VMRay

本文提供相關指引,協助您設定 VMRay 並與 Google Security Operations SOAR 整合。

整合版本:14.0

這項整合功能使用一或多個開放原始碼元件。 您可以從 Cloud Storage bucket 下載這個整合的完整原始碼壓縮副本。

整合 VMRay 與 Google SecOps SOAR

整合作業需要下列參數:

參數 說明
Api Root 必要

VMRay 執行個體的 API 根目錄。
Api Key 必要

VMRay API 金鑰。
Verify SSL 選用

如果選取這個選項,整合服務會驗證用於連線至 VMRay 伺服器的 SSL 憑證是否有效。

(此為預設選項)。

如需在 Google SecOps 中設定整合功能的操作說明,請參閱「設定整合功能」。

如有需要,您可以在稍後階段進行變更。設定整合執行個體後,您就可以在劇本中使用該執行個體。如要進一步瞭解如何設定及支援多個執行個體,請參閱「支援多個執行個體」。

動作

VMRay 整合功能包括下列動作:

在提交內容中新增標記

使用「Add Tag to Submission」(將標記新增至提交內容) 動作,將標記新增至 VMRay 提交程序。

這項操作會對所有 Google SecOps 實體執行。

動作輸入內容

「將代碼新增至提交內容」動作需要下列參數:

參數 說明
Submission ID 必要

提交程序的 ID。
Tag Name 必要

要新增至提交程序的標籤名稱。

動作輸出內容

「將標記新增至提交內容」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「將代碼新增至提交內容」動作會提供下列輸出訊息:

輸出訊息 訊息說明
Successfully added tag TAG_NAME to submission SUBMISSION_ID. 動作成功。
Failed to add tag TAG_NAME to submission SUBMISSION_ID. Error is ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表說明使用「將代碼新增至提交內容」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

乒乓

使用「Ping」動作測試與 VMRay 的連線。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

動作輸出內容

「Ping」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果 可用
輸出訊息

「Ping」動作會提供下列輸出訊息:

輸出訊息 訊息說明
Successfully tested connectivity. 動作成功。
Failed to test connectivity.

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表說明使用 Ping 動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

掃描雜湊

使用「掃描雜湊」動作,取得特定雜湊的詳細資料。

這項操作會在 Google SecOps Hash 實體上執行。

動作輸入內容

「掃描雜湊」動作需要下列參數:

參數 說明
Threat Indicator Score Threshold 必要

用於傳回威脅指標的最低分數。值的上限為 5。

預設值為 3。
IOC Type Filter 必要

以半形逗號分隔的 IOC 類型清單,用於傳回結果。

可能的值如下:
  • domains
  • emails
  • files
  • ips
  • mutexes
  • processes
  • registry
  • urls

預設值為 ips, files, emails, urls, domains
IOC Verdict Filter 必要

以半形逗號分隔的 IOC 判定清單,用於 IOC 擷取期間。

可能的值如下:
  • Malicious
  • Suspicious
  • Clean
  • None

預設值為 Malicious, Suspicious
Max IOCs To Return 選用

要為 IOC 類型中的每個實體傳回的 IOC 數量。

預設值為 10。
Max Threat Indicators To Return 選用

每個實體要傳回的威脅指標數量。

預設值為 10。
Create Insight 選用

選取後,這項動作會建立洞察資料,其中包含實體相關資訊。

(此為預設選項)。
Only Suspicious Insight 選用

如果選取,這項動作只會為可疑實體建立洞察資料。

如果選取這個參數,請選取 Create Insight 參數。

預設為未選取。

動作輸出內容

「掃描雜湊」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 可用
補充資訊表格 可用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
案件訊息牆表格

「掃描雜湊」動作會提供下列案件牆表格:

表格標題:ENTITY_ID

資料表欄:

  • 金鑰
補充資訊表格

「掃描雜湊」動作支援下列擴充選項:

補充資料欄位名稱 來源 (JSON 金鑰) 適用性
VMRay_sample_vti_score sample_vti_score 一律
VMRay_sample_child_sample_ids sample_child_sample_ids 一律
VMRay_sample_id sample_id 一律
VMRay_sample_sha1hash sample_sha1hash 一律
VMRay_sample_classifications sample_classifications 一律
VMRay_sample_last_md_score sample_last_md_score 一律
VMRay_sample_last_vt_score sample_last_vt_score 一律
VMRay_sample_severity sample_severity 一律
VMRay_sample_url sample_url 一律
VMRay_sample_imphash sample_imphash 一律
VMRay_sample_highest_vti_score sample_highest_vti_score 一律
VMRay_sample_container_type sample_container_type 一律
VMRay_sample_webif_url sample_webif_url 一律
VMRay_sample_type sample_type 一律
VMRay_sample_created sample_created 一律
VMRay_sample_last_reputation_severity sample_last_reputation_severity 一律
VMRay_sample_filesize sample_filesize 一律
VMRay_sample_parent_sample_ids sample_parent_sample_ids 一律
VMRay_sample_ssdeephash sample_ssdeephash 一律
VMRay_sample_md5hash sample_md5hash 一律
VMRay_sample_sha256hash sample_sha256hash 一律
VMRay_sample_highest_vti_severity sample_highest_vti_severity 一律
VMRay_sample_priority sample_priority 一律
VMRay_sample_is_multipart sample_is_multipart 一律
VMRay_sample_score sample_score 一律
VMRay_sample_filename sample_filename 一律
VMRay_ioc_domains IOC 或網域的 CSV 檔案 一律
VMRay_ioc_ips IOC 或 IP 位址的 CSV 檔案 一律
VMRay_ioc_urls IOC 或網址的 CSV 檔案 一律
VMRay_ioc_files IOC 或檔案的 CSV 檔案 一律
VMRay_ioc_emails IOC 或電子郵件地址的 CSV 檔案 一律
VMRay_ioc_mutexes IOC 或互斥鎖名稱的 CSV 檔案 一律
VMRay_ioc_processes IOC 或程序名稱的 CSV 檔案 一律
VMRay_ioc_registry IOC 或登錄檔的 CSV 檔案 一律
VMRay_threat_indicator_operations 威脅指標或作業的 CSV 檔案 一律
VMRay_threat_indicator_category 威脅指標或類別的 CSV 檔案 一律
JSON 結果

以下範例說明使用「掃描雜湊」動作時收到的 JSON 結果輸出內容:

{
    "sample_child_relations": [],
    "sample_child_relations_truncated": false,
    "sample_child_sample_ids": [],
    "sample_classifications": [],
    "sample_container_type": null,
    "sample_created": "2019-06-05T07:29:05",
    "sample_display_url": "URL",
    "sample_filename": "sample.url",
    "sample_filesize": 35,
    "sample_highest_vti_score": 80,
    "sample_highest_vti_severity": "malicious",
    "sample_id": 3945509,
    "sample_imphash": null,
    "sample_is_multipart": false,
    "sample_last_md_score": null,
    "sample_last_reputation_severity": "malicious",
    "sample_last_vt_score": null,
    "sample_md5hash": "de765a6a9931c754b709d44c33540149",
    "sample_parent_relations": [],
    "sample_parent_relations_truncated": false,
    "sample_parent_sample_ids": [],
    "sample_password_protected": false,
    "sample_pe_signature": null,
    "sample_priority": 3,
    "sample_score": 80,
    "sample_severity": "malicious",
    "sample_sha1hash": "a4b19054d162aab802270aec8ef27f009ab4db51",
    "sample_sha256hash": "8fb5c7a88058fad398dfe290f3821a3983a608abe6b39d014d9800afa3d5af70",
    "sample_ssdeephash": "3:N1KTxKWiUgdhHn:C1N3an",
    "sample_threat_names": [
        "C2/Generic-A"
    ],
    "sample_type": "URL",
    "sample_url": "URL",
    "sample_verdict": "malicious",
    "sample_verdict_reason_code": null,
    "sample_verdict_reason_description": null,
    "sample_vti_score": "malicious",
    "sample_webif_url": "https://cloud.vmray.com/user/sample/view?id=ID",
    "iocs": {
        "domains": [
            {
                "domain": "example.net",
                "severity": "unknown",
                "verdict": "clean"
            }
        ],
        "emails": [
            {
                "email": "example.net",
                "severity": "unknown",
                "verdict": "clean"
            }
        ],
        "files": [
            {
                "filename": "C:\\Program Files (x86)\\example.exe",
                "categories": [
                    "Dropped File"
                ],
                "severity": "not_suspicious",
                "verdict": "clean",
                "classifications": [
                    "Virus"
                ],
                "operations": [
                    "Access",
                    "Create",
                    "Write"
                ],
                "hashes": [
                    {
                        "imp_hash": null,
                        "md5_hash": "58a2430b19d0594b46caf69dea5c1023",
                        "sha1_hash": "e8f5809342eedc2b035f726811dcaa1a9b589cb7",
                        "sha256_hash": "b9072661a90377835205f5c66ee06ba82ec42d843c8ec5dc07c16da86c90b835",
                        "ssdeep_hash": "12:TMHdgo+tJVEdQiCXFMp3OOy9P72/FeFYX+NEVjB:2dfyiw2uTyOOT"
                    }
                ]
            }
        ],
        "ips": [
            {
                "ip_address": "192.0.2.1",
                "severity": "not_suspicious",
                "verdict": "malicious"
            }
        ],
        "mutexes": [
            {
                "mutex_name": "NAME",
                "operations": [
                    "access"
                ],
                "severity": "not_suspicious",
                "verdict": "clean"
            }
        ],
        "processes": [
            {
                "classifications": [],
                "cmd_line": "/c del \"C:\\Users\\example.exe\"",
                "process_ids": [
                    137
                ],
                "parent_processes": [
                    "\"C:\\Windows\\SysWOW64\\control.exe\""
                ],
                "process_names": [
                    "cmd.exe"
                ],
                "severity": "not_suspicious",
                "verdict": "clean"
            }
        ],
        "registry": [
            {
                "operations": [
                    "access",
                    "write"
                ],
                "reg_key_name": "HKEY_USERS\\ID\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\YLRPWV4P6TI",
                "severity": "not_suspicious",
                "verdict": "clean"
            }
        ],
        "urls": [
            {
                "severity": "malicious",
                "url": "URL",
                "verdict": "malicious"
            }
        ]
    },
    "threat_indicators": [
        {
            "category": "Heuristics",
            "operation": "Contains suspicious meta data",
            "score": 4,
            "classifications": [
                "Spyware"
            ]
        }
    ]
}
輸出訊息

「掃描雜湊」動作會提供下列輸出訊息:

輸出訊息 訊息說明

Successfully enriched the following entities using information from VMRay: ENTITY_ID

Action wasn't able to enrich the following entities using information from VMRay: ENTITY_ID

None of the provided entities were enriched.

 動作成功。
Error executing action "Scan Hash". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表說明使用「掃描雜湊」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

掃描網址

使用「掃描網址」動作提交網址,並接收相關資訊。

這項動作會對 Google SecOps 網址實體執行。

動作輸入內容

「掃描網址」動作需要下列參數:

參數 說明
Tag Names 選用

要新增至提交網址的標記。
Comment 選用

要新增至提交網址的註解。
Threat Indicator Score Threshold 必要

用於傳回威脅指標的最低分數。值的上限為 5。

預設值為 3。
IOC Type Filter 必要

以半形逗號分隔的 IOC 類型清單,用於傳回結果。

可能的值如下:
  • domains
  • emails
  • files
  • ips
  • mutexes
  • processes
  • registry
  • urls

預設值為 ips, urls, domains
IOC Verdict Filter 必要

以半形逗號分隔的 IOC 判定清單,用於 IOC 擷取期間。

可能的值如下:
  • Malicious
  • Suspicious
  • Clean
  • None

預設值為 Malicious, Suspicious
Max IOCs To Return 選用

要為 IOC 類型中的每個實體傳回的 IOC 數量。

預設值為 10。
Max Threat Indicators To Return 選用

每個實體要傳回的威脅指標數量。

預設值為 10。
Create Insight 選用

如果選取這個選項,系統會建立洞察資料,其中包含實體相關資訊。

(此為預設選項)。
Only Suspicious Insight 選用

如果選取,這項動作只會為可疑實體建立洞察資料。

如果選取,請同時選取 Create Insight 參數。

預設為未選取。

動作輸出內容

「掃描網址」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 可用
補充資訊表格 可用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
案件訊息牆表格

「掃描網址」動作會提供下列案件牆表格:

表格標題:ENTITY_ID

資料表欄:

  • 金鑰
補充資訊表格

「掃描雜湊」動作支援下列擴充選項:

補充資料欄位名稱 來源 (JSON 金鑰) 適用性
VMRay_sample_vti_score sample_vti_score 一律
VMRay_sample_child_sample_ids sample_child_sample_ids 一律
VMRay_sample_id sample_id 一律
VMRay_sample_sha1hash sample_sha1hash 一律
VMRay_sample_classifications sample_classifications 一律
VMRay_sample_last_md_score sample_last_md_score 一律
VMRay_sample_last_vt_score sample_last_vt_score 一律
VMRay_sample_severity sample_severity 一律
VMRay_sample_url sample_url 一律
VMRay_sample_imphash sample_imphash 一律
VMRay_sample_highest_vti_score sample_highest_vti_score 一律
VMRay_sample_container_type sample_container_type 一律
VMRay_sample_webif_url sample_webif_url 一律
VMRay_sample_type sample_type 一律
VMRay_sample_created sample_created 一律
VMRay_sample_last_reputation_severity sample_last_reputation_severity 一律
VMRay_sample_filesize sample_filesize 一律
VMRay_sample_parent_sample_ids sample_parent_sample_ids 一律
VMRay_sample_ssdeephash sample_ssdeephash 一律
VMRay_sample_md5hash sample_md5hash 一律
VMRay_sample_sha256hash sample_sha256hash 一律
VMRay_sample_highest_vti_severity sample_highest_vti_severity 一律
VMRay_sample_priority sample_priority 一律
VMRay_sample_is_multipart sample_is_multipart 一律
VMRay_sample_score sample_score 一律
VMRay_sample_filename sample_filename 一律
VMRay_ioc_domains IOC 或網域的 CSV 檔案 一律
VMRay_ioc_ips IOC 或 IP 位址的 CSV 檔案 一律
VMRay_ioc_urls IOC 或網址的 CSV 檔案 一律
VMRay_ioc_files IOC 或檔案的 CSV 檔案 一律
VMRay_ioc_emails IOC 或電子郵件地址的 CSV 檔案 一律
VMRay_ioc_mutexes IOC 或互斥鎖名稱的 CSV 檔案 一律
VMRay_ioc_processes IOC 或程序名稱的 CSV 檔案 一律
VMRay_ioc_registry IOC 或登錄檔的 CSV 檔案 一律
VMRay_threat_indicator_operations 威脅指標或作業的 CSV 檔案 一律
VMRay_threat_indicator_category 威脅指標或類別的 CSV 檔案 一律
JSON 結果

下列範例說明使用「掃描網址」動作時收到的 JSON 結果輸出內容:

{
    "sample_child_relations": [],
    "sample_child_relations_truncated": false,
    "sample_child_sample_ids": [],
    "sample_classifications": [],
    "sample_container_type": null,
    "sample_severity": "malicious",
    "sample_sha1hash": "a4b19054d162aab802270aec8ef27f009ab4db51",
    "sample_sha256hash": "8fb5c7a88058fad398dfe290f3821a3983a608abe6b39d014d9800afa3d5af70",
    "sample_ssdeephash": "3:N1KTxKWiUgdhHn:C1N3an",
    "sample_threat_names": [
        "C2/Generic-A"
    ],
    "sample_type": "URL",
    "sample_url": "URL",
    "sample_verdict": "malicious",
    "sample_verdict_reason_code": null,
    "sample_verdict_reason_description": null,
    "sample_vti_score": "malicious",
    "sample_webif_url": "https://cloud.vmray.com/user/sample/view?id=ID",
    "iocs": {
        "domains": [
            {
                "domain": "example.net",
                "severity": "unknown",
                "verdict": "clean"
            }
        ],
        "emails": [
            {
                "email": "example.net",
                "severity": "unknown",
                "verdict": "clean"
            }
        ],
                "files": [
            {
                "filename": "C:\\Program Files (x86)\\example.exe",
                "categories": [
                    "Dropped File"
                ],
                "severity": "not_suspicious",
                "verdict": "clean",
                "classifications": [
                    "Virus"
                ],
                "operations": [
                    "Access",
                    "Create",
                    "Write"
                ],
                "hashes": [
                    {
                        "imp_hash": null,
                        "md5_hash": "58a2430b19d0594b46caf69dea5c1023",
                        "sha1_hash": "e8f5809342eedc2b035f726811dcaa1a9b589cb7",
                        "sha256_hash": "b9072661a90377835205f5c66ee06ba82ec42d843c8ec5dc07c16da86c90b835",
                        "ssdeep_hash": "12:TMHdgo+tJVEdQiCXFMp3OOy9P72/FeFYX+NEVjB:2dfyiw2uTyOOT"
                    }
                ]
            }
        ],
        "ips": [
            {
                "ip_address": "192.0.2.30",
                "severity": "not_suspicious",
                "verdict": "malicious"
            }
        ],
        "mutexes": [
            {
                "mutex_name": "NAME",
                "operations": [
                    "access"
                ],
                "severity": "not_suspicious",
                "verdict": "clean"
            }
        ],
        "processes": [
            {
                "classifications": [],
                "cmd_line": "/c del \"C:\\Users\\example.exe\"",
                "process_ids": [
                    137
                ],
                "parent_processes": [
                    "\"C:\\Windows\\SysWOW64\\control.exe\""
                ],
                "process_names": [
                    "cmd.exe"
                ],
                "severity": "not_suspicious",
                "verdict": "clean"
            }
        ],
        "registry": [
            {
                "operations": [
                    "access",
                    "write"
                ],
                "reg_key_name": "HKEY_USERS\\ID\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\YLRPWV4P6TI",
                "severity": "not_suspicious",
                "verdict": "clean"
            }
        ],
        "urls": [
            {
                "severity": "malicious",
                "url": "URL",
                "verdict": "malicious"
            }
        ]
    },
    "threat_indicators": [
        {
            "category": "Heuristics",
            "operation": "Contains suspicious meta data",
            "score": 4,
            "classifications": [
                "Spyware"
            ]
        }
    ]
}
輸出訊息

「掃描網址」動作會提供下列輸出訊息:

輸出訊息 訊息說明

Successfully enriched the following entities using information from VMRay: ENTITY_ID

Action wasn't able to enrich the following entities using information from VMRay: ENTITY_ID

None of the provided entities were enriched.

 動作成功。
Error executing action "Scan URL". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表說明使用「掃描網址」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

上傳檔案並取得報告

使用「上傳檔案並取得報表」動作,在 VMRay 中提交檔案以供分析。

這項操作會以非同步方式執行。視需要調整 Google SecOps IDE 中動作的指令碼逾時值。

動作輸入內容

「上傳檔案並取得報表」動作需要下列參數:

參數 說明
Sample File Path 必要

以半形逗號分隔的提交檔案絕對路徑清單。
Tag Names 選用

要新增至提交檔案的標記。
Comment 選用

要新增至提交檔案的註解。

動作輸出內容

「上傳檔案並取得報告」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件訊息牆表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果 可用
JSON 結果

以下範例說明使用「上傳檔案並取得報告」動作時收到的 JSON 結果輸出內容:

{
    "data": {
      "sample_child_sample_ids": [],
      "sample_classifications": [
        "Dropper",
        "Pua",
        "Spyware"
      ],
      "sample_container_type": null,
      "sample_created": "2020-01-30T14:12:07",
      "sample_filename": "example.exe",
      "sample_filesize": 86448896,
      "sample_highest_vti_score": 74,
      "sample_highest_vti_severity": "suspicious",
      "sample_id": 4846052,
      "sample_imphash": "b34f154ec913d2d2c435cbd644e91687",
      "sample_is_multipart": false,
      "sample_last_md_score": null,
      "sample_last_reputation_severity": "whitelisted",
      "sample_last_vt_score": null,
      "sample_md5hash": "403799c0fdfb3728cd8f5992a7c8b949",
      "sample_parent_sample_ids": [],
      "sample_priority": 1,
      "sample_score": 74,
      "sample_severity": "suspicious",
      "sample_sha1hash": "17df3548dd9b8d0283d4acba8195955916eff5f3",
      "sample_sha256hash": "2acb1432850b2d2cdb7e6418c57d635950a13f5670eae83324f7ae9130198bbc",
      "sample_ssdeephash": "1572864:B9nbNI1LT6t5jOvefSRROaqMhUVkjSFuI5ym9Q5klp/yOmdAyNgc:vbNIZOOvUSRRObaCkjSFug4kYd7Nn",
      "sample_type": "Windows Exe (x86-32)",
      "sample_url": null,
      "sample_vti_score": 74,
      "sample_webif_url": "https://cloud.vmray.com/user/sample/view?id=ID"
    },
    "result": "ok"
}
輸出訊息

「上傳檔案並取得報表」動作會提供下列輸出訊息:

輸出訊息 訊息說明

Successfully submitted the following files to VMRay: SUBMITTED_FILES

Error executing action "Upload File And Get Report". Reason: the following files were not accessible: PATHS

Waiting for the results for: PENDING_FILE_NAME

 動作成功。
Error executing action "Upload File and Get Report". Reason: ERROR_REASON

動作失敗。

檢查伺服器的連線、輸入參數或憑證。
指令碼結果

下表說明使用「上傳檔案並取得報表」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。