VMRay
Dieses Dokument enthält Anleitungen zum Konfigurieren und Einbinden von VMRay in Google Security Operations SOAR.
Integrationsversion: 14.0
In dieser Integration werden eine oder mehrere Open-Source-Komponenten verwendet. Sie können eine gezippte Kopie des vollständigen Quellcodes dieser Integration aus dem Cloud Storage-Bucket herunterladen.
VMRay in Google SecOps SOAR einbinden
Für die Integration sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Api Root |
Erforderlich Der API-Root der VMRay-Instanz. |
Api Key |
Erforderlich Der VMRay-API-Schlüssel. |
Verify SSL |
Optional Wenn diese Option ausgewählt ist, prüft die Integration, ob das SSL-Zertifikat für die Verbindung zum VMRay-Server gültig ist. Standardmäßig ausgewählt. |
Eine Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Bei Bedarf können Sie später Änderungen vornehmen. Nachdem Sie eine Integrationsinstanz konfiguriert haben, können Sie sie in Playbooks verwenden. Weitere Informationen zum Konfigurieren und Unterstützen mehrerer Instanzen finden Sie unter Mehrere Instanzen unterstützen.
Aktionen
Die VMRay-Integration umfasst die folgenden Aktionen:
Tag zur Einsendung hinzufügen
Mit der Aktion Tag zur Einreichung hinzufügen können Sie dem VMRay-Einreichungsprozess ein Tag hinzufügen.
Diese Aktion wird für alle Google SecOps-Entitäten ausgeführt.
Aktionseingaben
Für die Aktion Tag zur Einreichung hinzufügen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Submission ID |
Erforderlich Die ID des Einreichungsprozesses. |
Tag Name |
Erforderlich Der Tag-Name, der dem Einreichungsprozess hinzugefügt werden soll. |
Aktionsausgaben
Die Aktion Tag zur Einsendung hinzufügen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabemeldungen
Die Aktion Tag zur Einsendung hinzufügen gibt die folgenden Ausgabenachrichten aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully added tag
TAG_NAME to submission
SUBMISSION_ID. |
Die Aktion wurde ausgeführt. |
Failed to add tag
TAG_NAME to submission
SUBMISSION_ID. Error is
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Tag zur Einsendung hinzufügen beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Ping
Verwenden Sie die Aktion Ping, um die Verbindung zu VMRay zu testen.
Diese Aktion wird nicht für Google SecOps-Elemente ausgeführt.
Aktionseingaben
Keine.
Aktionsausgaben
Die Aktion Ping bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Nicht verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Ausgabemeldungen
Die Aktion Ping gibt die folgenden Ausgabenachrichten aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
Successfully tested connectivity. |
Die Aktion wurde ausgeführt. |
Failed to test connectivity. |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Ping beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Hash scannen
Mit der Aktion Hash scannen können Sie Details zu einem bestimmten Hash abrufen.
Diese Aktion wird für die Google SecOps Hash-Entität ausgeführt.
Aktionseingaben
Für die Aktion Scan Hash sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Threat Indicator Score Threshold |
Erforderlich Der niedrigste Wert, der zum Zurückgeben der Bedrohungsindikatoren verwendet werden soll. Der Höchstwert ist 5. Der Standardwert ist 3. |
IOC Type Filter |
Erforderlich Eine durch Kommas getrennte Liste der zurückzugebenden IOC-Typen. Folgende Werte sind möglich:
Der Standardwert ist |
IOC Verdict Filter |
Erforderlich Eine durch Kommas getrennte Liste von IOC-Urteilen, die bei der Aufnahme von IOCs verwendet wird. Folgende Werte sind möglich:
Der Standardwert ist |
Max IOCs To Return |
Optional Die Anzahl der IOCs, die für jede Entität des IOC-Typs zurückgegeben werden sollen. Der Standardwert ist 10. |
Max Threat Indicators To Return |
Optional Anzahl der zurückzugebenden Bedrohungsindikatoren für jede Entität. Der Standardwert ist 10. |
Create Insight |
Optional Wenn diese Option ausgewählt ist, wird durch die Aktion ein Insight erstellt, der Informationen zu Entitäten enthält. Standardmäßig ausgewählt. |
Only Suspicious Insight |
Optional Wenn diese Option ausgewählt ist, werden mit der Aktion nur Statistiken für verdächtige Entitäten erstellt. Wenn Sie diesen Parameter auswählen, wählen Sie den Parameter Diese Option ist standardmäßig nicht ausgewählt. |
Aktionsausgaben
Die Aktion Scan Hash (Hash scannen) bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | Verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Tabelle „Fall-Repository“
Die Aktion Scan Hash (Hash scannen) enthält die folgende Tabelle in der Fallwand:
Tabellentitel: ENTITY_ID
Tabellenspalten:
- Schlüssel
- Wert
Anreicherungstabelle
Die Aktion Scan Hash unterstützt die folgenden Optionen zur Anreicherung:
| Name des Anreicherungsfelds | Quelle (JSON-Schlüssel) | Gültigkeit |
|---|---|---|
VMRay_sample_vti_score |
sample_vti_score |
Immer |
VMRay_sample_child_sample_ids |
sample_child_sample_ids |
Immer |
VMRay_sample_id |
sample_id |
Immer |
VMRay_sample_sha1hash |
sample_sha1hash |
Immer |
VMRay_sample_classifications |
sample_classifications |
Immer |
VMRay_sample_last_md_score |
sample_last_md_score |
Immer |
VMRay_sample_last_vt_score |
sample_last_vt_score |
Immer |
VMRay_sample_severity |
sample_severity |
Immer |
VMRay_sample_url |
sample_url |
Immer |
VMRay_sample_imphash |
sample_imphash |
Immer |
VMRay_sample_highest_vti_score |
sample_highest_vti_score |
Immer |
VMRay_sample_container_type |
sample_container_type |
Immer |
VMRay_sample_webif_url |
sample_webif_url |
Immer |
VMRay_sample_type |
sample_type |
Immer |
VMRay_sample_created |
sample_created |
Immer |
VMRay_sample_last_reputation_severity |
sample_last_reputation_severity |
Immer |
VMRay_sample_filesize |
sample_filesize |
Immer |
VMRay_sample_parent_sample_ids |
sample_parent_sample_ids |
Immer |
VMRay_sample_ssdeephash |
sample_ssdeephash |
Immer |
VMRay_sample_md5hash |
sample_md5hash |
Immer |
VMRay_sample_sha256hash |
sample_sha256hash |
Immer |
VMRay_sample_highest_vti_severity |
sample_highest_vti_severity |
Immer |
VMRay_sample_priority |
sample_priority |
Immer |
VMRay_sample_is_multipart |
sample_is_multipart |
Immer |
VMRay_sample_score |
sample_score |
Immer |
VMRay_sample_filename |
sample_filename |
Immer |
VMRay_ioc_domains |
Eine CSV-Datei mit IOCs oder Domains | Immer |
VMRay_ioc_ips |
Eine CSV-Datei mit IOCs oder IP-Adressen | Immer |
VMRay_ioc_urls |
Eine CSV-Datei mit IOCs oder URLs | Immer |
VMRay_ioc_files |
Eine CSV-Datei mit IOCs oder Dateien | Immer |
VMRay_ioc_emails |
Eine CSV-Datei mit IOCs oder E‑Mail-Adressen | Immer |
VMRay_ioc_mutexes |
Eine CSV-Datei mit IOCs oder Mutex-Namen | Immer |
VMRay_ioc_processes |
Eine CSV-Datei mit IOCs oder Prozessnamen | Immer |
VMRay_ioc_registry |
