:00:00",
"hostname": "40515350444dff68-2f7735d5ad283fa41a203a082d9a8f25.example.com"
}],
"detected_urls": [{
"url": "http://example.com",
"positives": 2,
"total": 67,
"scan_date": "2023-05-20 07:16:45"
}]},
"Entity": "192.0.2.1"
}
]
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion IP scannen aufgeführt:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
URL scannen
Mit der Aktion URL scannen können Sie eine URL mit VirusTotal scannen.
Diese Aktion wird für die Google SecOps-URL-Entität ausgeführt.
Aktionseingaben
Für die Aktion URL scannen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Threshold |
Erforderlich. Der Schwellenwert, ab dem Erkennungen als verdächtig markiert werden. Wenn die Erkennungen der Engine für schädliche Software den festgelegten Schwellenwert erreichen oder überschreiten, wird das Element durch die Aktion als verdächtig markiert. |
Rescan after days |
Optional. Die Anzahl der Tage nach dem letzten Scan, nach denen die Einheit noch einmal gescannt werden soll. |
Aktionsausgaben
Die Aktion URL scannen liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Tabelle zur Elementanreicherung | Verfügbar |
| Insight | Verfügbar |
| JSON-Ergebnis | Verfügbar |
| Scriptergebnis | Verfügbar |
Tabelle zur Elementanreicherung
Mit der Aktion URL scannen können die folgenden Felder angereichert werden:
| Name des Anreicherungsfelds | Anwendbare Logik |
|---|---|
Scan date |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
Scan ID |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
risk_score |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
Total |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
Online Link |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
Scanned Url |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
resource |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
Detecting Engines |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
Risk Score |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
Last Scan Date |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
verbose_msg |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
File Scan ID |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
Insight
Die Aktion URL scannen kann die folgenden Statistiken zurückgeben:
| Schweregrad | Beschreibung |
|---|---|
Warn |
Durch die Aktion wird eine Warnung erstellt, die über den schädlichen Status der angereicherten URL informiert. Durch die Aktion wird der Insight nur erstellt, wenn die Anzahl der erkannten Engines den von Ihnen vor dem Scan festgelegten Mindestschwellenwert für verdächtige Engines erreicht oder überschreitet. |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion URL scannen empfangen wird:
[
{
"EntityResult": {
"permalink": "https://www.virustotal.com/url/URL_HASH/analysis/ANALYSIS_ID/",
"resource": "http://example.php",
"url": "http://example.php",
"response_code": 1,
"scan_date": "2019-02-04 05:28:54",
"scan_id": "URL_HASH-ANALYSIS_ID",
"verbose_msg": "Scan finished, scan information embedded in this object",
"filescan_id": null,
"positives": 5,
"total": 67,
"scans": {
"CLEAN MX": {
"detected": false,
"result": "clean site"
},
"DNS8": {
"detected": false,
"result": "clean site"
}}},
"Entity": "http://example.php"
}
]
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion URL scannen verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_risky |
True oder False |
Datei hochladen und scannen
Mit der Aktion Datei hochladen und scannen können Sie eine Datei mit VirusTotal hochladen und scannen.
Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Für die Aktion Datei hochladen und scannen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Threshold |
Erforderlich. Die Mindestanzahl positiver Erkennungen durch VirusTotal-Scanner, damit eine Datei als riskant eingestuft und ein Insight ausgelöst wird. Der Standardwert ist |
File Paths |
Erforderlich. Eine durch Kommas getrennte Liste der Pfade, die hochgeladen und gescannt werden sollen. |
Linux Server Address |
Optional. Die Adresse eines Remote-Linux-Servers, auf dem sich die Dateien befinden, z. B. |
Linux User |
Optional. Der Nutzername für die Authentifizierung beim Remote-Linux-Server. |
Linux Password |
Optional. Das Passwort für die Authentifizierung beim Remote-Linux-Server. |
Aktionsausgaben
Die Aktion Datei hochladen und scannen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall-Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Tabelle zur Elementanreicherung | Verfügbar |
| Insight | Verfügbar |
| JSON-Ergebnis | Verfügbar |
| Scriptergebnis | Verfügbar |
Tabelle zur Elementanreicherung
Mit der Aktion Datei hochladen und scannen können die folgenden Felder ergänzt werden:
| Name des Anreicherungsfelds | Anwendbare Logik |
|---|---|
resource |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
Scan date |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
Scan ID |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
permalink |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
Total |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
Md5 |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
Sha1 |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
Sha256 |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
positives |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
total |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
Detecting Engines |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
verbose_msg |
Wird zurückgegeben, wenn es im JSON-Ergebnis vorhanden ist. |
Insight
Die Aktion Datei hochladen und scannen kann die folgenden Informationen zurückgeben:
| Schweregrad | Beschreibung |
|---|---|
Warn |
Durch die Aktion wird ein Warnungsinformation erstellt, um über den schädlichen Status der angereicherten Datei zu informieren. Durch die Aktion wird der Insight nur erstellt, wenn die Anzahl der erkannten Engines den von Ihnen vor dem Scan festgelegten Mindestschwellenwert für verdächtige Engines erreicht oder überschreitet. |
JSON-Ergebnis
Das folgende Beispiel zeigt die JSON-Ergebnisausgabe, die bei Verwendung der Aktion Datei hochladen und scannen empfangen wird:
{
"file_path": {
"scan_id": "FILE_ID-ANALYSIS_ID",
"sha1": "ec44b2af88e602e3981db0b218ecb5d59dc0dfec",
"resource": "FILE_ID-ANALYSIS_ID",
"response_code": 1,
"scan_date": "2019-02-05 15:55:50",
"permalink": "https://www.virustotal.com/file/FILE_ID/analysis/ANALYSIS_ID/",
"verbose_msg": "Scan finished, information embedded",
"total": 58,
"positives": 0,
"sha256": "FILE_ID",
"md5": "848d57fbd8e29afa08bd3f58dd30f902",
"scans": {
"Bkav": {
"detected": false,
"version": "192.0.2.1",
"result": null,
"update": "20190201"
},
"MicroWorld-eScan": {
"detected": false,
"version": "14.0.297.0",
"result": null,
"update": "20190205"
}
}
}
}
Scriptergebnis
In der folgenden Tabelle ist der Wert für die Ausgabe des Skriptergebnisses aufgeführt, wenn die Aktion Datei hochladen und scannen verwendet wird:
| Name des Scriptergebnisses | Wert |
|---|---|
is_risky |
True oder False |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten