Integrar VirusTotal v3 con Google SecOps
En este documento se explica cómo integrar VirusTotal v3 con Google Security Operations (Google SecOps).
Versión de la integración: 34.0
Esta integración usa la API VirusTotal v3. Para obtener más información sobre la API VirusTotal v3, consulta la descripción general de la API VirusTotal v3.
Esta integración usa uno o varios componentes de código abierto. Puedes descargar una copia comprimida del código fuente completo de esta integración desde el segmento de Cloud Storage.
Casos prácticos
La integración de VirusTotal v3 puede ayudarte a resolver los siguientes casos prácticos:
Análisis de archivos: usa las funciones de Google SecOps para enviar un hash de archivo o un archivo a VirusTotal para que se analice y obtener los resultados del análisis de varios motores antivirus para determinar si el elemento enviado es malicioso.
Análisis de URLs: usa las funciones de Google SecOps para analizar una URL en la base de datos de VirusTotal e identificar sitios web o páginas de phishing potencialmente maliciosos.
Análisis de direcciones IP: usa las funciones de Google SecOps para investigar una dirección IP e identificar su reputación y cualquier actividad maliciosa asociada.
Análisis de dominios: usa las funciones de Google SecOps para analizar un nombre de dominio e identificar su reputación y cualquier actividad maliciosa asociada, como phishing o distribución de malware.
Búsqueda retrospectiva: usa las funciones de Google SecOps para analizar el historial de datos de VirusTotal y buscar archivos, URLs, IPs o dominios que se hayan marcado como maliciosos anteriormente.
Enriquecimiento automático: usa las funciones de Google SecOps para enriquecer automáticamente los datos de incidentes con inteligencia de amenazas.
Investigación de phishing: usa las funciones de Google SecOps para analizar correos y archivos adjuntos sospechosos enviándolos a VirusTotal para que los analice.
Análisis de malware: usa las funciones de Google SecOps para subir muestras de malware a VirusTotal y realizar análisis dinámicos y estáticos. De esta forma, podrás obtener información valiosa sobre el comportamiento y el impacto potencial de las muestras.
Antes de empezar
Para que funcione correctamente, esta integración requiere la API Premium de VirusTotal. Para obtener más información sobre la API Premium de VirusTotal, consulta API pública y API Premium.
Antes de configurar la integración de VirusTotal v3 en Google SecOps, configura una clave de API en VirusTotal.
Para configurar la clave de API, sigue estos pasos:
- Inicia sesión en el portal de VirusTotal.
- Debajo de tu nombre de usuario, haz clic en Clave de API.
- Copia la clave de API generada para usarla en los parámetros de integración.
- Haz clic en Guardar.
Parámetros de integración
La integración de VirusTotal v3 requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
API Key |
Obligatorio. La clave de API de VirusTotal. |
Verify SSL |
Opcional. Si se selecciona esta opción, la integración valida el certificado SSL al conectarse a VirusTotal. Esta opción está seleccionada de forma predeterminada. |
Para obtener instrucciones sobre cómo configurar una integración en Google SecOps, consulta Configurar integraciones.
Si es necesario, puedes hacer cambios más adelante. Después de configurar una instancia de integración, puedes usarla en los cuadernos de estrategias. Para obtener más información sobre cómo configurar y admitir varias instancias, consulta el artículo Admitir varias instancias.
Acciones
Para obtener más información sobre las acciones, consulta Responder a las acciones pendientes de Mi mesa de trabajo y Realizar una acción manual.
Add Comment To Entity
Usa la acción Añadir comentario a entidad para añadir un comentario a las entidades de VirusTotal.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
File HashHostnameIP AddressURL
Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
Entradas de acciones
La acción Add Comment To Entity (Añadir comentario a entidad) requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Comment |
Obligatorio. Un comentario que se añade a las entidades. |
Resultados de la acción
La acción Añadir comentario a entidad proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestran los resultados JSON que se reciben al usar la acción Añadir comentario a entidad:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Mensajes de salida
La acción Añadir comentario a entidad puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Add Comment To Entity". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor del resultado de la secuencia de comandos cuando se usa la acción Añadir comentario a entidad:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Add Vote To Entity
Usa la acción Añadir voto a entidad para añadir un voto a las entidades de VirusTotal.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
File HashHostnameIP AddressURL
Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
Entradas de acciones
La acción Añadir voto a entidad requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Vote |
Obligatorio. Un voto para añadir a las entidades. Estos son los valores posibles:
|
Resultados de la acción
La acción Añadir voto a entidad proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Add Vote To Entity (Añadir voto a entidad):
{
"Status": "Done"
}
{
"Status": "Not done"
}
Mensajes de salida
La acción Añadir voto a entidad puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Add Vote To Entity". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Añadir voto a entidad:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Descargar archivo
Usa la acción Descargar archivo para descargar un archivo de VirusTotal.
Para ejecutar la acción Descargar archivo, se necesita VirusTotal Enterprise (VTE).
Esta acción se ejecuta en la entidad Hash de Google SecOps.
Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
Entradas de acciones
La acción Descargar archivo requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Download Folder Path |
Obligatorio. Ruta a la carpeta en la que se almacenarán los archivos descargados. |
Overwrite |
Opcional. Si se selecciona esta opción, la acción sobrescribe un archivo con el nuevo archivo si los nombres de los archivos son idénticos. Esta opción está seleccionada de forma predeterminada. |
Resultados de la acción
La acción Descargar archivo proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Descargar archivo:
{
"absolute_file_paths": ["file_path_1","file_path_2"]
}
Mensajes de salida
La acción Descargar archivo puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Download File". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Enrich Hash
Usa la acción Enriquecer hash para enriquecer los hashes con información de VirusTotal.
Esta acción se ejecuta en la entidad Hash de Google SecOps.
Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
Entradas de acciones
La acción Enriquecer hash requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Engine Threshold |
Opcional. El número mínimo de buscadores que deben clasificar una entidad como maliciosa o sospechosa para que se considere sospechosa. Si configura el
|
Engine Percentage Threshold |
Opcional. Porcentaje mínimo de buscadores que marcan la entidad como maliciosa o sospechosa para que se considere sospechosa. Si configura el
Los valores válidos de este parámetro van de |
Engine Whitelist |
Opcional. Lista separada por comas de nombres de buscadores que se deben tener en cuenta para determinar si un hash es malicioso. Si no define ningún valor, la acción usará todos los buscadores disponibles. El cálculo del umbral no incluye los buscadores que no proporcionan información sobre las entidades. |
Resubmit Hash |
Opcional. Si se selecciona esta opción, la acción vuelve a enviar el hash para analizarlo en lugar de usar los resultados existentes. No está seleccionada de forma predeterminada. |
Resubmit After (Days) |
Opcional. Número de días que deben transcurrir para volver a enviar el hash después del último análisis. Este parámetro solo se aplica si selecciona el parámetro El valor predeterminado es |
Retrieve Comments |
Opcional. Si se selecciona, la acción recupera los comentarios asociados al hash. Esta opción está seleccionada de forma predeterminada. |
Retrieve Sigma Analysis |
Opcional. Si se selecciona, la acción recupera los resultados del análisis de Sigma para el hash. Esta opción está seleccionada de forma predeterminada. |
Sandbox |
Opcional. Lista separada por comas de los entornos de zona de pruebas que se van a usar para el análisis de comportamiento. Si no define ningún valor, la acción usará el valor predeterminado. El valor predeterminado es |
Retrieve Sandbox Analysis |
Opcional. Si se selecciona esta opción, la acción recupera los resultados del análisis del entorno aislado de la función hash y crea una sección independiente en la salida JSON por cada entorno aislado especificado. Esta opción está seleccionada de forma predeterminada. |
Create Insight |
Opcional. Si se selecciona, la acción crea una estadística que contiene información sobre el hash analizado. Esta opción está seleccionada de forma predeterminada. |
Only Suspicious Entity Insight |
Opcional. Si se selecciona esta opción, la acción solo genera estadísticas de los hashes que se consideren sospechosos en función de los parámetros de umbral. Este parámetro solo se aplica si selecciona el parámetro No está seleccionada de forma predeterminada. |
Max Comments To Return |
Opcional. El número máximo de comentarios que se deben recuperar por cada ejecución de acción. El valor predeterminado es |
Widget Theme |
Opcional. El tema que se va a usar en el widget de VirusTotal. El valor predeterminado es Los valores posibles son los siguientes:
|
Fetch Widget |
Opcional. Si se selecciona, la acción recupera un widget aumentado relacionado con el hash. Esta opción está seleccionada de forma predeterminada. |
Fetch MITRE Details |
Opcional. Si se selecciona, la acción recupera las técnicas y tácticas de MITRE ATT&CK que están relacionadas con el hash. No está seleccionada de forma predeterminada. |
Lowest MITRE Technique Severity |
Opcional. El nivel de gravedad mínimo de una técnica de MITRE ATT&CK para incluirla en los resultados. La acción trata la gravedad Estos son los valores posibles:
El valor predeterminado es |
Resultados de la acción
La acción Enriquecer hash proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | Disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento de entidades | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Enlace del panel de casos
La acción Enriquecer hash puede proporcionar el siguiente enlace para cada entidad enriquecida:
Nombre: Report Link
Valor: URL
Tabla del panel de casos
La acción Enriquecer hash puede proporcionar la siguiente tabla para cada entidad enriquecida:
Nombre de la tabla: ENTITY_ID
Columnas de la tabla:
- Nombre
- Categoría
- Método
- Resultado
La acción Enriquecer hash puede proporcionar la siguiente tabla de cada entidad que tenga comentarios:
Nombre de la tabla: Comentarios: ENTITY_ID
Columnas de la tabla:
- Fecha
- Comentario
- Votos de abuso
- Votos negativos
- Votos positivos
- ID
La acción Enriquecer hash puede proporcionar la siguiente tabla de cada entidad que tenga los resultados del análisis de Sigma:
Nombre de la tabla: Análisis de Sigma: ENTITY_ID
Columnas de la tabla:
- ID
- Gravedad
- Origen
- Title
- Descripción
- Contexto de la coincidencia
Tabla de enriquecimiento de entidades
En la siguiente tabla se enumeran los campos enriquecidos mediante la acción Enriquecer hash:
| Nombre del campo de enriquecimiento | Aplicabilidad |
|---|---|
VT3_id |
Se aplica cuando está disponible en el resultado JSON. |
VT3_magic |
Se aplica cuando está disponible en el resultado JSON. |
VT3_md5 |
Se aplica cuando está disponible en el resultado JSON. |
VT3_sha1 |
Se aplica cuando está disponible en el resultado JSON. |
VT3_sha256 |
Se aplica cuando está disponible en el resultado JSON. |
VT3_ssdeep |
Se aplica cuando está disponible en el resultado JSON. |
VT3_tlsh |
Se aplica cuando está disponible en el resultado JSON. |
VT3_vhash |
Se aplica cuando está disponible en el resultado JSON. |
VT3_meaningful_name |
Se aplica cuando está disponible en el resultado JSON. |
VT3_magic |
Se aplica cuando está disponible en el resultado JSON. |
VT3_harmless_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_malicious_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_suspicious_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_undetected_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_reputation |
Se aplica cuando está disponible en el resultado JSON. |
VT3_tags |
Se aplica cuando está disponible en el resultado JSON. |
VT3_malicious_vote_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_harmless_vote_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_report_link |
Se aplica cuando está disponible en el resultado JSON. |
Resultado de JSON
En el siguiente ejemplo se muestra el resultado en JSON que se recibe al usar la acción Enrich Hash:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}]
}
Mensajes de salida
La acción Enrich Hash puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Enrich Hash". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Enriquecer hash:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Enriquecer IOC
Usa la acción Enriquecer IoC para enriquecer los indicadores de compromiso (IoCs) con información de VirusTotal.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Enrich IOC requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
IOC Type |
Opcional. El tipo de IOC que se va a enriquecer. El valor predeterminado es Estos son los valores posibles:
|
IOCs |
Obligatorio. Lista de IOCs separada por comas que se va a enriquecer. |
Widget Theme |
Opcional. El tema que se va a usar en el widget. El valor predeterminado es Estos son los valores posibles:
|
Fetch Widget |
Opcional. Si se selecciona, la acción recupera el widget del IOC. Esta opción está seleccionada de forma predeterminada. |
Resultados de la acción
La acción Enriquecer IOC proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | Disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Enlace del panel de casos
La acción Enrich IOC puede proporcionar el siguiente enlace para cada entidad enriquecida:
Nombre: Report Link
Valor: URL
Tabla del panel de casos
La acción Enriquecer IOC puede proporcionar la siguiente tabla para cada entidad enriquecida:
Nombre de la tabla: IOC_ID
Columnas de la tabla:
- Nombre
- Categoría
- Método
- Resultado
Resultado de JSON
En el siguiente ejemplo se muestra el resultado en JSON que se obtiene al usar la acción Enrich IOC:
{
"ioc": {
"identifier": "203.0.113.1",
"details": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"report_link": "{generated report link}",
"widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
}
}
}
Mensajes de salida
La acción Ping puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Enrich IOC". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Enrich IOC:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Enriquecer IP
Usa la acción Enriquecer IP para enriquecer direcciones IP con información de VirusTotal.
Esta acción se ejecuta en la entidad IP Address de Google SecOps.
Entradas de acciones
La acción Enriquecer IP requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Engine Threshold |
Opcional. El número mínimo de buscadores que deben clasificar una entidad como maliciosa o sospechosa para que se considere sospechosa. Si configura el
|
Engine Percentage Threshold |
Opcional. El porcentaje mínimo de buscadores que deben clasificar la entidad como maliciosa o sospechosa para que se considere sospechosa. Si configura el parámetro Los valores válidos de este parámetro van de |
Engine Whitelist |
Opcional. Lista separada por comas de nombres de buscadores que se deben tener en cuenta para determinar si un hash es malicioso. Si no define ningún valor, la acción usará todos los buscadores disponibles. El cálculo del umbral no incluye los buscadores que no proporcionan información sobre las entidades. |
Retrieve Comments |
Opcional. Si se selecciona, la acción recupera los comentarios asociados al hash. Esta opción está seleccionada de forma predeterminada. |
Create Insight |
Opcional. Si se selecciona, la acción crea una estadística que contiene información sobre el hash analizado. Esta opción está seleccionada de forma predeterminada. |
Only Suspicious Entity Insight |
Opcional. Si se selecciona esta opción, la acción solo genera estadísticas de los hashes que se consideren sospechosos en función de los parámetros de umbral. Este parámetro solo se aplica si selecciona el parámetro No está seleccionada de forma predeterminada. |
Max Comments To Return |
Opcional. El número máximo de comentarios que se deben recuperar por cada ejecución de acción. El valor predeterminado es |
Widget Theme |
Opcional. El tema que se va a usar en el widget de VirusTotal. El valor predeterminado es Los valores posibles son los siguientes:
|
Fetch Widget |
Opcional. Si se selecciona, la acción recupera un widget aumentado relacionado con el hash. Esta opción está seleccionada de forma predeterminada. |
Resultados de la acción
La acción Enriquecer IP proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | Disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento de entidades | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Enlace del panel de casos
La acción Enriquecer IP puede proporcionar el siguiente enlace para cada entidad enriquecida:
Nombre: Report Link
Valor: URL
Tabla del panel de casos
La acción Enriquecer IP puede proporcionar la siguiente tabla de cada entidad enriquecida:
Nombre de la tabla: ENTITY_ID
Columnas de la tabla:
- Nombre
- Categoría
- Método
- Resultado
La acción Enriquecer IP puede proporcionar la siguiente tabla de cada entidad que tenga comentarios:
Nombre de la tabla: Comentarios: ENTITY_ID
Columnas de la tabla:
- Fecha
- Comentario
- Votos de abuso
- Votos negativos
- Votos positivos
- ID
Tabla de enriquecimiento de entidades
En la siguiente tabla se indican los campos enriquecidos mediante la acción Enriquecer IP:
| Nombre del campo de enriquecimiento | Aplicabilidad |
|---|---|
VT3_id |
Se aplica cuando está disponible en el resultado JSON. |
VT3_owner |
Se aplica cuando está disponible en el resultado JSON. |
VT3_asn |
Se aplica cuando está disponible en el resultado JSON. |
VT3_continent |
Se aplica cuando está disponible en el resultado JSON. |
VT3_country |
Se aplica cuando está disponible en el resultado JSON. |
VT3_harmless_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_malicious_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_suspicious_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_undetected_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_certificate_valid_not_after |
Se aplica cuando está disponible en el resultado JSON. |
VT3_certificate_valid_not_before |
Se aplica cuando está disponible en el resultado JSON. |
VT3_reputation |
Se aplica cuando está disponible en el resultado JSON. |
VT3_tags |
Se aplica cuando está disponible en el resultado JSON. |
VT3_malicious_vote_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_harmless_vote_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_report_link |
Se aplica cuando está disponible en el resultado JSON. |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Enrich IP (Enriquecer IP):
{
"data": {
"attributes": {
"as_owner": "Example",
"asn": 50673,
"continent": "EU",
"country": "NL",
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "ExampleLabs",
"method": "blacklist",
"result": "clean"
},
"example.com URL checker": {
"category": "harmless",
"engine_name": "example.com URL checker",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 81,
"malicious": 5,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_https_certificate": {
"cert_signature": {
"signature": "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",
"signature_algorithm": "sha256RSA"
},
"extensions": {
"1.3.6.1.4.1.11129.2.4.2": "0481f200f00075007d3ef2f88fff88556824c2c0ca9e5289792bc50e78097f2e",
"CA": true,
"authority_key_identifier": {
"keyid": "KEY_ID"
},
"ca_information_access": {
"CA Issuers": "http://example.RSADomainValidationSecureServerCA.crt",
"OCSP": "http://example.com"
},
"certificate_policies": [
"1.3.6.1.4.1.6449.1.2.2.7",
"2.23.140.1.2.1"
],
"extended_key_usage": [
"serverAuth",
"clientAuth"
],
"key_usage": [
"ff"
],
"subject_alternative_name": [
"example-panel.xyz",
"www.example-panel.xyz"
],
"subject_key_identifier": "4f6429eaccd761eca91d9120b004f9d962453fef",
"tags": []
},
"issuer": {
"C": "US",
"CN": "Example RSA Domain Validation Secure Server CA",
"L": "Mountain View",
"O": "Example Ltd.",
},
"public_key": {
"algorithm": "RSA",
"rsa": {
"exponent": "010001",
"key_size": 2048,
"modulus": "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"
}
},
"serial_number": "248562d360bcc919bb97883f0dfc609d",
"signature_algorithm": "sha256RSA",
"size": 1472,
"subject": {
"CN": "example-panel.xyz"
},
"tags": [],
"thumbprint": "f9aae62cc9262302e45d94fcc512d65529ea1b31",
"thumbprint_sha256": "406ac0efb0ef67de743b1ab0f4e0352564a7d5ebbd71e3a883c067acc3563016",
"validity": {
"not_after": "2021-08-06 23:59:59",
"not_before": "2020-08-06 00:00:00"
},
"version": "V3"
},
"last_https_certificate_date": 1605415789,
"last_modification_date": 1605430702,
"network": "203.0.113.0/24",
"regional_internet_registry": "EXAMPLE",
"reputation": -95,
"tags": [],
"total_votes": {
"harmless": 0,
"malicious": 10
},
"whois": "NetRange: 203.0.113.0 - 203.0.113.255\nCIDR: 203.0.113.0/24\nNetName: EXAMPLE-5\nNetHandle: NET-203-0-113-0-1\nParent: ()\nNetType: Allocated to EXAMPLE\nOrig",
"whois_date": 1603912270
},
"id": "203.0.113.1",
"links": {
"self": "https://www.virustotal.com/api/v3/ip_addresses/203.0.113.1"
},
"type": "ip_address"
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Mensajes de salida
La acción Enriquecer IP puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Enriquecer IP:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
URL de enriquecimiento
Usa la acción Enriquecer URL para enriquecer una URL con información de VirusTotal.
Esta acción se ejecuta en la entidad URL de Google SecOps.
Entradas de acciones
La acción Enriquecer URL requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Engine Threshold |
Opcional. El número mínimo de buscadores que deben clasificar una URL como maliciosa o sospechosa para que se considere sospechosa. Si configura el
|
Engine Percentage Threshold |
Opcional. El porcentaje mínimo de buscadores que deben clasificar la URL como maliciosa o sospechosa para que se considere sospechosa. Si configura el parámetro Los valores válidos de este parámetro van de |
Engine Whitelist |
Opcional. Lista separada por comas de nombres de buscadores que se deben tener en cuenta para determinar si un hash es malicioso. |
Resubmit URL |
Opcional. Si se selecciona esta opción, la acción vuelve a enviar la URL para que se analice en lugar de usar los resultados que ya haya. No está seleccionada de forma predeterminada. |
Resubmit After (Days) |
Opcional. Número de días que deben transcurrir para volver a enviar la URL después del último análisis. Este parámetro solo se aplica si selecciona el parámetro El valor predeterminado es |
Retrieve Comments |
Opcional. Si se selecciona, la acción recupera los comentarios asociados a la URL. Esta opción está seleccionada de forma predeterminada. |
Create Insight |
Opcional. Si se selecciona esta opción, la acción crea una estadística que contiene información sobre la URL analizada. Esta opción está seleccionada de forma predeterminada. |
Only Suspicious Entity Insight |
Opcional. Si se selecciona esta opción, la acción solo genera estadísticas de las URLs que se consideren sospechosas en función de los parámetros de umbral. Este parámetro solo se aplica si selecciona el parámetro No está seleccionada de forma predeterminada. |
Max Comments To Return |
Opcional. El número máximo de comentarios que se deben recuperar por cada ejecución de acción. El valor predeterminado es |
Widget Theme |
Opcional. El tema que se va a usar en el widget de VirusTotal. El valor predeterminado es Los valores posibles son los siguientes:
|
Fetch Widget |
Opcional. Si se selecciona, la acción recupera un widget aumentado relacionado con el hash. Esta opción está seleccionada de forma predeterminada. |
Resultados de la acción
La acción Enriquecer URL proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | Disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento de entidades | Disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Enlace del panel de casos
La acción Enriquecer URL puede proporcionar el siguiente enlace para cada entidad enriquecida:
Nombre: Report Link
Valor: URL
Tabla del panel de casos
La acción Enriquecer URL puede proporcionar la siguiente tabla para cada entidad enriquecida:
Nombre de la tabla: ENTITY_ID
Columnas de la tabla:
- Nombre
- Categoría
- Método
- Resultado
La acción Enriquecer URL puede proporcionar la siguiente tabla de cada entidad que tenga comentarios:
Nombre de la tabla: Comentarios: ENTITY_ID
Columnas de la tabla:
- Fecha
- Comentario
- Votos de abuso
- Votos negativos
- Votos positivos
- ID
Tabla de enriquecimiento de entidades
En la siguiente tabla se enumeran los campos enriquecidos mediante la acción Enriquecer URL:
| Nombre del campo de enriquecimiento | Aplicabilidad |
|---|---|
VT3_id |
Se aplica cuando está disponible en el resultado JSON. |
VT3_title |
Se aplica cuando está disponible en el resultado JSON. |
VT3_last_http_response_code |
Se aplica cuando está disponible en el resultado JSON. |
VT3_last_http_response_content_length |
Se aplica cuando está disponible en el resultado JSON. |
VT3_threat_names |
Se aplica cuando está disponible en el resultado JSON. |
VT3_harmless_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_malicious_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_suspicious_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_undetected_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_reputation |
Se aplica cuando está disponible en el resultado JSON. |
VT3_tags |
Se aplica cuando está disponible en el resultado JSON. |
VT3_malicious_vote_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_harmless_vote_count |
Se aplica cuando está disponible en el resultado JSON. |
VT3_report_link |
Se aplica cuando está disponible en el resultado JSON. |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON que se recibe al usar la acción Enrich URL (Enriquecer URL):
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"AEXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Mensajes de salida
La acción Enriquecer URL puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Enrich URL". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Enriquecer URL:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Obtener detalles del dominio
Usa la acción Obtener detalles del dominio para consultar información detallada sobre el dominio con datos de VirusTotal.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
URLHostname
Entradas de acciones
La acción Obtener detalles del dominio requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Engine Threshold |
Opcional. El número mínimo de buscadores que deben clasificar un dominio como malicioso o sospechoso para que se considere sospechoso. |
Engine Percentage Threshold |
Opcional. El porcentaje mínimo de buscadores que deben clasificar el dominio como malicioso o sospechoso para que se considere sospechoso. |
Engine Whitelist |
Opcional. Lista de nombres de buscadores separados por comas que se deben tener en cuenta al evaluar el riesgo del dominio. |
Retrieve Comments |
Opcional. Si se selecciona, la acción recupera los comentarios asociados al dominio de VirusTotal. Esta opción está seleccionada de forma predeterminada. |
Create Insight |
Opcional. Si se selecciona esta opción, la acción crea una estadística con información sobre el dominio. Esta opción está seleccionada de forma predeterminada. |
Only Suspicious Entity Insight |
Opcional. Si se selecciona esta opción, la acción solo genera estadísticas de las entidades que se consideren sospechosas en función de los parámetros de umbral. No está seleccionada de forma predeterminada. |
Max Comments To Return |
Opcional. El número máximo de comentarios que se pueden obtener del dominio en cada acción. El valor predeterminado es |
Widget Theme |
Opcional. El tema que se va a usar en el widget de VirusTotal. El valor predeterminado es Estos son los valores posibles:
|
Fetch Widget |
Opcional. Si se selecciona esta opción, la acción recupera y muestra el widget de VirusTotal del dominio. Esta opción está seleccionada de forma predeterminada. |
Resultados de la acción
La acción Obtener detalles del dominio proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | Disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Enlace del panel de casos
La acción Obtener detalles del dominio puede proporcionar el siguiente enlace para cada entidad enriquecida:
Nombre: Report Link
Valor: URL
Tabla del panel de casos
La acción Obtener detalles del dominio puede proporcionar la siguiente tabla para cada entidad enriquecida:
Nombre de la tabla: ENTITY_ID
Columnas de la tabla:
- Nombre
- Categoría
- Método
- Resultado
La acción Obtener detalles del dominio puede proporcionar la siguiente tabla para cada entidad que tenga comentarios:
Nombre de la tabla: Comentarios: ENTITY_ID
Columnas de la tabla:
- Fecha
- Comentario
- Votos de abuso
- Votos negativos
- Votos positivos
- ID
Resultado de JSON
En el siguiente ejemplo se muestra el resultado en JSON que se obtiene al usar la acción Get Domain Details (Obtener detalles del dominio):
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Mensajes de salida
La acción Obtener detalles del dominio puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get Domain Details". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener detalles del dominio:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Obtener detalles del gráfico
Usa la acción Obtener detalles del gráfico para obtener información detallada sobre los gráficos de VirusTotal.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Obtener detalles del gráfico requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Graph ID |
Obligatorio. Lista de IDs de gráficos separados por comas de los que se deben obtener los detalles. |
Max Links To Return |
Opcional. Número máximo de enlaces que se devuelven por cada gráfico. El valor predeterminado es |
Resultados de la acción
La acción Obtener detalles del gráfico proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Tabla del panel de casos
La acción Obtener detalles del gráfico puede proporcionar la siguiente tabla para cada entidad enriquecida:
Nombre de la tabla: Enlaces de gráfico ENTITY_ID
Columnas de la tabla:
- Origen
- Objetivo
- Tipo de conexión
Resultado de JSON
En el siguiente ejemplo se muestra el resultado en JSON que se obtiene al usar la acción Get Graph Details (Obtener detalles del gráfico):
{
"data": {
"attributes": {
"comments_count": 0,
"creation_date": 1603219837,
"graph_data": {
"description": "Example LLC",
"version": "api-5.0.0"
},
"last_modified_date": 1603219837,
"links": [
{
"connection_type": "last_serving_ip_address",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "last_serving_ip_address",
"source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "network_location",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "network_location",
"source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "communicating_files",
"source": "203.0.113.3",
"target": "relationships_communicating_files_20301133"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
}
],
"nodes": [
{
"entity_attributes": {
"has_detections": false
},
"entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 0,
"text": "",
"type": "url",
"x": 51.22276722115952,
"y": 65.7811310194184
},
{
"entity_attributes": {},
"entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 1,
"text": "",
"type": "relationship",
"x": 25.415664700492094,
"y": 37.66636498768037
},
{
"entity_attributes": {
"country": "US"
},
"entity_id": "203.0.113.3",
"fx": -19.03611541222395,
"fy": 24.958500220062717,
"index": 2,
"text": "",
"type": "ip_address",
"x": -19.03611541222395,
"y": 24.958500220062717
},
{
"entity_attributes": {},
"entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 3,
"text": "",
"type": "relationship",
"x": 14.37403861978968,
"y": 56.85562691824892
},
{
"entity_attributes": {},
"entity_id": "relationships_communicating_files_20301133",
"index": 4,
"text": "",
"type": "relationship",
"x": -51.78097726144755,
"y": 10.087893225996158
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
"index": 5,
"text": "",
"type": "file",
"x": -79.11606194776019,
"y": -18.475026322309112
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
"index": 6,
"text": "",
"type": "file",
"x": -64.80938048199627,
"y": 46.75892061191275
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
"index": 7,
"text": "",
"type": "file",
"x": -43.54064004476819,
"y": -28.547923020662786
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
"index": 8,
"text": "",
"type": "file",
"x": -15.529860440278318,
"y": -2.068209789825876
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
"index": 9,
"text": "",
"type": "file",
"x": -42.55971948293377,
"y": 46.937155845680415
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "html"
},
"entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
"index": 10,
"text": "",
"type": "file",
"x": -62.447976875107706,
"y": -28.172418384729067
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
"index": 11,
"text": "",
"type": "file",
"x": -89.0326649183805,
"y": -2.2638551448322484
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
"index": 12,
"text": "",
"type": "file",
"x": -26.35260716195174,
"y": -20.25669077264115
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
"index": 13,
"text": "",
"type": "file",
"x": -82.1415994911387,
"y": 34.89636762607467
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "ENTITY_ID",
"index": 14,
"text": "",
"type": "file",
"x": -90.87738694680043,
"y": 16.374462198116138
}
],
"private": false,
"views_count": 30
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
}
}
Mensajes de salida
La acción Obtener detalles del gráfico puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get Graph Details". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener detalles del gráfico:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Get Related Domains
Usa la acción Obtener dominios relacionados para obtener los dominios relacionados con las entidades proporcionadas de VirusTotal.
Para ejecutar la acción Get Related Domains (Obtener dominios relacionados), se necesita VirusTotal Enterprise (VTE).
Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
HashHostnameIP AddressURL
Entradas de acciones
La acción Get Related Domains requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Results |
Opcional. El orden en el que se devuelven los resultados JSON. Estos son los valores posibles:
Si selecciona El valor predeterminado es |
Max Domains To Return |
Opcional. Número de dominios que se van a devolver. Si selecciona El valor predeterminado es |
Resultados de la acción
La acción Obtener dominios relacionados proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON que se recibe al usar la acción Get Related Domains (Obtener dominios relacionados):
{
"domain": ["example.com"]
}
Mensajes de salida
La acción Get Related Domains puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get Related Domains". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Obtener dominios relacionados:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Get Related Hashes
Usa la acción Obtener hashes relacionados para obtener los hashes relacionados con las entidades proporcionadas de VirusTotal.
Para ejecutar la acción Get Related Hashes (Obtener hashes relacionados), se necesita VirusTotal Enterprise (VTE).
Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
HashHostnameIP AddressURL
Entradas de acciones
La acción Get Related Hashes requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Results |
Opcional. El orden en el que se devuelven los resultados JSON. Estos son los valores posibles:
Si selecciona El valor predeterminado es |
Max Hashes To Return |
Opcional. Número de hashes de archivos que se deben devolver. Si selecciona
El valor predeterminado es |
Resultados de la acción
La acción Obtener hashes relacionados proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Get Related Hashes:
{
"sha256_hashes": ["http://example.com"]
}
Mensajes de salida
La acción Obtener hashes relacionados puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get Related Hashes". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Obtener hashes relacionados:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Get Related IPs
Usa la acción Obtener IPs relacionadas para obtener las direcciones IP relacionadas con las entidades proporcionadas de VirusTotal.
Para ejecutar la acción Get Related IPs (Obtener IPs relacionadas), se necesita VirusTotal Enterprise (VTE).
Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
HashHostnameIP AddressURL
Entradas de acciones
La acción Get Related IPs requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Results |
Opcional. El orden en el que se devuelven los resultados JSON. Estos son los valores posibles:
Si selecciona El valor predeterminado es |
Max IPs To Return |
Opcional. Número de direcciones IP que se van a devolver. Si selecciona
El valor predeterminado es |
Resultados de la acción
La acción Obtener IPs relacionadas proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON que se recibe al usar la acción Get Related IPs (Obtener IPs relacionadas):
{
"ips": ["203.0.113.1"]
}
Mensajes de salida
La acción Get Related IPs puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get Related IPs". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Obtener IPs relacionadas:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Obtener URLs relacionadas
Usa la acción Obtener URLs relacionadas para obtener las URLs relacionadas con las entidades proporcionadas de VirusTotal.
Para ejecutar la acción Obtener URLs relacionadas, se necesita VirusTotal Enterprise (VTE).
Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
HashjsHostnameIP AddressURL
Entradas de acciones
La acción Obtener URLs relacionadas requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Results |
Opcional. El orden en el que se devuelven los resultados JSON. Estos son los valores posibles:
Si selecciona El valor predeterminado es |
Max URLs To Return |
Opcional. Número de URLs que se deben devolver. Si selecciona
El valor predeterminado es |
Resultados de la acción
La acción Obtener URLs relacionadas proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON que se recibe al usar la acción Obtener URLs relacionadas:
{
"urls": ["http://example.com"]
}
Mensajes de salida
La acción Get Related URLs puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Get Related URLs". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos cuando se usa la acción Obtener URLs relacionadas:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Ping
Usa la acción Ping para probar la conectividad con VirusTotal.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
Ninguno
Resultados de la acción
La acción Ping proporciona las siguientes salidas:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | No disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Mensajes de salida
La acción Ping puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Failed to connect to the VirusTotal server! Error is
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Ping:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Gráficos de entidades de búsqueda
Usa la acción Buscar gráficos de entidades para buscar gráficos basados en las entidades de VirusTotal.
Esta acción solo admite los hashes MD5, SHA-1 y SHA-256.
Esta acción se ejecuta en las siguientes entidades de Google SecOps:
HashIP AddressThreat ActorURLUser
Entradas de acciones
La acción Buscar gráficos de entidades requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Sort Field |
Opcional. El valor del campo por el que se ordenarán los gráficos de VirusTotal. El valor predeterminado es Estos son los valores posibles:
|
Max Graphs To Return |
Opcional. Número máximo de gráficos que se devuelven por cada ejecución de acción. El valor predeterminado es |
Resultados de la acción
La acción Buscar gráficos de entidades proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Buscar gráficos de entidades:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
Mensajes de salida
La acción Buscar gráficos de entidades puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Search Entity Graphs". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Buscar gráficos
Usa la acción Buscar gráficos para buscar gráficos basados en filtros personalizados en VirusTotal.
Esta acción no se ejecuta en entidades de Google SecOps.
| Parámetro | Descripción |
|---|---|
Query |
Obligatorio. Filtro de consulta del gráfico. Para obtener más información sobre las consultas, consulta los artículos Cómo crear consultas y Modificadores relacionados con gráficos. |
Sort Field |
Opcional. El valor del campo por el que se ordenarán los gráficos de VirusTotal. El valor predeterminado es Estos son los valores posibles:
|
Max Graphs To Return |
Opcional. Número máximo de gráficos que se devuelven por cada ejecución de acción. El valor predeterminado es |
Cómo crear consultas
Para acotar los resultados de búsqueda de gráficos, crea consultas que contengan modificadores relacionados con gráficos. Para mejorar la búsqueda, puedes combinar modificadores con los operadores AND, OR y NOT.
Los campos de fecha y numéricos admiten sufijos de suma (+) o resta (-). El sufijo "más" ("+") coincide con los valores superiores al valor proporcionado. El sufijo de signo menos coincide con los valores inferiores al valor proporcionado. Si no se incluye ningún sufijo, la consulta devuelve coincidencias exactas.
Para definir intervalos, puedes usar el mismo modificador varias veces en una consulta. Por ejemplo, para buscar gráficos creados entre el 15 y el 20 de noviembre del 2018, usa la siguiente consulta:
creation_date:2018-11-15+ creation_date:2018-11-20-
En el caso de las fechas o los meses que empiecen por 0, quite el carácter 0 de la consulta.
Por ejemplo, para dar formato a la fecha 2018-11-01, escribe 2018-11-1.
Modificadores relacionados con gráficos
En la siguiente tabla se indican los modificadores que puede usar para crear la consulta de búsqueda:
| Modificador | Descripción | Ejemplo |
|---|---|---|
Id |
Filtra por identificador de gráfico. | id:g675a2fd4c8834e288af |
Name |
Filtra por nombre de gráfico. | name:Example-name |
Owner |
Filtra por los gráficos propiedad del usuario. | owner:example_user |
Group |
Filtra por los gráficos que pertenecen a un grupo. | group:example |
Visible_to_user |
Filtra por los gráficos visibles para el usuario. | visible_to_user:example_user |
Visible_to_group |
Filtra por los gráficos visibles para el grupo. | visible_to_group:example |
Private |
Filtra por gráficos privados. | private:true, private:false |
Creation_date |
Filtra por la fecha de creación del gráfico. | creation_date:2018-11-15 |
last_modified_date |
Filtra por la fecha de la última modificación del gráfico. | last_modified_date:2018-11-20 |
Total_nodes |
Filtra por gráficos que contengan un número específico de nodos. | total_nodes:100 |
Comments_count |
Filtra por el número de comentarios del gráfico. | comments_count:10+ |
Views_count |
Filtra por el número de visualizaciones del gráfico. | views_count:1000+ |
Label |
Filtra por gráficos que contengan nodos con una etiqueta específica. | label:Kill switch |
File |
Filtra por gráficos que contengan el archivo específico. | file:131f95c51cc819465fa17 |
Domain |
Filtra por los gráficos que contienen el dominio específico. | domain:example.com |
Ip_address |
Filtra por gráficos que contengan la dirección IP específica. | ip_address:203.0.113.1 |
Url |
Filtra por los gráficos que contienen la URL específica. | url:https://example.com/example/ |
Actor |
Filtra por los gráficos que contienen el actor específico. | actor:example actor |
Victim |
Filtra por gráficos que contengan a la víctima específica. | victim:example_user |
Email |
Filtra por gráficos que contengan la dirección de correo específica. | email:user@example.com |
Department |
Filtra por gráficos que contengan el departamento específico. | department:engineers |
Resultados de la acción
La acción Buscar gráficos proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra el resultado JSON que se recibe al usar la acción Buscar gráficos:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
Mensajes de salida
La acción Buscar gráficos puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Search Graphs". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Buscar gráficos:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Buscar IOCs
Usa la acción Buscar indicadores de compromiso para buscar IOCs en el conjunto de datos de VirusTotal.
Para ejecutar la acción Buscar indicadores de compromiso, se necesita VirusTotal Enterprise (VTE).
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Buscar indicadores de compromiso requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Query |
Obligatorio. Consulta para buscar IOCs. El valor predeterminado es Para configurar la consulta, sigue la sintaxis de consulta aplicable a la interfaz de usuario de VirusTotal Intelligence. |
Create Entities |
Opcional. Si se selecciona esta opción, la acción crea entidades para los IOCs devueltos. Esta acción no enriquece las entidades. No está seleccionada de forma predeterminada. |
Order By |
Obligatorio. Campo de orden para devolver los resultados. Estos son los valores posibles:
Los tipos de entidad pueden tener diferentes campos de orden. Para obtener más información sobre cómo buscar archivos en VirusTotal, consulta Búsqueda avanzada de corpus. El valor predeterminado es |
Sort Order |
Opcional. El orden en el que se deben ordenar los resultados. Estos son los valores posibles:
Si asigna el valor El valor predeterminado es |
Max IOCs To Return |
Opcional. Número de IOCs que se van a devolver. El valor máximo es
El valor predeterminado es |
Resultados de la acción
La acción Buscar indicadores de compromiso proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | No disponible |
| Tabla del panel de casos | No disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Resultado de JSON
En el siguiente ejemplo se muestra el resultado en JSON que se recibe al usar la acción Buscar indicadores de compromiso:
{
"data": [
{
"attributes": {
"type_description": "Email",
"tlsh": "T1B4D31F04BE452B3093E7238E064E6FDBAFCC135F6611F1C60881AAD6C5C77A2E57D689",
"exiftool": {
"MIMEType": "text/plain",
"FileType": "TXT",
"WordCount": "2668",
"LineCount": "1820",
"MIMEEncoding": "us-ascii",
"FileTypeExtension": "txt",
"Newlines": "Windows CRLF"
},
"type_tags": [
"internet",
"email"
],
"threat_severity": {
"threat_severity_level": "SEVERITY_HIGH",
"threat_severity_data": {
"num_gav_detections": 3,
"has_vulnerabilities": true,
"popular_threat_category": "trojan",
"type_tag": "email",
"has_embedded_ips_with_detections": true
},
"last_analysis_date": "1698050597",
"version": 2,
"level_description": "Severity HIGH because it was considered trojan. Other contributing factors were that it has known exploits, it contains embedded IPs with detections and it could not be run in sandboxes."
},
"names": [
"Re Example.eml"
],
"last_modification_date": 1698057197,
"type_tag": "email",
"times_submitted": 1,
"total_votes": {
"harmless": 0,
"malicious": 0
},
"size": 132299,
"popular_threat_classification": {
"suggested_threat_label": "obfsobjdat/malformed",
"popular_threat_name": [
{
"count": 8,
"value": "obfsobjdat"
},
{
"count": 2,
"value": "malformed"
}
]
},
"last_submission_date": 1698049979,
"last_analysis_results": {
"Bkav": {
"category": "undetected",
"engine_name": "Example1",
"engine_version": "2.0.0.1",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
"Lionic": {
"category": "undetected",
"engine_name": "Example2",
"engine_version": "7.5",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
},
"downloadable": true,
"trid": [
{
"file_type": "file seems to be plain text/ASCII",
"probability": 0
}
],
"sha256": "2d9df36964fe2e477e6e0f7a73391e4d4b2eeb0995dd488b431c4abfb4c27dbf",
"type_extension": "eml",
"tags": [
"exploit",
"cve-2018-0802",
"cve-2018-0798",
"email",
"cve-2017-11882"
],
"last_analysis_date": 1698049979,
"unique_sources": 1,
"first_submission_date": 1698049979,
"ssdeep": "768:MedEkBNnx8ueVV+fitChi9KbpK0fixbRwHbcElIK944tCVQOgzdsSuom+cWmsCGY:Meo+fitC0mKuixYxlI1OO1cSPo0gptA",
"md5": "bdfe36052e0c083869505ef4fd77e865",
"sha1": "3a350de97009efe517ceffcea406534bb1ab800c",
"magic": "SMTP mail, ASCII text, with CRLF line terminators",
"last_analysis_stats": {
"harmless": 0,
"type-unsupported": 16,
"suspicious": 0,
"confirmed-timeout": 0,
"timeout": 0,
"failure": 0,
"malicious": 28,
"undetected": 32
},
"meaningful_name": "Re Example.eml",
"reputation": 0
},
"type": "file",
"id": "ID",
"links": {
"self": "URL"
}
},
]
}
Mensajes de salida
La acción Buscar indicadores de compromiso puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Search IOCs". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Buscar indicadores de compromiso:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Enviar archivo
Usa la acción Enviar archivo para enviar un archivo y obtener los resultados de VirusTotal.
Esta acción no se ejecuta en entidades de Google SecOps.
Entradas de acciones
La acción Enviar archivo requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
File Paths |
Obligatorio. Lista separada por comas de las rutas absolutas de los archivos que se van a enviar. Si configura el parámetro |
Engine Threshold |
Opcional. El número mínimo de motores que deben clasificar un archivo como malicioso o sospechoso para que se considere sospechoso. Si configura el
|
Engine Percentage Threshold |
Opcional. El porcentaje mínimo de buscadores que deben clasificar el archivo como malicioso o sospechoso para que se considere sospechoso. |
Engine Whitelist |
Opcional. Lista de nombres de buscadores separados por comas que se deben tener en cuenta al evaluar el riesgo, como Si no define ningún valor, la acción usará todos los buscadores disponibles. El cálculo del umbral no incluye los buscadores que no proporcionan información sobre entidades. |
Retrieve Comments |
Opcional. Si se selecciona esta opción, la acción recupera los comentarios asociados al archivo de VirusTotal. Esta opción está seleccionada de forma predeterminada. Si la opción de envío privado está habilitada, no se obtienen los comentarios. |
Retrieve Sigma Analysis |
Opcional. Si se selecciona, la acción recupera los resultados del análisis de Sigma del archivo. Esta opción está seleccionada de forma predeterminada. |
Max Comments To Return |
Opcional. El número máximo de comentarios que se deben recuperar por cada ejecución de acción. El valor predeterminado es |
Linux Server Address |
Opcional. La dirección IP o el nombre de host de un servidor Linux remoto en el que se encuentran los archivos. |
Linux Username |
Opcional. Nombre de usuario para autenticar el servidor Linux remoto. |
Linux Password |
Opcional. La contraseña para autenticar el servidor Linux remoto. |
Private Submission |
Opcional. Si se selecciona, la acción envía el archivo de forma privada. Para enviar el archivo de forma privada, se requiere acceso a VirusTotal Premium. No está seleccionada de forma predeterminada. |
Fetch MITRE Details |
Opcional. Si se selecciona, la acción recupera las técnicas y tácticas de MITRE ATT&CK que están relacionadas con el hash. No está seleccionada de forma predeterminada. |
Lowest MITRE Technique Severity |
Opcional. El nivel de gravedad mínimo de una técnica de MITRE ATT&CK para incluirla en los resultados. La acción trata la gravedad Estos son los valores posibles:
El valor predeterminado es |
Retrieve AI Summary |
Opcional. Este parámetro es experimental. Si se selecciona, la acción obtiene un resumen generado por IA del archivo. Esta opción solo está disponible para los envíos privados. No está seleccionada de forma predeterminada. |
Resultados de la acción
La acción Enviar archivo proporciona los siguientes resultados:
| Tipo de salida de la acción | Disponibilidad |
|---|---|
| Adjunto del panel de casos | No disponible |
| Enlace del panel de casos | Disponible |
| Tabla del panel de casos | Disponible |
| Tabla de enriquecimiento | No disponible |
| Resultado de JSON | Disponible |
| Mensajes de salida | Disponible |
| Resultado de la secuencia de comandos | Disponible |
Enlace del panel de casos
La acción Enviar archivo puede proporcionar el siguiente enlace para cada entidad enriquecida:
Nombre: Enlace del informe: PATH
Valor: URL
Tabla del panel de casos
La acción Enviar archivo puede proporcionar la siguiente tabla para cada archivo enviado:
Nombre de la tabla: Resultados: PATH
Columnas de la tabla:
- Nombre
- Categoría
- Método
- Resultado
La acción Enviar archivo puede proporcionar la siguiente tabla para cada archivo enviado que tenga comentarios:
Nombre de la tabla: Comentarios: PATH
Columnas de la tabla:
- Fecha
- Comentario
- Votos de abuso
- Votos negativos
- Votos positivos
- ID
La acción Enviar archivo puede proporcionar la siguiente tabla para cada entidad que tenga los resultados del análisis de Sigma:
Nombre de la tabla: Análisis de Sigma: ENTITY_ID
Columnas de la tabla:
- ID
- Gravedad
- Origen
- Title
- Descripción
- Contexto de la coincidencia
Resultado de JSON
En el siguiente ejemplo se muestra la salida del resultado JSON recibida al usar la acción Enviar archivo:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Mensajes de salida
La acción Enviar archivo puede devolver los siguientes mensajes de salida:
| Mensaje resultante | Descripción del mensaje |
|---|---|
|
La acción se ha realizado correctamente. |
Error executing action "Submit File". Reason:
ERROR_REASON |
No se ha podido realizar la acción. Comprueba la conexión al servidor, los parámetros de entrada o las credenciales. |
Resultado de la secuencia de comandos
En la siguiente tabla se muestra el valor de la salida del resultado de la secuencia de comandos al usar la acción Enviar archivo:
| Nombre del resultado del script | Valor |
|---|---|
is_success |
True o False |
Conectores
Para obtener más información sobre cómo configurar conectores en Google SecOps, consulta el artículo Ingerir datos (conectores).
VirusTotal - Livehunt Connector
Usa VirusTotal - Livehunt Connector para obtener información sobre las notificaciones de Livehunt de VirusTotal y los archivos relacionados.
Este conector requiere un token de API Premium de VirusTotal. La lista dinámica funciona
con el parámetro rule_name.
Entradas de conectores
El conector Livehunt de VirusTotal requiere los siguientes parámetros:
| Parámetro | Descripción |
|---|---|
Product Field Name |
Obligatorio. Nombre del campo en el que se almacena el nombre del producto. El valor predeterminado es El nombre del producto
influye principalmente en la asignación. Para optimizar y mejorar el proceso de asignación del conector, el valor predeterminado |
Event Field Name |
Obligatorio. Nombre del campo en el que se almacena el nombre del evento (subtipo). El valor predeterminado es |
Environment Field Name |
Opcional. Nombre del campo en el que se almacena el nombre del entorno. Si no se encuentra el campo de entorno, el conector usa el valor predeterminado. El valor predeterminado es |
Environment Regex Pattern |
Opcional. Un patrón de expresión regular que se aplica al valor encontrado en el campo Usa el valor predeterminado Si el patrón de expresión regular es nulo o está vacío, o si el valor del entorno es nulo, el resultado final del entorno será el entorno predeterminado. |
PythonProcessTimeout |
Obligatorio. El límite de tiempo de espera en segundos del proceso de Python que ejecuta la secuencia de comandos actual. El valor predeterminado es |
API Key |
Obligatorio. La clave de API de VirusTotal. |
Verify SSL |
Obligatorio. Si se selecciona esta opción, la integración valida el certificado SSL al conectarse a VirusTotal. Esta opción está seleccionada de forma predeterminada. |
Engine Whitelist |
Opcional. Lista de nombres de buscadores separados por comas que se deben tener en cuenta al evaluar el valor del parámetro Si no define ningún valor, la acción usará todos los buscadores disponibles. |
Engine Percentage Threshold To Fetch |
Obligatorio. El porcentaje mínimo de buscadores que marcan el archivo como malicioso o sospechoso para que el conector lo ingiera. Los valores válidos van de El valor predeterminado es |
Max Hours Backwards |
Opcional. Número de horas antes de la primera iteración del conector para recuperar los incidentes. Este parámetro se puede aplicar a la iteración inicial del conector después de habilitarlo por primera vez o al valor de reserva de una marca de tiempo del conector caducada. El valor predeterminado es |
Max Notifications To Fetch |
Opcional. El número máximo de notificaciones que se procesarán en cada ejecución del conector. El valor predeterminado es |
Use dynamic list as a blacklist |
Obligatorio. Si se selecciona, la lista dinámica se usa como lista de bloqueo. No está seleccionada de forma predeterminada. |
Proxy Server Address |
Opcional. Dirección del servidor proxy que se va a usar. |
Proxy Username |
Opcional. Nombre de usuario para la autenticación del servidor proxy. |
Proxy Password |
Opcional. La contraseña para la autenticación del servidor proxy. |
Reglas de conectores
El conector admite proxies.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.