Eine CSV-Datei mit IOCs oder Registrierungen | Immer |
VMRay_threat_indicator_operations |
Eine CSV-Datei mit Bedrohungsindikatoren oder ‑vorgängen | Immer |
VMRay_threat_indicator_category |
Eine CSV-Datei mit Bedrohungsindikatoren oder ‑kategorien | Immer |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Hash scannen empfangen wird:
{
"sample_child_relations": [],
"sample_child_relations_truncated": false,
"sample_child_sample_ids": [],
"sample_classifications": [],
"sample_container_type": null,
"sample_created": "2019-06-05T07:29:05",
"sample_display_url": "URL",
"sample_filename": "sample.url",
"sample_filesize": 35,
"sample_highest_vti_score": 80,
"sample_highest_vti_severity": "malicious",
"sample_id": 3945509,
"sample_imphash": null,
"sample_is_multipart": false,
"sample_last_md_score": null,
"sample_last_reputation_severity": "malicious",
"sample_last_vt_score": null,
"sample_md5hash": "de765a6a9931c754b709d44c33540149",
"sample_parent_relations": [],
"sample_parent_relations_truncated": false,
"sample_parent_sample_ids": [],
"sample_password_protected": false,
"sample_pe_signature": null,
"sample_priority": 3,
"sample_score": 80,
"sample_severity": "malicious",
"sample_sha1hash": "a4b19054d162aab802270aec8ef27f009ab4db51",
"sample_sha256hash": "8fb5c7a88058fad398dfe290f3821a3983a608abe6b39d014d9800afa3d5af70",
"sample_ssdeephash": "3:N1KTxKWiUgdhHn:C1N3an",
"sample_threat_names": [
"C2/Generic-A"
],
"sample_type": "URL",
"sample_url": "URL",
"sample_verdict": "malicious",
"sample_verdict_reason_code": null,
"sample_verdict_reason_description": null,
"sample_vti_score": "malicious",
"sample_webif_url": "https://cloud.vmray.com/user/sample/view?id=ID",
"iocs": {
"domains": [
{
"domain": "example.net",
"severity": "unknown",
"verdict": "clean"
}
],
"emails": [
{
"email": "example.net",
"severity": "unknown",
"verdict": "clean"
}
],
"files": [
{
"filename": "C:\\Program Files (x86)\\example.exe",
"categories": [
"Dropped File"
],
"severity": "not_suspicious",
"verdict": "clean",
"classifications": [
"Virus"
],
"operations": [
"Access",
"Create",
"Write"
],
"hashes": [
{
"imp_hash": null,
"md5_hash": "58a2430b19d0594b46caf69dea5c1023",
"sha1_hash": "e8f5809342eedc2b035f726811dcaa1a9b589cb7",
"sha256_hash": "b9072661a90377835205f5c66ee06ba82ec42d843c8ec5dc07c16da86c90b835",
"ssdeep_hash": "12:TMHdgo+tJVEdQiCXFMp3OOy9P72/FeFYX+NEVjB:2dfyiw2uTyOOT"
}
]
}
],
"ips": [
{
"ip_address": "192.0.2.1",
"severity": "not_suspicious",
"verdict": "malicious"
}
],
"mutexes": [
{
"mutex_name": "NAME",
"operations": [
"access"
],
"severity": "not_suspicious",
"verdict": "clean"
}
],
"processes": [
{
"classifications": [],
"cmd_line": "/c del \"C:\\Users\\example.exe\"",
"process_ids": [
137
],
"parent_processes": [
"\"C:\\Windows\\SysWOW64\\control.exe\""
],
"process_names": [
"cmd.exe"
],
"severity": "not_suspicious",
"verdict": "clean"
}
],
"registry": [
{
"operations": [
"access",
"write"
],
"reg_key_name": "HKEY_USERS\\ID\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\YLRPWV4P6TI",
"severity": "not_suspicious",
"verdict": "clean"
}
],
"urls": [
{
"severity": "malicious",
"url": "URL",
"verdict": "malicious"
}
]
},
"threat_indicators": [
{
"category": "Heuristics",
"operation": "Contains suspicious meta data",
"score": 4,
"classifications": [
"Spyware"
]
}
]
}
Ausgabemeldungen
Die Aktion Scan Hash (Hash scannen) gibt die folgenden Ausgabemeldungen aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Scan Hash". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Scan Hash beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
URL scannen
Mit der Aktion Scan-URL können Sie URLs einreichen und entsprechende Informationen dazu erhalten.
Diese Aktion wird für die Google SecOps-URL-Entität ausgeführt.
