VMRay
本文档提供了一些指南,可帮助您将 VMRay 与 Google Security Operations SOAR 集成。
集成版本:14.0
此集成使用一个或多个开源组件。 您可以从 Cloud Storage 存储桶下载此集成的完整源代码的压缩副本。
将 VMRay 与 Google SecOps SOAR 集成
集成需要以下参数:
| 参数 | 说明 |
|---|---|
Api Root |
必需 VMRay 实例的 API 根。 |
Api Key |
必需 VMRay API 密钥。 |
Verify SSL |
可选 如果选择此项,集成会验证用于连接到 VMRay 服务器的 SSL 证书是否有效。 此选项将会默认选中。 |
如需了解如何在 Google SecOps 中配置集成,请参阅配置集成。
如有需要,您可以在稍后阶段进行更改。配置集成实例后,您可以在剧本中使用该实例。如需详细了解如何配置和支持多个实例,请参阅支持多个实例。
操作
VMRay 集成包括以下操作:
向提交内容添加标记
使用 Add Tag to Submission 操作可向 VMRay 提交流程添加标记。
此操作会在所有 Google SecOps 实体上运行。
操作输入
向提交内容添加标记操作需要以下参数:
| 参数 | 说明 |
|---|---|
Submission ID |
必需 提交流程的 ID。 |
Tag Name |
必需 要添加到提交过程中的标记名称。 |
操作输出
向提交内容添加标记操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
向提交内容添加标记操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully added tag
TAG_NAME to submission
SUBMISSION_ID. |
操作成功。 |
Failed to add tag
TAG_NAME to submission
SUBMISSION_ID. Error is
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用向提交内容添加标记操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
Ping
使用 Ping 操作测试与 VMRay 的连接。
此操作不适用于 Google SecOps 实体。
操作输入
无。
操作输出
Ping 操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 不可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
输出消息
Ping 操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
Successfully tested connectivity. |
操作成功。 |
Failed to test connectivity. |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用 Ping 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
扫描哈希
使用 Scan Hash 操作获取有关特定哈希的详细信息。
此操作在 Google SecOps 哈希实体上运行。
操作输入
扫描哈希操作需要以下参数:
| 参数 | 说明 |
|---|---|
Threat Indicator Score Threshold |
必需 用于返回威胁指标的最低得分。最大值为 5。 默认值为 3。 |
IOC Type Filter |
必需 要返回的 IOC 类型的英文逗号分隔列表。 可能的值如下:
默认值为 |
IOC Verdict Filter |
必需 在 IOC 提取期间使用的 IOC 判决的逗号分隔列表。 可能的值如下:
默认值为 |
Max IOCs To Return |
可选 要针对 IOC 类型中的每个实体返回的 IOC 数量。 默认值为 10。 |
Max Threat Indicators To Return |
可选 每个实体要返回的威胁指示器数量。 默认值为 10。 |
Create Insight |
可选 如果选择此项,操作会创建包含实体相关信息的分析洞见。 此选项将会默认选中。 |
Only Suspicious Insight |
可选 如果选中,该操作仅为可疑实体创建数据洞见。 如果您选择此参数,请选择 默认情况下未选中。 |
操作输出
扫描哈希操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 可用 |
| 丰富化表 | 可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
“支持请求墙”表格
扫描哈希操作提供以下案例墙表格:
表格标题:ENTITY_ID
表列:
- 键
- 值
丰富化表
扫描哈希操作支持以下丰富选项:
| 扩充项字段名称 | 来源(JSON 键) | 适用性 |
|---|---|---|
VMRay_sample_vti_score |
sample_vti_score |
始终 |
VMRay_sample_child_sample_ids |
sample_child_sample_ids |
始终 |
VMRay_sample_id |
sample_id |
始终 |
VMRay_sample_sha1hash |
sample_sha1hash |
始终 |
VMRay_sample_classifications |
sample_classifications |
始终 |
VMRay_sample_last_md_score |
sample_last_md_score |
始终 |
VMRay_sample_last_vt_score |
sample_last_vt_score |
始终 |
VMRay_sample_severity |
sample_severity |
始终 |
VMRay_sample_url |
sample_url |
始终 |
VMRay_sample_imphash |
sample_imphash |
始终 |
VMRay_sample_highest_vti_score |
sample_highest_vti_score |
始终 |
VMRay_sample_container_type |
sample_container_type |
始终 |