Aktionseingaben
Für die Aktion URL scannen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Tag Names |
Optional Die Tags, die der eingereichten URL hinzugefügt werden sollen. |
Comment |
Optional Der Kommentar, der der eingereichten URL hinzugefügt werden soll. |
Threat Indicator Score Threshold |
Erforderlich Der niedrigste Wert, der zum Zurückgeben von Bedrohungsindikatoren verwendet werden soll. Der Höchstwert ist 5. Der Standardwert ist 3. |
IOC Type Filter |
Erforderlich Eine durch Kommas getrennte Liste der zurückzugebenden IOC-Typen. Folgende Werte sind möglich:
Die Standardwerte sind |
IOC Verdict Filter |
Erforderlich Eine durch Kommas getrennte Liste von IOC-Urteilen, die bei der Aufnahme von IOCs verwendet wird. Folgende Werte sind möglich:
Die Standardwerte sind |
Max IOCs To Return |
Optional Die Anzahl der IOCs, die für jede Entität des IOC-Typs zurückgegeben werden sollen. Der Standardwert ist 10. |
Max Threat Indicators To Return |
Optional Anzahl der zurückzugebenden Bedrohungsindikatoren für jede Entität. Der Standardwert ist 10. |
Create Insight |
Optional Wenn diese Option ausgewählt ist, wird durch die Aktion ein Insight erstellt, der Informationen zu Entitäten enthält. Standardmäßig ausgewählt. |
Only Suspicious Insight |
Optional Wenn diese Option ausgewählt ist, werden mit der Aktion nur Statistiken für verdächtige Entitäten erstellt. Wenn diese Option ausgewählt ist, wählen Sie auch den Parameter Diese Option ist standardmäßig nicht ausgewählt. |
Aktionsausgaben
Die Aktion URL scannen liefert die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Verfügbar |
| Anreicherungstabelle | Verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
Tabelle „Fall-Repository“
Die Aktion URL scannen enthält die folgende Fallwandtabelle:
Tabellentitel: ENTITY_ID
Tabellenspalten:
- Schlüssel
- Wert
Anreicherungstabelle
Die Aktion Scan Hash unterstützt die folgenden Optionen zur Anreicherung:
| Name des Anreicherungsfelds | Quelle (JSON-Schlüssel) | Gültigkeit |
|---|---|---|
VMRay_sample_vti_score |
sample_vti_score |
Immer |
VMRay_sample_child_sample_ids |
sample_child_sample_ids |
Immer |
VMRay_sample_id |
sample_id |
Immer |
VMRay_sample_sha1hash |
sample_sha1hash |
Immer |
VMRay_sample_classifications |
sample_classifications |
Immer |
VMRay_sample_last_md_score |
sample_last_md_score |
Immer |
VMRay_sample_last_vt_score |
sample_last_vt_score |
Immer |
VMRay_sample_severity |
sample_severity |
Immer |
VMRay_sample_url |
sample_url |
Immer |
VMRay_sample_imphash |
sample_imphash |
Immer |
VMRay_sample_highest_vti_score |
sample_highest_vti_score |
Immer |
VMRay_sample_container_type |
sample_container_type |
Immer |
VMRay_sample_webif_url |
sample_webif_url |
Immer |
VMRay_sample_type |
sample_type |
Immer |
VMRay_sample_created |
sample_created |
Immer |
VMRay_sample_last_reputation_severity |
sample_last_reputation_severity |
Immer |
VMRay_sample_filesize |
sample_filesize |
Immer |
VMRay_sample_parent_sample_ids |
sample_parent_sample_ids |
Immer |
VMRay_sample_ssdeephash |
sample_ssdeephash |
Immer |
VMRay_sample_md5hash |
sample_md5hash |
Immer |
VMRay_sample_sha256hash |
sample_sha256hash |
Immer |
VMRay_sample_highest_vti_severity |
sample_highest_vti_severity |
Immer |
VMRay_sample_priority |
sample_priority |
Immer |
VMRay_sample_is_multipart |
sample_is_multipart |
Immer |
VMRay_sample_score |
sample_score |
Immer |
VMRay_sample_filename |
sample_filename |
Immer |
VMRay_ioc_domains |
Eine CSV-Datei mit IOCs oder Domains | Immer |
VMRay_ioc_ips |
Eine CSV-Datei mit IOCs oder IP-Adressen | Immer |
VMRay_ioc_urls |
Eine CSV-Datei mit IOCs oder URLs | Immer |
VMRay_ioc_files |
Eine CSV-Datei mit IOCs oder Dateien | Immer |
VMRay_ioc_emails |
Eine CSV-Datei mit IOCs oder E‑Mail-Adressen | Immer |
VMRay_ioc_mutexes |
Eine CSV-Datei mit IOCs oder Mutex-Namen | Immer |
VMRay_ioc_processes |
Eine CSV-Datei mit IOCs oder Prozessnamen | Immer |
VMRay_ioc_registry |
Eine CSV-Datei mit IOCs oder Registrierungen | Immer |
VMRay_threat_indicator_operations |
Eine CSV-Datei mit Bedrohungsindikatoren oder ‑vorgängen | Immer |
VMRay_threat_indicator_category |
Eine CSV-Datei mit Bedrohungsindikatoren oder ‑kategorien | Immer |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion URL scannen empfangen wird:
{
"sample_child_relations": [],
"sample_child_relations_truncated": false,
"sample_child_sample_ids": [],
"sample_classifications": [],
"sample_container_type": null,
"sample_severity": "malicious",
"sample_sha1hash": "a4b19054d162aab802270aec8ef27f009ab4db51",
"sample_sha256hash": "8fb5c7a88058fad398dfe290f3821a3983a608abe6b39d014d9800afa3d5af70",
"sample_ssdeephash": "3:N1KTxKWiUgdhHn:C1N3an",
"sample_threat_names": [
"C2/Generic-A"
],
"sample_type": "URL",
"sample_url": "URL",
"sample_verdict": "malicious",
"sample_verdict_reason_code": null,
"sample_verdict_reason_description": null,
"sample_vti_score": "malicious",
"sample_webif_url": "https://cloud.vmray.com/user/sample/view?id=ID",
"iocs": {
"domains": [
{
"domain": "example.net",
"severity": "unknown",
"verdict": "clean"
}
],
"emails": [
{
"email": "example.net",
"severity": "unknown",
"verdict": "clean"
}
],
"files": [
{
"filename": "C:\\Program Files (x86)\\example.exe",
"categories": [
"Dropped File"
],
"severity": "not_suspicious",
"verdict": "clean",
"classifications": [
"Virus"
],
"operations": [
"Access",
"Create",
"Write"
],
"hashes": [
{
"imp_hash": null,
"md5_hash": "58a2430b19d0594b46caf69dea5c1023",
"sha1_hash": "e8f5809342eedc2b035f726811dcaa1a9b589cb7",
"sha256_hash": "b9072661a90377835205f5c66ee06ba82ec42d843c8ec5dc07c16da86c90b835",
"ssdeep_hash": "12:TMHdgo+tJVEdQiCXFMp3OOy9P72/FeFYX+NEVjB:2dfyiw2uTyOOT"
}
]
}
],
"ips": [
{
"ip_address": "192.0.2.30",
"severity": "not_suspicious",
"verdict": "malicious"
}
],
"mutexes": [
{
"mutex_name": "NAME",
"operations": [
"access"
],
"severity": "not_suspicious",
"verdict": "clean"
}
],
"processes": [
{
"classifications": [],
"cmd_line": "/c del \"C:\\Users\\example.exe\"",
"process_ids": [
137
],
"parent_processes": [
"\"C:\\Windows\\SysWOW64\\control.exe\""
],
"process_names": [
"cmd.exe"
],
"severity": "not_suspicious",
"verdict": "clean"
}
],
"registry": [
{
"operations": [
"access",
"write"
],
"reg_key_name": "HKEY_USERS\\ID\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\YLRPWV4P6TI",
"severity": "not_suspicious",
"verdict": "clean"
}
],
"urls": [
{
"severity": "malicious",
"url": "URL",
"verdict": "malicious"
}
]
},
"threat_indicators": [
{
"category": "Heuristics",
"operation": "Contains suspicious meta data",
"score": 4,
"classifications": [
"Spyware"
]
}
]
}
Ausgabemeldungen
Die Aktion URL scannen gibt die folgenden Ausgabemeldungen zurück:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Scan URL". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion URL scannen beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Datei hochladen und Bericht abrufen
Mit der Aktion Datei hochladen und Bericht abrufen können Sie Dateien zur Analyse in VMRay einreichen.