VMRay_sample_webif_url |
sample_webif_url |
始终 |
VMRay_sample_type |
sample_type |
始终 |
VMRay_sample_created |
sample_created |
始终 |
VMRay_sample_last_reputation_severity |
sample_last_reputation_severity |
始终 |
VMRay_sample_filesize |
sample_filesize |
始终 |
VMRay_sample_parent_sample_ids |
sample_parent_sample_ids |
始终 |
VMRay_sample_ssdeephash |
sample_ssdeephash |
始终 |
VMRay_sample_md5hash |
sample_md5hash |
始终 |
VMRay_sample_sha256hash |
sample_sha256hash |
始终 |
VMRay_sample_highest_vti_severity |
sample_highest_vti_severity |
始终 |
VMRay_sample_priority |
sample_priority |
始终 |
VMRay_sample_is_multipart |
sample_is_multipart |
始终 |
VMRay_sample_score |
sample_score |
始终 |
VMRay_sample_filename |
sample_filename |
始终 |
VMRay_ioc_domains |
包含 IOC 或网域的 CSV 文件 | 始终 |
VMRay_ioc_ips |
包含 IOC 或 IP 地址的 CSV 文件 | 始终 |
VMRay_ioc_urls |
包含 IOC 或网址的 CSV 文件 | 始终 |
VMRay_ioc_files |
包含 IOC 或文件的 CSV 文件 | 始终 |
VMRay_ioc_emails |
包含 IOC 或电子邮件地址的 CSV 文件 | 始终 |
VMRay_ioc_mutexes |
包含 IOC 或互斥信号名称的 CSV 文件 | 始终 |
VMRay_ioc_processes |
包含 IOC 或进程名称的 CSV 文件 | 始终 |
VMRay_ioc_registry |
包含 IOC 或注册信息的 CSV 文件 | 始终 |
VMRay_threat_indicator_operations |
包含威胁指示器或操作的 CSV 文件 | 始终 |
VMRay_threat_indicator_category |
包含威胁指示器或类别的 CSV 文件 | 始终 |
JSON 结果
以下示例介绍了使用 扫描哈希操作时收到的 JSON 结果输出:
{
"sample_child_relations": [],
"sample_child_relations_truncated": false,
"sample_child_sample_ids": [],
"sample_classifications": [],
"sample_container_type": null,
"sample_created": "2019-06-05T07:29:05",
"sample_display_url": "URL",
"sample_filename": "sample.url",
"sample_filesize": 35,
"sample_highest_vti_score": 80,
"sample_highest_vti_severity": "malicious",
"sample_id": 3945509,
"sample_imphash": null,
"sample_is_multipart": false,
"sample_last_md_score": null,
"sample_last_reputation_severity": "malicious",
"sample_last_vt_score": null,
"sample_md5hash": "de765a6a9931c754b709d44c33540149",
"sample_parent_relations": [],
"sample_parent_relations_truncated": false,
"sample_parent_sample_ids": [],
"sample_password_protected": false,
"sample_pe_signature": null,
"sample_priority": 3,
"sample_score": 80,
"sample_severity": "malicious",
"sample_sha1hash": "a4b19054d162aab802270aec8ef27f009ab4db51",
"sample_sha256hash": "8fb5c7a88058fad398dfe290f3821a3983a608abe6b39d014d9800afa3d5af70",
"sample_ssdeephash": "3:N1KTxKWiUgdhHn:C1N3an",
"sample_threat_names": [
"C2/Generic-A"
],
"sample_type": "URL",
"sample_url": "URL",
"sample_verdict": "malicious",
"sample_verdict_reason_code": null,
"sample_verdict_reason_description": null,
"sample_vti_score": "malicious",
"sample_webif_url": "https://cloud.vmray.com/user/sample/view?id=ID",
"iocs": {
"domains": [
{
"domain": "example.net",
"severity": "unknown",
"verdict": "clean"
}
],
"emails": [
{
"email": "example.net",
"severity": "unknown",
"verdict": "clean"
}
],
"files": [
{
"filename": "C:\\Program Files (x86)\\example.exe",
"categories": [
"Dropped File"
],
"severity": "not_suspicious",
"verdict": "clean",
"classifications": [
"Virus"
],
"operations": [
"Access",
"Create",
"Write"
],
"hashes": [
{
"imp_hash": null,
"md5_hash": "58a2430b19d0594b46caf69dea5c1023",
"sha1_hash": "e8f5809342eedc2b035f726811dcaa1a9b589cb7",
"sha256_hash": "b9072661a90377835205f5c66ee06ba82ec42d843c8ec5dc07c16da86c90b835",
"ssdeep_hash": "12:TMHdgo+tJVEdQiCXFMp3OOy9P72/FeFYX+NEVjB:2dfyiw2uTyOOT"
}
]
}
],
"ips": [
{
"ip_address": "192.0.2.1",
"severity": "not_suspicious",
"verdict": "malicious"
}
],
"mutexes": [
{
"mutex_name": "NAME",
"operations": [
"access"
],
"severity": "not_suspicious",
"verdict": "clean"
}
],
"processes": [
{
"classifications": [],
"cmd_line": "/c del \"C:\\Users\\example.exe\"",
"process_ids": [
137
],
"parent_processes": [
"\"C:\\Windows\\SysWOW64\\control.exe\""
],
"process_names": [
"cmd.exe"
],
"severity": "not_suspicious",
"verdict": "clean"
}
],
"registry": [
{
"operations": [
"access",
"write"
],
"reg_key_name": "HKEY_USERS\\ID\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\YLRPWV4P6TI",
"severity": "not_suspicious",
"verdict": "clean"
}
],
"urls": [
{
"severity": "malicious",
"url": "URL",
"verdict": "malicious"
}
]
},
"threat_indicators": [
{
"category": "Heuristics",
"operation": "Contains suspicious meta data",
"score": 4,
"classifications": [
"Spyware"
]
}
]
}
输出消息
扫描哈希操作提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Scan Hash". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用 Scan Hash 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
扫描网址
使用 Scan 网址 操作提交网址并接收有关这些网址的相关信息。
此操作会在 Google SecOps 网址实体上运行。
操作输入
扫描网址操作需要以下参数:
| 参数 | 说明 |
|---|---|
Tag Names |
可选 要添加到提交的网址中的标记。 |
Comment |
可选 要添加到提交的网址中的评论。 |
Threat Indicator Score Threshold |
必需 用于返回威胁指标的最低得分。最大值为 5。 默认值为 3。 |
IOC Type Filter |
必需 要返回的 IOC 类型的英文逗号分隔列表。 可能的值如下:
默认值为 |
IOC Verdict Filter |
必需 在 IOC 提取期间使用的 IOC 判决的逗号分隔列表。 可能的值如下:
默认值为 |
Max IOCs To Return |
可选 要针对 IOC 类型中的每个实体返回的 IOC 数量。 默认值为 10。 |
Max Threat Indicators To Return |
可选 每个实体要返回的威胁指示器数量。 默认值为 10。 |
Create Insight |
可选 如果选择此操作,系统会创建包含实体相关信息的分析洞见。 此选项将会默认选中。 |
Only Suspicious Insight |
可选 如果选中,该操作仅为可疑实体创建数据洞见。 如果选择此参数,还需选择 默认情况下未选中。 |
操作输出
扫描网址操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 可用 |
| 丰富化表 | 可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
“支持请求墙”表格
扫描网址操作提供以下案例墙表格:
表格标题:ENTITY_ID
表列:
- 键
- 值
丰富化表
扫描哈希操作支持以下丰富选项:
| 扩充项字段名称 | 来源(JSON 键) | 适用性 |
|---|---|---|
VMRay_sample_vti_score |
sample_vti_score |
始终 |
VMRay_sample_child_sample_ids |
sample_child_sample_ids |
始终 |
VMRay_sample_id |
sample_id |
始终 |
VMRay_sample_sha1hash |
sample_sha1hash |
始终 |
VMRay_sample_classifications |
sample_classifications |
始终 |
VMRay_sample_last_md_score |
sample_last_md_score |
始终 |
VMRay_sample_last_vt_score |
sample_last_vt_score |
始终 |
VMRay_sample_severity |
sample_severity |
始终 |
VMRay_sample_url |
sample_url |
始终 |
VMRay_sample_imphash |
sample_imphash |
始终 |
VMRay_sample_highest_vti_score |
sample_highest_vti_score |
始终 |
VMRay_sample_container_type |
sample_container_type |
始终 |
VMRay_sample_webif_url |
sample_webif_url |
始终 |
VMRay_sample_type |
sample_type |
始终 |
VMRay_sample_created |
sample_created |
始终 |
VMRay_sample_last_reputation_severity |
sample_last_reputation_severity |
始终 |
VMRay_sample_filesize |
sample_filesize |
始终 |
VMRay_sample_parent_sample_ids |
sample_parent_sample_ids |
始终 |
VMRay_sample_ssdeephash |
sample_ssdeephash |
始终 |
VMRay_sample_md5hash |
sample_md5hash |
始终 |
VMRay_sample_sha256hash |
sample_sha256hash |
始终 |
VMRay_sample_highest_vti_severity |
sample_highest_vti_severity |
始终 |
VMRay_sample_priority |
sample_priority |
始终 |
VMRay_sample_is_multipart |
sample_is_multipart |
始终 |
VMRay_sample_score |
sample_score |
始终 |
VMRay_sample_filename |
sample_filename |
始终 |
VMRay_ioc_domains |
包含 IOC 或网域的 CSV 文件 | 始终 |
VMRay_ioc_ips |
包含 IOC 或 IP 地址的 CSV 文件 | 始终 |
VMRay_ioc_urls |
包含 IOC 或网址的 CSV 文件 | 始终 |
VMRay_ioc_files |
包含 IOC 或文件的 CSV 文件 | 始终 |
VMRay_ioc_emails |
包含 IOC 或电子邮件地址的 CSV 文件 | 始终 |
VMRay_ioc_mutexes |
包含 IOC 或互斥信号名称的 CSV 文件 | 始终 |
VMRay_ioc_processes |
包含 IOC 或进程名称的 CSV 文件 | 始终 |
VMRay_ioc_registry |
包含 IOC 或注册信息的 CSV 文件 | 始终 |
VMRay_threat_indicator_operations |
包含威胁指示器或操作的 CSV 文件 | 始终 |
VMRay_threat_indicator_category |
包含威胁指示器或类别的 CSV 文件 | 始终 |
JSON 结果
以下示例介绍了使用扫描网址操作时收到的 JSON 结果输出:
{
"sample_child_relations": [],
"sample_child_relations_truncated": false,
"sample_child_sample_ids": [],
"sample_classifications": [],
"sample_container_type": null,
"sample_severity": "malicious",
"sample_sha1hash": "a4b19054d162aab802270aec8ef27f009ab4db51",
"sample_sha256hash": "8fb5c7a88058fad398dfe290f3821a3983a608abe6b39d014d9800afa3d5af70",
"sample_ssdeephash": "3:N1KTxKWiUgdhHn:C1N3an",
"sample_threat_names": [
"C2/Generic-A"
],
"sample_type": "URL",
"sample_url": "URL",
"sample_verdict": "malicious",
"sample_verdict_reason_code": null,
"sample_verdict_reason_description": null,
"sample_vti_score": "malicious",
"sample_webif_url": "https://cloud.vmray.com/user/sample/view?id=ID",
"iocs": {
"domains": [
{
"domain": "example.net",
"severity": "unknown",
"verdict": "clean"
}
],
"emails": [
{
"email": "example.net",
"severity": "unknown",
"verdict": "clean"
}
],
"files": [
{
"filename": "C:\\Program Files (x86)\\example.exe",
"categories": [
"Dropped File"
],
"severity": "not_suspicious",
"verdict": "clean",
"classifications": [
"Virus"
],
"operations": [
"Access",
"Create",
"Write"
],
"hashes": [
{
"imp_hash": null,
"md5_hash": "58a2430b19d0594b46caf69dea5c1023",
"sha1_hash": "e8f5809342eedc2b035f726811dcaa1a9b589cb7",
"sha256_hash": "b9072661a90377835205f5c66ee06ba82ec42d843c8ec5dc07c16da86c90b835",
"ssdeep_hash": "12:TMHdgo+tJVEdQiCXFMp3OOy9P72/FeFYX+NEVjB:2dfyiw2uTyOOT"
}
]
}
],
"ips": [
{
"ip_address": "192.0.2.30",
"severity": "not_suspicious",
"verdict": "malicious"
}
],
"mutexes": [
{
"mutex_name": "NAME",
"operations": [
"access"
],
"severity": "not_suspicious",
"verdict": "clean"
}
],
"processes": [
{
"classifications": [],
"cmd_line": "/c del \"C:\\Users\\example.exe\"",
"process_ids": [
137
],
"parent_processes": [
"\"C:\\Windows\\SysWOW64\\control.exe\""
],
"process_names": [
"cmd.exe"
],
"severity": "not_suspicious",
"verdict": "clean"
}
],
"registry": [
{
"operations": [
"access",
"write"
],
"reg_key_name": "HKEY_USERS\\ID\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\YLRPWV4P6TI",
"severity": "not_suspicious",
"verdict": "clean"
}
],
"urls": [
{
"severity": "malicious",
"url": "URL",
"verdict": "malicious"
}
]
},
"threat_indicators": [
{
"category": "Heuristics",
"operation": "Contains suspicious meta data",
"score": 4,
"classifications": [
"Spyware"
]
}
]
}
输出消息
扫描网址操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Scan URL". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用 Scan 网址 操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
上传文件并获取报告
使用 Upload File and Get Report 操作可在 VMRay 中提交文件以供分析。
此操作会异步运行。根据需要,在 Google SecOps IDE 中调整操作的脚本超时值。
操作输入
上传文件并获取报告操作需要以下参数:
| 参数 | 说明 |
|---|---|
Sample File Path |
必需 以英文逗号分隔的提交文件绝对路径列表。 |
Tag Names |
可选 要添加到提交文件的标记。 |
Comment |
可选 要添加到提交文件的评论。 |
操作输出
上传文件并获取报告操作提供以下输出:
| 操作输出类型 | 可用性 |
|---|---|
| 案例墙附件 | 不可用 |
| 案例墙链接 | 不可用 |
| “支持请求墙”表格 | 不可用 |
| 丰富化表 | 不可用 |
| JSON 结果 | 可用 |
| 输出消息 | 可用 |
| 脚本结果 | 可用 |
JSON 结果
以下示例介绍了使用上传文件并获取报告操作时收到的 JSON 结果输出:
{
"data": {
"sample_child_sample_ids": [],
"sample_classifications": [
"Dropper",
"Pua",
"Spyware"
],
"sample_container_type": null,
"sample_created": "2020-01-30T14:12:07",
"sample_filename": "example.exe",
"sample_filesize": 86448896,
"sample_highest_vti_score": 74,
"sample_highest_vti_severity": "suspicious",
"sample_id": 4846052,
"sample_imphash": "b34f154ec913d2d2c435cbd644e91687",
"sample_is_multipart": false,
"sample_last_md_score": null,
"sample_last_reputation_severity": "whitelisted",
"sample_last_vt_score": null,
"sample_md5hash": "403799c0fdfb3728cd8f5992a7c8b949",
"sample_parent_sample_ids": [],
"sample_priority": 1,
"sample_score": 74,
"sample_severity": "suspicious",
"sample_sha1hash": "17df3548dd9b8d0283d4acba8195955916eff5f3",
"sample_sha256hash": "2acb1432850b2d2cdb7e6418c57d635950a13f5670eae83324f7ae9130198bbc",
"sample_ssdeephash": "1572864:B9nbNI1LT6t5jOvefSRROaqMhUVkjSFuI5ym9Q5klp/yOmdAyNgc:vbNIZOOvUSRRObaCkjSFug4kYd7Nn",
"sample_type": "Windows Exe (x86-32)",
"sample_url": null,
"sample_vti_score": 74,
"sample_webif_url": "https://cloud.vmray.com/user/sample/view?id=ID"
},
"result": "ok"
}
输出消息
上传文件并获取报告操作会提供以下输出消息:
| 输出消息 | 消息说明 |
|---|---|
|
操作成功。 |
Error executing action "Upload File and Get Report". Reason:
ERROR_REASON |
操作失败。 检查与服务器的连接、输入参数或凭据。 |
脚本结果
下表介绍了使用上传文件并获取报告操作时脚本结果输出的值:
| 脚本结果名称 | 值 |
|---|---|
is_success |
True 或 False |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。