Diese Aktion wird asynchron ausgeführt. Passen Sie den Zeitüberschreitungswert für das Skript in der Google SecOps IDE für die Aktion nach Bedarf an.
Aktionseingaben
Für die Aktion Datei hochladen und Bericht abrufen sind die folgenden Parameter erforderlich:
| Parameter | Beschreibung |
|---|---|
Sample File Path |
Erforderlich Eine durch Kommas getrennte Liste mit absoluten Pfaden für eingereichte Dateien. |
Tag Names |
Optional Die Tags, die den eingereichten Dateien hinzugefügt werden sollen. |
Comment |
Optional Der Kommentar, der den eingereichten Dateien hinzugefügt werden soll. |
Aktionsausgaben
Die Aktion Datei hochladen und Bericht abrufen bietet die folgenden Ausgaben:
| Ausgabetyp der Aktion | Verfügbarkeit |
|---|---|
| Anhang im Fall-Repository | Nicht verfügbar |
| Link zum Fall‑Repository | Nicht verfügbar |
| Tabelle „Fall-Repository“ | Nicht verfügbar |
| Anreicherungstabelle | Nicht verfügbar |
| JSON-Ergebnis | Verfügbar |
| Ausgabemeldungen | Verfügbar |
| Scriptergebnis | Verfügbar |
JSON-Ergebnis
Im folgenden Beispiel wird die JSON-Ergebnisausgabe beschrieben, die bei Verwendung der Aktion Datei hochladen und Bericht abrufen empfangen wird:
{
"data": {
"sample_child_sample_ids": [],
"sample_classifications": [
"Dropper",
"Pua",
"Spyware"
],
"sample_container_type": null,
"sample_created": "2020-01-30T14:12:07",
"sample_filename": "example.exe",
"sample_filesize": 86448896,
"sample_highest_vti_score": 74,
"sample_highest_vti_severity": "suspicious",
"sample_id": 4846052,
"sample_imphash": "b34f154ec913d2d2c435cbd644e91687",
"sample_is_multipart": false,
"sample_last_md_score": null,
"sample_last_reputation_severity": "whitelisted",
"sample_last_vt_score": null,
"sample_md5hash": "403799c0fdfb3728cd8f5992a7c8b949",
"sample_parent_sample_ids": [],
"sample_priority": 1,
"sample_score": 74,
"sample_severity": "suspicious",
"sample_sha1hash": "17df3548dd9b8d0283d4acba8195955916eff5f3",
"sample_sha256hash": "2acb1432850b2d2cdb7e6418c57d635950a13f5670eae83324f7ae9130198bbc",
"sample_ssdeephash": "1572864:B9nbNI1LT6t5jOvefSRROaqMhUVkjSFuI5ym9Q5klp/yOmdAyNgc:vbNIZOOvUSRRObaCkjSFug4kYd7Nn",
"sample_type": "Windows Exe (x86-32)",
"sample_url": null,
"sample_vti_score": 74,
"sample_webif_url": "https://cloud.vmray.com/user/sample/view?id=ID"
},
"result": "ok"
}
Ausgabemeldungen
Die Aktion Datei hochladen und Bericht abrufen gibt die folgenden Ausgabemeldungen aus:
| Ausgabemeldung | Nachrichtenbeschreibung |
|---|---|
|
Die Aktion wurde ausgeführt. |
Error executing action "Upload File and Get Report". Reason:
ERROR_REASON |
Die Aktion ist fehlgeschlagen. Überprüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten. |
Scriptergebnis
In der folgenden Tabelle werden die Werte für die Ausgabe des Skriptergebnisses bei Verwendung der Aktion Datei hochladen und Bericht abrufen beschrieben:
| Name des Scriptergebnisses | Wert |
|---|---|
is_success |
True oder False |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten