Integrar o VirusTotal v3 ao Google SecOps
Este documento explica como integrar o VirusTotal v3 ao Google Security Operations (Google SecOps).
Versão da integração: 34.0
Essa integração usa a API v3 do VirusTotal. Para mais informações sobre a API v3 do VirusTotal, consulte Visão geral da API v3 do VirusTotal.
Essa integração usa um ou mais componentes de código aberto. Faça o download de uma cópia compactada do código-fonte completo dessa integração no bucket do Cloud Storage.
Casos de uso
A integração do VirusTotal v3 pode ajudar você a resolver os seguintes casos de uso:
Análise de arquivos: use os recursos do Google SecOps para enviar um hash ou um arquivo ao VirusTotal para análise e recupere os resultados da verificação de vários mecanismos antivírus para determinar se o item enviado é malicioso.
Análise de URL: use os recursos do Google SecOps para executar um URL no banco de dados do VirusTotal e identificar sites ou páginas de phishing potencialmente maliciosos.
Análise de endereço IP: use os recursos do Google SecOps para investigar um endereço IP e identificar a reputação dele e qualquer atividade maliciosa associada.
Análise de domínio: use os recursos do Google SecOps para analisar um nome de domínio e identificar a reputação dele e qualquer atividade maliciosa associada, como phishing ou distribuição de malware.
Retrohunting: use os recursos do Google SecOps para analisar os dados históricos do VirusTotal e procurar arquivos, URLs, IPs ou domínios que foram sinalizados como maliciosos.
Enriquecimento automatizado: use os recursos do Google SecOps para enriquecer automaticamente os dados de incidentes com inteligência de ameaças.
Investigação de phishing: use os recursos do Google SecOps para analisar e-mails e anexos suspeitos enviando-os ao VirusTotal.
Análise de malware: use os recursos do Google SecOps para fazer upload de amostras de malware no VirusTotal para análise dinâmica e estática e receber insights sobre o comportamento e o possível impacto das amostras.
Antes de começar
Para funcionar corretamente, essa integração exige a API Premium do VirusTotal. Para mais informações sobre a API Premium do VirusTotal, consulte API pública x Premium.
Antes de configurar a integração do VirusTotal v3 no Google SecOps, configure uma chave de API no VirusTotal.
Para configurar a chave de API, siga estas etapas:
- Faça login no portal do VirusTotal.
- Abaixo do seu nome de usuário, clique em Chave de API.
- Copie a chave de API gerada para usar nos parâmetros de integração.
- Clique em Salvar.
Parâmetros de integração
A integração do VirusTotal v3 requer os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
API Key |
Obrigatório. A chave de API do VirusTotal. |
Verify SSL |
Opcional. Se selecionada, a integração valida o certificado SSL ao se conectar ao VirusTotal. Essa opção é selecionada por padrão. |
Para instruções sobre como configurar uma integração no Google SecOps, consulte Configurar integrações.
É possível fazer mudanças mais tarde, se necessário. Depois de configurar uma instância de integração, você pode usá-la em playbooks. Para mais informações sobre como configurar e oferecer suporte a várias instâncias, consulte Suporte a várias instâncias.
Ações
Para mais informações sobre ações, consulte Responder a ações pendentes na Sua mesa de trabalho e Realizar uma ação manual.
Adicionar comentário à entidade
Use a ação Adicionar comentário à entidade para adicionar um comentário a entidades no VirusTotal.
Essa ação é executada nas seguintes entidades do Google SecOps:
File HashHostnameIP AddressURL
Essa ação só é compatível com os hashes MD5, SHA-1 e SHA-256.
Entradas de ação
A ação Adicionar comentário à entidade exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Comment |
Obrigatório. Um comentário para adicionar às entidades. |
Saídas de ação
A ação Adicionar comentário à entidade fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra as saídas de resultados JSON recebidas ao usar a ação Adicionar comentário à entidade:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Mensagens de saída
A ação AddCommentToEntity pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Add Comment To Entity". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Adicionar comentário à entidade:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Adicionar voto à entidade
Use a ação Adicionar voto à entidade para adicionar um voto a entidades no VirusTotal.
Essa ação é executada nas seguintes entidades do Google SecOps:
File HashHostnameIP AddressURL
Essa ação só é compatível com os hashes MD5, SHA-1 e SHA-256.
Entradas de ação
A ação AddVoteToEntity exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Vote |
Obrigatório. Um voto para adicionar às entidades. Os valores possíveis são:
|
Saídas de ação
A ação Adicionar voto à entidade fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Adicionar voto à entidade:
{
"Status": "Done"
}
{
"Status": "Not done"
}
Mensagens de saída
A ação AddVoteToEntity pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Add Vote To Entity". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Adicionar voto à entidade:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Baixar o arquivo
Use a ação Fazer o download do arquivo para baixar um arquivo do VirusTotal.
Para executar a ação Fazer o download do arquivo, é necessário o VirusTotal Enterprise (VTE).
Essa ação é executada na entidade Hash do Google SecOps.
Essa ação só é compatível com os hashes MD5, SHA-1 e SHA-256.
Entradas de ação
A ação Fazer o download do arquivo exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Download Folder Path |
Obrigatório. O caminho para a pasta em que os arquivos baixados serão armazenados. |
Overwrite |
Opcional. Se selecionada, a ação vai substituir um arquivo existente pelo novo se os nomes forem idênticos. Essa opção é selecionada por padrão. |
Saídas de ação
A ação Fazer o download do arquivo fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Fazer o download do arquivo:
{
"absolute_file_paths": ["file_path_1","file_path_2"]
}
Mensagens de saída
A ação Fazer o download do arquivo pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Download File". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Enriquecer hash
Use a ação Enriquecer hash para enriquecer hashes com informações do VirusTotal.
Essa ação é executada na entidade Hash do Google SecOps.
Essa ação só é compatível com os hashes MD5, SHA-1 e SHA-256.
Entradas de ação
A ação Enriquecer hash exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Engine Threshold |
Opcional. O número mínimo de mecanismos que precisam classificar uma entidade como maliciosa ou suspeita para que ela seja considerada suspeita. Se você configurar o
|
Engine Percentage Threshold |
Opcional. A porcentagem mínima de mecanismos que marcam a entidade como maliciosa ou suspeita para que ela seja considerada suspeita. Se você configurar o
Os valores válidos para esse parâmetro são de |
Engine Whitelist |
Opcional. Uma lista separada por vírgulas de nomes de mecanismos que a ação deve considerar ao determinar se um hash é malicioso. Se você não definir um valor, a ação usará todos os mecanismos disponíveis. O cálculo do limite não inclui mecanismos que não fornecem informações sobre entidades. |
Resubmit Hash |
Opcional. Se selecionada, a ação reenviará o hash para análise em vez de usar os resultados atuais. Não selecionada por padrão. |
Resubmit After (Days) |
Opcional. O número de dias para reenviar o hash após a última análise. Esse parâmetro só se aplica se você selecionar o parâmetro O valor padrão é |
Retrieve Comments |
Opcional. Se selecionada, a ação vai recuperar comentários associados ao hash. Essa opção é selecionada por padrão. |
Retrieve Sigma Analysis |
Opcional. Se selecionada, a ação vai recuperar os resultados da análise do Sigma para o hash. Essa opção é selecionada por padrão. |
Sandbox |
Opcional. Uma lista separada por vírgulas de ambientes de sandbox a serem usados para análise de comportamento. Se você não definir um valor, a ação vai usar o padrão. O valor padrão é |
Retrieve Sandbox Analysis |
Opcional. Se selecionada, a ação vai recuperar os resultados da análise de sandbox para o hash e criar uma seção separada na saída JSON para cada sandbox especificado. Essa opção é selecionada por padrão. |
Create Insight |
Opcional. Se selecionada, a ação cria um insight com informações sobre o hash analisado. Essa opção é selecionada por padrão. |
Only Suspicious Entity Insight |
Opcional. Se selecionada, a ação gera insights apenas para hashes considerados suspeitos com base nos parâmetros de limite. Esse parâmetro só se aplica se você selecionar o parâmetro Não selecionada por padrão. |
Max Comments To Return |
Opcional. O número máximo de comentários a serem recuperados para cada execução de ação. O valor padrão é |
Widget Theme |
Opcional. O tema a ser usado para o widget do VirusTotal. O valor padrão é Os valores possíveis são os seguintes:
|
Fetch Widget |
Opcional. Se selecionada, a ação vai recuperar um widget avançado relacionado ao hash. Essa opção é selecionada por padrão. |
Fetch MITRE Details |
Opcional. Se selecionada, a ação vai recuperar técnicas e táticas do MITRE ATT&CK relacionadas ao hash. Não selecionada por padrão. |
Lowest MITRE Technique Severity |
Opcional. O nível mínimo de gravidade para incluir uma técnica do MITRE ATT&CK nos resultados. A ação trata a gravidade Os valores possíveis são:
O valor padrão é |
Saídas de ação
A ação Enriquecer hash fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Disponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento de entidades | Disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Link do Painel de Casos
A ação Enriquecer hash pode fornecer o seguinte link para cada entidade enriquecida:
Nome: Link do relatório
Valor: URL
Tabela do painel de casos
A ação Enriquecer hash pode fornecer a seguinte tabela para cada entidade enriquecida:
Nome da tabela: ENTITY_ID
Colunas da tabela:
- Nome
- Categoria
- Método
- Result
A ação Enriquecer hash pode fornecer a seguinte tabela para cada entidade que tem comentários:
Nome da tabela: Comentários: ENTITY_ID
Colunas da tabela:
- Data
- Comentário
- Votos de abuso
- Votos negativos
- Votos positivos
- ID
A ação Enriquecer hash pode fornecer a seguinte tabela para cada entidade com os resultados da análise do Sigma:
Nome da tabela: Análise do Sigma: ENTITY_ID
Colunas da tabela:
- ID
- Gravidade
- Origem
- Título
- Descrição
- Contexto da correspondência
Tabela de enriquecimento de entidades
A tabela a seguir lista os campos enriquecidos usando a ação Enriquecer hash:
| Nome do campo de enriquecimento | Aplicabilidade |
|---|---|
VT3_id |
Aplicável quando disponível no resultado JSON. |
VT3_magic |
Aplicável quando disponível no resultado JSON. |
VT3_md5 |
Aplicável quando disponível no resultado JSON. |
VT3_sha1 |
Aplicável quando disponível no resultado JSON. |
VT3_sha256 |
Aplicável quando disponível no resultado JSON. |
VT3_ssdeep |
Aplicável quando disponível no resultado JSON. |
VT3_tlsh |
Aplicável quando disponível no resultado JSON. |
VT3_vhash |
Aplicável quando disponível no resultado JSON. |
VT3_meaningful_name |
Aplicável quando disponível no resultado JSON. |
VT3_magic |
Aplicável quando disponível no resultado JSON. |
VT3_harmless_count |
Aplicável quando disponível no resultado JSON. |
VT3_malicious_count |
Aplicável quando disponível no resultado JSON. |
VT3_suspicious_count |
Aplicável quando disponível no resultado JSON. |
VT3_undetected_count |
Aplicável quando disponível no resultado JSON. |
VT3_reputation |
Aplicável quando disponível no resultado JSON. |
VT3_tags |
Aplicável quando disponível no resultado JSON. |
VT3_malicious_vote_count |
Aplicável quando disponível no resultado JSON. |
VT3_harmless_vote_count |
Aplicável quando disponível no resultado JSON. |
VT3_report_link |
Aplicável quando disponível no resultado JSON. |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Enriquecer hash:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
"related_mitre_techniques": [{"id": "T1071", "name": "", "severity": ""}],
"related_mitre_tactics": [{"id":"TA0011", "name": ""}]
}
Mensagens de saída
A ação Enriquecer hash pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Enrich Hash". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Enriquecer hash:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Enriquecer IOC
Use a ação Enriquecer IOC para enriquecer os indicadores de comprometimento (IOCs) com informações do VirusTotal.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Enriquecer IOC exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
IOC Type |
Opcional. O tipo de IOC a ser enriquecido. O valor padrão é Os valores possíveis são:
|
IOCs |
Obrigatório. Uma lista separada por vírgulas de IOCs a serem enriquecidos. |
Widget Theme |
Opcional. O tema a ser usado no widget. O valor padrão é Os valores possíveis são:
|
Fetch Widget |
Opcional. Se selecionada, a ação vai recuperar o widget para o IOC. Essa opção é selecionada por padrão. |
Saídas de ação
A ação Enriquecer IOC fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Disponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Link do Painel de Casos
A ação Enriquecer IOC pode fornecer o seguinte link para cada entidade enriquecida:
Nome: Link do relatório
Valor: URL
Tabela do painel de casos
A ação Enriquecer IOC pode fornecer a seguinte tabela para cada entidade enriquecida:
Nome da tabela: IOC_ID
Colunas da tabela:
- Nome
- Categoria
- Método
- Result
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Enriquecer IOC:
{
"ioc": {
"identifier": "203.0.113.1",
"details": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"report_link": "{generated report link}",
"widget_url": "https: //www.virustotal.com/ui/widget/html/WIDGET_ID"
"widget_html"
}
}
}
Mensagens de saída
A ação Ping pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Enrich IOC". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Enriquecer IOC:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Enriquecer IP
Use a ação Enriquecer IP para enriquecer endereços IP com informações do VirusTotal.
Essa ação é executada na entidade IP Address do Google SecOps.
Entradas de ação
A ação Enriquecer IP exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Engine Threshold |
Opcional. O número mínimo de mecanismos que precisam classificar uma entidade como maliciosa ou suspeita para que ela seja considerada suspeita. Se você configurar o
|
Engine Percentage Threshold |
Opcional. A porcentagem mínima de mecanismos que precisam classificar a entidade como maliciosa ou suspeita para que ela seja considerada suspeita. Se você configurar o parâmetro Os valores válidos para esse parâmetro são de |
Engine Whitelist |
Opcional. Uma lista separada por vírgulas de nomes de mecanismos que a ação deve considerar ao determinar se um hash é malicioso. Se você não definir um valor, a ação usará todos os mecanismos disponíveis. O cálculo do limite não inclui mecanismos que não fornecem informações sobre entidades. |
Retrieve Comments |
Opcional. Se selecionada, a ação vai recuperar comentários associados ao hash. Essa opção é selecionada por padrão. |
Create Insight |
Opcional. Se selecionada, a ação cria um insight com informações sobre o hash analisado. Essa opção é selecionada por padrão. |
Only Suspicious Entity Insight |
Opcional. Se selecionada, a ação gera insights apenas para hashes considerados suspeitos com base nos parâmetros de limite. Esse parâmetro só se aplica se você selecionar o parâmetro Não selecionada por padrão. |
Max Comments To Return |
Opcional. O número máximo de comentários a serem recuperados para cada execução de ação. O valor padrão é |
Widget Theme |
Opcional. O tema a ser usado para o widget do VirusTotal. O valor padrão é Os valores possíveis são os seguintes:
|
Fetch Widget |
Opcional. Se selecionada, a ação vai recuperar um widget avançado relacionado ao hash. Essa opção é selecionada por padrão. |
Saídas de ação
A ação Enriquecer IP fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Disponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento de entidades | Disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Link do Painel de Casos
A ação Enriquecer IP pode fornecer o seguinte link para cada entidade enriquecida:
Nome: Link do relatório
Valor: URL
Tabela do painel de casos
A ação Enriquecer IP pode fornecer a seguinte tabela para cada entidade enriquecida:
Nome da tabela: ENTITY_ID
Colunas da tabela:
- Nome
- Categoria
- Método
- Result
A ação Enriquecer IP pode fornecer a seguinte tabela para cada entidade que tem comentários:
Nome da tabela: Comentários: ENTITY_ID
Colunas da tabela:
- Data
- Comentário
- Votos de abuso
- Votos negativos
- Votos positivos
- ID
Tabela de enriquecimento de entidades
A tabela a seguir lista os campos enriquecidos usando a ação Enriquecer IP:
| Nome do campo de enriquecimento | Aplicabilidade |
|---|---|
VT3_id |
Aplicável quando disponível no resultado JSON. |
VT3_owner |
Aplicável quando disponível no resultado JSON. |
VT3_asn |
Aplicável quando disponível no resultado JSON. |
VT3_continent |
Aplicável quando disponível no resultado JSON. |
VT3_country |
Aplicável quando disponível no resultado JSON. |
VT3_harmless_count |
Aplicável quando disponível no resultado JSON. |
VT3_malicious_count |
Aplicável quando disponível no resultado JSON. |
VT3_suspicious_count |
Aplicável quando disponível no resultado JSON. |
VT3_undetected_count |
Aplicável quando disponível no resultado JSON. |
VT3_certificate_valid_not_after |
Aplicável quando disponível no resultado JSON. |
VT3_certificate_valid_not_before |
Aplicável quando disponível no resultado JSON. |
VT3_reputation |
Aplicável quando disponível no resultado JSON. |
VT3_tags |
Aplicável quando disponível no resultado JSON. |
VT3_malicious_vote_count |
Aplicável quando disponível no resultado JSON. |
VT3_harmless_vote_count |
Aplicável quando disponível no resultado JSON. |
VT3_report_link |
Aplicável quando disponível no resultado JSON. |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Enriquecer IP:
{
"data": {
"attributes": {
"as_owner": "Example",
"asn": 50673,
"continent": "EU",
"country": "NL",
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "ExampleLabs",
"method": "blacklist",
"result": "clean"
},
"example.com URL checker": {
"category": "harmless",
"engine_name": "example.com URL checker",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
},
"example": {
"category": "harmless",
"engine_name": "example",
"method": "blacklist",
"result": "clean"
}
},
"last_analysis_stats": {
"harmless": 81,
"malicious": 5,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_https_certificate": {
"cert_signature": {
"signature": "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",
"signature_algorithm": "sha256RSA"
},
"extensions": {
"1.3.6.1.4.1.11129.2.4.2": "0481f200f00075007d3ef2f88fff88556824c2c0ca9e5289792bc50e78097f2e",
"CA": true,
"authority_key_identifier": {
"keyid": "KEY_ID"
},
"ca_information_access": {
"CA Issuers": "http://example.RSADomainValidationSecureServerCA.crt",
"OCSP": "http://example.com"
},
"certificate_policies": [
"1.3.6.1.4.1.6449.1.2.2.7",
"2.23.140.1.2.1"
],
"extended_key_usage": [
"serverAuth",
"clientAuth"
],
"key_usage": [
"ff"
],
"subject_alternative_name": [
"example-panel.xyz",
"www.example-panel.xyz"
],
"subject_key_identifier": "4f6429eaccd761eca91d9120b004f9d962453fef",
"tags": []
},
"issuer": {
"C": "US",
"CN": "Example RSA Domain Validation Secure Server CA",
"L": "Mountain View",
"O": "Example Ltd.",
},
"public_key": {
"algorithm": "RSA",
"rsa": {
"exponent": "010001",
"key_size": 2048,
"modulus": "00aa8b74f0cc92a85ed4d515abef751a22fd65f2b6b0d33239040a99c65f322f3e833c77540a15ee31dabbd2889dd710ff9d8ccd3b9ea454ca87761cd9ff8a383806986461f8ff764a1202a5ebfb09995cbf40cc11eb2514529704744e6c97a872cde728e278fb140eba3c3aaf60644c8d75fd0048bb506f9b7314e33690f3514598ee45dd366c30a94d6178af91c2784872c162233c66659cea675f22f47752e0877ba5b12a3d800d2e2510d3cc1222c226cee2b85852a7e02da1de2718c746560f3ae05bc6f2d7f1cd6fcdbe37318fc7ddd19ae3486c5f3293946c068735e843fa8467199456d4725ac0b23fc4e0b7b9d3f51c0e16b27542d250d29d7b28fb95"
}
},
"serial_number": "248562d360bcc919bb97883f0dfc609d",
"signature_algorithm": "sha256RSA",
"size": 1472,
"subject": {
"CN": "example-panel.xyz"
},
"tags": [],
"thumbprint": "f9aae62cc9262302e45d94fcc512d65529ea1b31",
"thumbprint_sha256": "406ac0efb0ef67de743b1ab0f4e0352564a7d5ebbd71e3a883c067acc3563016",
"validity": {
"not_after": "2021-08-06 23:59:59",
"not_before": "2020-08-06 00:00:00"
},
"version": "V3"
},
"last_https_certificate_date": 1605415789,
"last_modification_date": 1605430702,
"network": "203.0.113.0/24",
"regional_internet_registry": "EXAMPLE",
"reputation": -95,
"tags": [],
"total_votes": {
"harmless": 0,
"malicious": 10
},
"whois": "NetRange: 203.0.113.0 - 203.0.113.255\nCIDR: 203.0.113.0/24\nNetName: EXAMPLE-5\nNetHandle: NET-203-0-113-0-1\nParent: ()\nNetType: Allocated to EXAMPLE\nOrig",
"whois_date": 1603912270
},
"id": "203.0.113.1",
"links": {
"self": "https://www.virustotal.com/api/v3/ip_addresses/203.0.113.1"
},
"type": "ip_address"
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Mensagens de saída
A ação Enriquecer IP pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Enrich IP". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Enriquecer IP:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Aperfeiçoar URL
Use a ação Enriquecer URL para enriquecer um URL com informações do VirusTotal.
Essa ação é executada na entidade URL do Google SecOps.
Entradas de ação
A ação Enriquecer URL exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Engine Threshold |
Opcional. O número mínimo de mecanismos que precisam classificar um URL como malicioso ou suspeito para que ele seja considerado suspeito. Se você configurar o
|
Engine Percentage Threshold |
Opcional. A porcentagem mínima de mecanismos que precisam classificar o URL como malicioso ou suspeito para que ele seja considerado suspeito. Se você configurar o parâmetro Os valores válidos para esse parâmetro são de |
Engine Whitelist |
Opcional. Uma lista separada por vírgulas de nomes de mecanismos que a ação deve considerar ao determinar se um hash é malicioso. |
Resubmit URL |
Opcional. Se selecionada, a ação reenvia o URL para análise, em vez de usar resultados atuais. Não selecionada por padrão. |
Resubmit After (Days) |
Opcional. O número de dias para reenviar o URL após a última análise. Esse parâmetro só se aplica se você selecionar o parâmetro O valor padrão é |
Retrieve Comments |
Opcional. Se selecionada, a ação vai recuperar comentários associados ao URL. Essa opção é selecionada por padrão. |
Create Insight |
Opcional. Se selecionada, a ação cria um insight com informações sobre o URL analisado. Essa opção é selecionada por padrão. |
Only Suspicious Entity Insight |
Opcional. Se selecionada, a ação vai gerar insights apenas para URLs considerados suspeitos com base nos parâmetros de limite. Esse parâmetro só se aplica se você selecionar o parâmetro Não selecionada por padrão. |
Max Comments To Return |
Opcional. O número máximo de comentários a serem recuperados para cada execução de ação. O valor padrão é |
Widget Theme |
Opcional. O tema a ser usado para o widget do VirusTotal. O valor padrão é Os valores possíveis são os seguintes:
|
Fetch Widget |
Opcional. Se selecionada, a ação vai recuperar um widget avançado relacionado ao hash. Essa opção é selecionada por padrão. |
Saídas de ação
A ação Enriquecer URL fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Disponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento de entidades | Disponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Link do Painel de Casos
A ação Enriquecer URL pode fornecer o seguinte link para cada entidade enriquecida:
Nome: Link do relatório
Valor: URL
Tabela do painel de casos
A ação Enriquecer URL pode fornecer a seguinte tabela para cada entidade enriquecida:
Nome da tabela: ENTITY_ID
Colunas da tabela:
- Nome
- Categoria
- Método
- Result
A ação Enriquecer URL pode fornecer a seguinte tabela para cada entidade que tem comentários:
Nome da tabela: Comentários: ENTITY_ID
Colunas da tabela:
- Data
- Comentário
- Votos de abuso
- Votos negativos
- Votos positivos
- ID
Tabela de enriquecimento de entidades
A tabela a seguir lista os campos enriquecidos usando a ação Enriquecer URL:
| Nome do campo de enriquecimento | Aplicabilidade |
|---|---|
VT3_id |
Aplicável quando disponível no resultado JSON. |
VT3_title |
Aplicável quando disponível no resultado JSON. |
VT3_last_http_response_code |
Aplicável quando disponível no resultado JSON. |
VT3_last_http_response_content_length |
Aplicável quando disponível no resultado JSON. |
VT3_threat_names |
Aplicável quando disponível no resultado JSON. |
VT3_harmless_count |
Aplicável quando disponível no resultado JSON. |
VT3_malicious_count |
Aplicável quando disponível no resultado JSON. |
VT3_suspicious_count |
Aplicável quando disponível no resultado JSON. |
VT3_undetected_count |
Aplicável quando disponível no resultado JSON. |
VT3_reputation |
Aplicável quando disponível no resultado JSON. |
VT3_tags |
Aplicável quando disponível no resultado JSON. |
VT3_malicious_vote_count |
Aplicável quando disponível no resultado JSON. |
VT3_harmless_vote_count |
Aplicável quando disponível no resultado JSON. |
VT3_report_link |
Aplicável quando disponível no resultado JSON. |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Enriquecer URL:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"AEXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Mensagens de saída
A ação Enriquecer URL pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Enrich URL". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Enriquecer URL:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Receber detalhes do domínio
Use a ação Receber detalhes do domínio para extrair informações detalhadas sobre o domínio usando dados do VirusTotal.
Essa ação é executada nas seguintes entidades do Google SecOps:
URLHostname
Entradas de ação
A ação Receber detalhes do domínio exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Engine Threshold |
Opcional. O número mínimo de mecanismos que precisam classificar um domínio como malicioso ou suspeito para que ele seja considerado suspeito. |
Engine Percentage Threshold |
Opcional. A porcentagem mínima de mecanismos que precisam classificar o domínio como malicioso ou suspeito para que ele seja considerado suspeito. |
Engine Whitelist |
Opcional. Uma lista separada por vírgulas de nomes de mecanismos a serem considerados ao avaliar o risco de domínio. |
Retrieve Comments |
Opcional. Se selecionada, a ação vai recuperar comentários associados ao domínio do VirusTotal. Essa opção é selecionada por padrão. |
Create Insight |
Opcional. Se selecionada, a ação cria um insight com informações sobre o domínio. Essa opção é selecionada por padrão. |
Only Suspicious Entity Insight |
Opcional. Se selecionada, a ação gera insights apenas para entidades consideradas suspeitas com base nos parâmetros de limite. Não selecionada por padrão. |
Max Comments To Return |
Opcional. O número máximo de comentários a serem recuperados para o domínio em cada execução de ação. O valor padrão é |
Widget Theme |
Opcional. O tema a ser usado para o widget do VirusTotal. O valor padrão é Os valores possíveis são:
|
Fetch Widget |
Opcional. Se selecionada, a ação vai recuperar e mostrar o widget do VirusTotal para o domínio. Essa opção é selecionada por padrão. |
Saídas de ação
A ação Receber detalhes do domínio fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Disponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Link do Painel de Casos
A ação Receber detalhes do domínio pode fornecer o seguinte link para cada entidade enriquecida:
Nome: Link do relatório
Valor: URL
Tabela do painel de casos
A ação Receber detalhes do domínio pode fornecer a seguinte tabela para cada entidade enriquecida:
Nome da tabela: ENTITY_ID
Colunas da tabela:
- Nome
- Categoria
- Método
- Result
A ação Receber detalhes do domínio pode fornecer a seguinte tabela para cada entidade com comentários:
Nome da tabela: Comentários: ENTITY_ID
Colunas da tabela:
- Data
- Comentário
- Votos de abuso
- Votos negativos
- Votos positivos
- ID
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Get Domain Details:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Mensagens de saída
A ação Receber detalhes do domínio pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Get Domain Details". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber detalhes do domínio:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Mais detalhes de gráfico
Use a ação Receber detalhes do gráfico para obter informações detalhadas sobre os gráficos no VirusTotal.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Receber detalhes do gráfico exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Graph ID |
Obrigatório. Uma lista separada por vírgulas de IDs de gráficos para recuperar detalhes. |
Max Links To Return |
Opcional. O número máximo de links a serem retornados para cada gráfico. O valor padrão é |
Saídas de ação
A ação Extrair detalhes do gráfico fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Tabela do painel de casos
A ação Receber detalhes do gráfico pode fornecer a seguinte tabela para cada entidade enriquecida:
Nome da tabela: Links do gráfico ENTITY_ID
Colunas da tabela:
- Origem
- Objetivo
- Tipo de conexão
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber detalhes do gráfico:
{
"data": {
"attributes": {
"comments_count": 0,
"creation_date": 1603219837,
"graph_data": {
"description": "Example LLC",
"version": "api-5.0.0"
},
"last_modified_date": 1603219837,
"links": [
{
"connection_type": "last_serving_ip_address",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "last_serving_ip_address",
"source": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "network_location",
"source": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671"
},
{
"connection_type": "network_location",
"source": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"target": "203.0.113.3"
},
{
"connection_type": "communicating_files",
"source": "203.0.113.3",
"target": "relationships_communicating_files_20301133"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf"
},
{
"connection_type": "communicating_files",
"source": "relationships_communicating_files_20301133",
"target": "60bb6467ee465f23a15f17cd73f7ecb9db9894c5a3186081a1c70fdc6e7607d6"
}
],
"nodes": [
{
"entity_attributes": {
"has_detections": false
},
"entity_id": "ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 0,
"text": "",
"type": "url",
"x": 51.22276722115952,
"y": 65.7811310194184
},
{
"entity_attributes": {},
"entity_id": "relationships_last_serving_ip_address_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 1,
"text": "",
"type": "relationship",
"x": 25.415664700492094,
"y": 37.66636498768037
},
{
"entity_attributes": {
"country": "US"
},
"entity_id": "203.0.113.3",
"fx": -19.03611541222395,
"fy": 24.958500220062717,
"index": 2,
"text": "",
"type": "ip_address",
"x": -19.03611541222395,
"y": 24.958500220062717
},
{
"entity_attributes": {},
"entity_id": "relationships_network_location_ea241b193c1bd89f999db9231359e7479bc2f05105ce43964955068c5d7c4671",
"index": 3,
"text": "",
"type": "relationship",
"x": 14.37403861978968,
"y": 56.85562691824892
},
{
"entity_attributes": {},
"entity_id": "relationships_communicating_files_20301133",
"index": 4,
"text": "",
"type": "relationship",
"x": -51.78097726144755,
"y": 10.087893225996158
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "4935cc8a4ff76d595e1bfab9fd2e6aa0f7c2fea941693f1ab4586eaba1528f47",
"index": 5,
"text": "",
"type": "file",
"x": -79.11606194776019,
"y": -18.475026322309112
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "peexe"
},
"entity_id": "c975794ff65c02b63fae1a94006a75294aac13277ca464e3ea7e40de5eda2b14",
"index": 6,
"text": "",
"type": "file",
"x": -64.80938048199627,
"y": 46.75892061191275
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "c7752154a2e894a4dec84833bee656357f4b84a9c7f601f586f79de667d8fe5c",
"index": 7,
"text": "",
"type": "file",
"x": -43.54064004476819,
"y": -28.547923020662786
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "692bb2ed1da43b0408c104b4ca4b4e97e15f3224e37dbea60214bcd991a2cfd3",
"index": 8,
"text": "",
"type": "file",
"x": -15.529860440278318,
"y": -2.068209789825876
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "74273ef55d8b7d23f7b058c7e47f3cbaf60c823a3e41ffb10e494917bad77381",
"index": 9,
"text": "",
"type": "file",
"x": -42.55971948293377,
"y": 46.937155845680415
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "html"
},
"entity_id": "f4f2f17c4df1b558cb80c8eab3edf5198970e9d87bd03943d4c2effafb696187",
"index": 10,
"text": "",
"type": "file",
"x": -62.447976875107706,
"y": -28.172418384729067
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "5edc8496869697aa229540bd6106b6679f6cfcbc6ee4837887183f470b49acb5",
"index": 11,
"text": "",
"type": "file",
"x": -89.0326649183805,
"y": -2.2638551448322484
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "1582da57cb082d3f6835158133aafb5f3b8dcc880a813be135a0ff8099cf0ee8",
"index": 12,
"text": "",
"type": "file",
"x": -26.35260716195174,
"y": -20.25669077264115
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "be4ccb1ca71a987f481c22a1a43de491353945d815c89cbcc06233d993ac73cf",
"index": 13,
"text": "",
"type": "file",
"x": -82.1415994911387,
"y": 34.89636762607467
},
{
"entity_attributes": {
"has_detections": true,
"type_tag": "android"
},
"entity_id": "ENTITY_ID",
"index": 14,
"text": "",
"type": "file",
"x": -90.87738694680043,
"y": 16.374462198116138
}
],
"private": false,
"views_count": 30
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
}
}
Mensagens de saída
A ação Receber detalhes do gráfico pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Get Graph Details". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber detalhes do gráfico:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Receber domínios relacionados
Use a ação Receber domínios relacionados para obter os domínios relacionados às entidades fornecidas do VirusTotal.
Para executar a ação Receber domínios relacionados, é necessário o VirusTotal Enterprise (VTE).
Essa ação só é compatível com os hashes MD5, SHA-1 e SHA-256.
Essa ação é executada nas seguintes entidades do Google SecOps:
HashHostnameIP AddressURL
Entradas de ação
A ação Receber domínios relacionados exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Results |
Opcional. A ordem para retornar resultados JSON. Os valores possíveis são:
Se você selecionar O valor padrão é |
Max Domains To Return |
Opcional. O número de domínios a serem retornados. Se você selecionar O valor padrão é |
Saídas de ação
A ação Receber domínios relacionados fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber domínios relacionados:
{
"domain": ["example.com"]
}
Mensagens de saída
A ação Receber domínios relacionados pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Get Related Domains". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber domínios relacionados:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Receber hashes relacionados
Use a ação Receber hashes relacionados para obter os hashes relacionados às entidades fornecidas do VirusTotal.
Para executar a ação Receber hashes relacionados, é necessário o VirusTotal Enterprise (VTE).
Essa ação só é compatível com os hashes MD5, SHA-1 e SHA-256.
Essa ação é executada nas seguintes entidades do Google SecOps:
HashHostnameIP AddressURL
Entradas de ação
A ação Receber hashes relacionados exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Results |
Opcional. A ordem para retornar resultados JSON. Os valores possíveis são:
Se você selecionar O valor padrão é |
Max Hashes To Return |
Opcional. O número de hashes de arquivo a serem retornados. Se você selecionar
O valor padrão é |
Saídas de ação
A ação Receber hashes relacionados fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber hashes relacionados:
{
"sha256_hashes": ["http://example.com"]
}
Mensagens de saída
A ação Receber hashes relacionados pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Get Related Hashes". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber hashes relacionados:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Receber IPs relacionados
Use a ação Receber IPs relacionados para obter os endereços IP relacionados às entidades fornecidas do VirusTotal.
Para executar a ação Receber IPs relacionados, é necessário o VirusTotal Enterprise (VTE).
Essa ação só é compatível com os hashes MD5, SHA-1 e SHA-256.
Essa ação é executada nas seguintes entidades do Google SecOps:
HashHostnameIP AddressURL
Entradas de ação
A ação Receber IPs relacionados exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Results |
Opcional. A ordem para retornar resultados JSON. Os valores possíveis são:
Se você selecionar O valor padrão é |
Max IPs To Return |
Opcional. O número de endereços IP a serem retornados. Se você selecionar
O valor padrão é |
Saídas de ação
A ação Receber IPs relacionados fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber IPs relacionados:
{
"ips": ["203.0.113.1"]
}
Mensagens de saída
A ação Receber IPs relacionados pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Get Related IPs". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber IPs relacionados:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Receber URLs relacionados
Use a ação Receber URLs relacionados para obter os URLs relacionados às entidades fornecidas do VirusTotal.
Para executar a ação Receber URLs relacionados, é necessário ter o VirusTotal Enterprise (VTE).
Essa ação só é compatível com os hashes MD5, SHA-1 e SHA-256.
Essa ação é executada nas seguintes entidades do Google SecOps:
HashjsHostnameIP AddressURL
Entradas de ação
A ação Receber URLs relacionados exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Results |
Opcional. A ordem para retornar resultados JSON. Os valores possíveis são:
Se você selecionar O valor padrão é |
Max URLs To Return |
Opcional. O número de URLs a serem retornados. Se você selecionar
O valor padrão é |
Saídas de ação
A ação Receber URLs relacionados fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Receber URLs relacionados:
{
"urls": ["http://example.com"]
}
Mensagens de saída
A ação Receber URLs relacionados pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Get Related URLs". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Receber URLs relacionados:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Ping
Use a ação Ping para testar a conectividade com o VirusTotal.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
Nenhuma.
Saídas de ação
A ação Ping fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Indisponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Mensagens de saída
A ação Ping pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Failed to connect to the VirusTotal server! Error is
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Ping:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Pesquisar gráficos de entidades
Use a ação Pesquisar gráficos de entidades para pesquisar gráficos com base nas entidades do VirusTotal.
Essa ação só é compatível com os hashes MD5, SHA-1 e SHA-256.
Essa ação é executada nas seguintes entidades do Google SecOps:
HashIP AddressThreat ActorURLUser
Entradas de ação
A ação Pesquisar gráficos de entidades exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Sort Field |
Opcional. O valor do campo para classificar os gráficos do VirusTotal. O valor padrão é Os valores possíveis são:
|
Max Graphs To Return |
Opcional. O número máximo de gráficos a serem retornados para cada execução de ação. O valor padrão é |
Saídas de ação
A ação Pesquisar gráficos de entidades fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Pesquisar gráficos de entidades:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
Mensagens de saída
A ação Pesquisar gráficos de entidades pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Search Entity Graphs". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Gráficos de pesquisa
Use a ação Pesquisar gráficos para pesquisar gráficos com base em filtros personalizados no VirusTotal.
Essa ação não é executada em entidades do Google SecOps.
| Parâmetro | Descrição |
|---|---|
Query |
Obrigatório. O filtro de consulta do gráfico. Para mais informações sobre consultas, consulte Como criar consultas e Modificadores relacionados a gráficos. |
Sort Field |
Opcional. O valor do campo para classificar os gráficos do VirusTotal. O valor padrão é Os valores possíveis são:
|
Max Graphs To Return |
Opcional. O número máximo de gráficos a serem retornados para cada execução de ação. O valor padrão é |
Como criar consultas
Para refinar os resultados da pesquisa de gráficos, crie consultas que contenham modificadores relacionados a gráficos. Para melhorar a pesquisa, combine modificadores com operadores AND, OR e NOT.
Os campos de data e numéricos aceitam sufixos de adição (+) ou subtração (-). Um sufixo "mais" corresponde a valores maiores que o valor fornecido. Um sufixo de subtração corresponde a valores menores que o valor fornecido. Sem um sufixo, a consulta retorna correspondências exatas.
Para definir intervalos, use o mesmo modificador várias vezes em uma consulta. Por exemplo, para pesquisar gráficos criados entre 15/11/2018 e 20/11/2018, use a seguinte consulta:
creation_date:2018-11-15+ creation_date:2018-11-20-
Para datas ou meses que começam com 0, remova o caractere 0 na consulta.
Por exemplo, formate a data 2018-11-01 como 2018-11-1.
Modificadores relacionados a gráficos
A tabela a seguir lista os modificadores que podem ser usados para construir a consulta de pesquisa:
| Modificador | Descrição | Exemplo |
|---|---|---|
Id |
Filtra por identificador de gráfico. | id:g675a2fd4c8834e288af |
Name |
Filtra pelo nome do gráfico. | name:Example-name |
Owner |
Filtra por gráficos de propriedade do usuário. | owner:example_user |
Group |
Filtra por gráficos pertencentes a um grupo. | group:example |
Visible_to_user |
Filtra por gráficos visíveis para o usuário. | visible_to_user:example_user |
Visible_to_group |
Filtra por gráficos visíveis ao grupo. | visible_to_group:example |
Private |
Filtra por gráficos particulares. | private:true, private:false |
Creation_date |
Filtra pela data de criação do gráfico. | creation_date:2018-11-15 |
last_modified_date |
Filtra pela data da última modificação do gráfico. | last_modified_date:2018-11-20 |
Total_nodes |
Filtra por gráficos que contêm um número específico de nós. | total_nodes:100 |
Comments_count |
Filtra pelo número de comentários no gráfico. | comments_count:10+ |
Views_count |
Filtra pelo número de visualizações de gráfico. | views_count:1000+ |
Label |
Filtra por gráficos que contêm nós com um rótulo específico. | label:Kill switch |
File |
Filtra por gráficos que contêm o arquivo específico. | file:131f95c51cc819465fa17 |
Domain |
Filtra por gráficos que contêm o domínio específico. | domain:example.com |
Ip_address |
Filtra por gráficos que contêm o endereço IP específico. | ip_address:203.0.113.1 |
Url |
Filtra por gráficos que contêm o URL específico. | url:https://example.com/example/ |
Actor |
Filtra por gráficos que contêm o ator específico. | actor:example actor |
Victim |
Filtra por gráficos que contêm a vítima específica. | victim:example_user |
Email |
Filtra por gráficos que contêm o endereço de e-mail específico. | email:user@example.com |
Department |
Filtra por gráficos que contêm o departamento específico. | department:engineers |
Saídas de ação
A ação Pesquisar gráficos fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Pesquisar gráficos:
{
"data": [
{
"attributes": {
"graph_data": {
"description": "EXAMPLE",
"version": "5.0.0"
}
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID"
},
"type": "graph"
},
{
"attributes": {
"graph_data": {
"description": "Example Feb2020",
"version": "5.0.0"
}
},
"id": "ID_2",
"links": {
"self": "https://www.virustotal.com/api/v3/graphs/ID_2"
},
"type": "graph"
}
],
"links": {
"next": "https://www.virustotal",
"self": "https://www.virustotal.com/api/v3/graphs?filter=ip_address:203.0.113.3%20OR%20file:FILE_ID&order=last_modified_date&limit=2&attributes=graph_data"
},
"meta": {
"cursor": "True:CsEGCo0CCusBAP8_vihw3_S_"
}
}
Mensagens de saída
A ação Pesquisar gráficos pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Search Graphs". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Pesquisar gráficos:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Pesquisar IOCs
Use a ação Pesquisar IOCs para procurar IOCs no conjunto de dados do VirusTotal.
Para executar a ação Pesquisar IOCs, é necessário o VirusTotal Enterprise (VTE).
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Pesquisar IOCs exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Query |
Obrigatório. A consulta para pesquisar IOCs. O valor padrão é Para configurar a consulta, siga a sintaxe aplicável à interface do usuário do VirusTotal Intelligence. |
Create Entities |
Opcional. Se selecionada, a ação cria entidades para os IOCs retornados. Essa ação não enriquece entidades. Não selecionada por padrão. |
Order By |
Obrigatório. O campo de ordem para retornar os resultados. Os valores possíveis são:
Os tipos de entidade podem ter campos de ordem diferentes. Para mais informações sobre como pesquisar arquivos no VirusTotal, consulte Pesquisa avançada de corpus. O valor padrão é |
Sort Order |
Opcional. A ordem para classificar os resultados. Os valores possíveis são:
Se você definir o valor O valor padrão é |
Max IOCs To Return |
Opcional. O número de IOCs a serem retornados. O valor máximo é O valor padrão é |
Saídas de ação
A ação Pesquisar IOCs fornece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Indisponível |
| Tabela do painel de casos | Indisponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Pesquisar IOCs:
{
"data": [
{
"attributes": {
"type_description": "Email",
"tlsh": "T1B4D31F04BE452B3093E7238E064E6FDBAFCC135F6611F1C60881AAD6C5C77A2E57D689",
"exiftool": {
"MIMEType": "text/plain",
"FileType": "TXT",
"WordCount": "2668",
"LineCount": "1820",
"MIMEEncoding": "us-ascii",
"FileTypeExtension": "txt",
"Newlines": "Windows CRLF"
},
"type_tags": [
"internet",
"email"
],
"threat_severity": {
"threat_severity_level": "SEVERITY_HIGH",
"threat_severity_data": {
"num_gav_detections": 3,
"has_vulnerabilities": true,
"popular_threat_category": "trojan",
"type_tag": "email",
"has_embedded_ips_with_detections": true
},
"last_analysis_date": "1698050597",
"version": 2,
"level_description": "Severity HIGH because it was considered trojan. Other contributing factors were that it has known exploits, it contains embedded IPs with detections and it could not be run in sandboxes."
},
"names": [
"Re Example.eml"
],
"last_modification_date": 1698057197,
"type_tag": "email",
"times_submitted": 1,
"total_votes": {
"harmless": 0,
"malicious": 0
},
"size": 132299,
"popular_threat_classification": {
"suggested_threat_label": "obfsobjdat/malformed",
"popular_threat_name": [
{
"count": 8,
"value": "obfsobjdat"
},
{
"count": 2,
"value": "malformed"
}
]
},
"last_submission_date": 1698049979,
"last_analysis_results": {
"Bkav": {
"category": "undetected",
"engine_name": "Example1",
"engine_version": "2.0.0.1",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
"Lionic": {
"category": "undetected",
"engine_name": "Example2",
"engine_version": "7.5",
"result": null,
"method": "blacklist",
"engine_update": "20231023"
},
},
"downloadable": true,
"trid": [
{
"file_type": "file seems to be plain text/ASCII",
"probability": 0
}
],
"sha256": "2d9df36964fe2e477e6e0f7a73391e4d4b2eeb0995dd488b431c4abfb4c27dbf",
"type_extension": "eml",
"tags": [
"exploit",
"cve-2018-0802",
"cve-2018-0798",
"email",
"cve-2017-11882"
],
"last_analysis_date": 1698049979,
"unique_sources": 1,
"first_submission_date": 1698049979,
"ssdeep": "768:MedEkBNnx8ueVV+fitChi9KbpK0fixbRwHbcElIK944tCVQOgzdsSuom+cWmsCGY:Meo+fitC0mKuixYxlI1OO1cSPo0gptA",
"md5": "bdfe36052e0c083869505ef4fd77e865",
"sha1": "3a350de97009efe517ceffcea406534bb1ab800c",
"magic": "SMTP mail, ASCII text, with CRLF line terminators",
"last_analysis_stats": {
"harmless": 0,
"type-unsupported": 16,
"suspicious": 0,
"confirmed-timeout": 0,
"timeout": 0,
"failure": 0,
"malicious": 28,
"undetected": 32
},
"meaningful_name": "Re Example.eml",
"reputation": 0
},
"type": "file",
"id": "ID",
"links": {
"self": "URL"
}
},
]
}
Mensagens de saída
A ação Pesquisar IOCs pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Search IOCs". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Pesquisar IOCs:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Enviar arquivo
Use a ação Enviar arquivo para enviar um arquivo e receber resultados do VirusTotal.
Essa ação não é executada em entidades do Google SecOps.
Entradas de ação
A ação Enviar arquivo exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
File Paths |
Obrigatório. Uma lista separada por vírgulas de caminhos absolutos para os arquivos a serem enviados. Se você configurar o parâmetro |
Engine Threshold |
Opcional. O número mínimo de mecanismos que precisam classificar um arquivo como malicioso ou suspeito para que ele seja considerado suspeito. Se você configurar o
|
Engine Percentage Threshold |
Opcional. A porcentagem mínima de mecanismos que precisam classificar o arquivo como malicioso ou suspeito para que ele seja considerado suspeito. |
Engine Whitelist |
Opcional. Uma lista separada por vírgulas de nomes de mecanismos a serem considerados ao avaliar o risco, como Se você não definir um valor, a ação vai usar todos os mecanismos disponíveis. O cálculo do limite não inclui mecanismos que não fornecem informações sobre entidades. |
Retrieve Comments |
Opcional. Se selecionada, a ação recupera comentários associados ao arquivo do VirusTotal. Essa opção é selecionada por padrão. Quando o envio particular está ativado, os comentários não são buscados. |
Retrieve Sigma Analysis |
Opcional. Se selecionada, a ação vai recuperar os resultados da análise do Sigma para o arquivo. Essa opção é selecionada por padrão. |
Max Comments To Return |
Opcional. O número máximo de comentários a serem recuperados para cada execução de ação. O valor padrão é |
Linux Server Address |
Opcional. O endereço IP ou o nome do host de um servidor Linux remoto em que os arquivos estão localizados. |
Linux Username |
Opcional. O nome de usuário para autenticação no servidor Linux remoto. |
Linux Password |
Opcional. A senha para autenticar no servidor Linux remoto. |
Private Submission |
Opcional. Se selecionada, a ação envia o arquivo de forma particular. Para enviar o arquivo de forma particular, é necessário ter acesso ao VirusTotal Premium. Não selecionada por padrão. |
Fetch MITRE Details |
Opcional. Se selecionada, a ação vai recuperar técnicas e táticas do MITRE ATT&CK relacionadas ao hash. Não selecionada por padrão. |
Lowest MITRE Technique Severity |
Opcional. O nível mínimo de gravidade para incluir uma técnica do MITRE ATT&CK nos resultados. A ação trata a gravidade Os valores possíveis são:
O valor padrão é |
Retrieve AI Summary |
Opcional. Esse parâmetro é experimental. Se selecionada, a ação vai recuperar um resumo gerado por IA para o arquivo. Essa opção está disponível apenas para envios particulares. Não selecionada por padrão. |
Saídas de ação
A ação Enviar arquivo oferece as seguintes saídas:
| Tipo de saída da ação | Disponibilidade |
|---|---|
| Anexo do Painel de Casos | Indisponível |
| Link do Painel de Casos | Disponível |
| Tabela do painel de casos | Disponível |
| Tabela de enriquecimento | Indisponível |
| Resultado JSON | Disponível |
| Mensagens de saída | Disponível |
| Resultado do script | Disponível |
Link do Painel de Casos
A ação Enviar arquivo pode fornecer o seguinte link para cada entidade enriquecida:
Nome: Link do relatório: PATH
Valor: URL
Tabela do painel de casos
A ação Enviar arquivo pode fornecer a seguinte tabela para cada arquivo enviado:
Nome da tabela: Resultados: PATH
Colunas da tabela:
- Nome
- Categoria
- Método
- Result
A ação Enviar arquivo pode fornecer a seguinte tabela para cada arquivo enviado que tem comentários:
Nome da tabela: Comentários: PATH
Colunas da tabela:
- Data
- Comentário
- Votos de abuso
- Votos negativos
- Votos positivos
- ID
A ação Enviar arquivo pode fornecer a seguinte tabela para cada entidade que tem os resultados da análise do Sigma:
Nome da tabela: Análise do Sigma: ENTITY_ID
Colunas da tabela:
- ID
- Gravidade
- Origem
- Título
- Descrição
- Contexto da correspondência
Resultado JSON
O exemplo a seguir mostra a saída do resultado JSON recebida ao usar a ação Enviar arquivo:
{
"data": {
"attributes": {
"categories": {
"Dr.Web": "known infection source/not recommended site",
"Forcepoint ThreatSeeker": "compromised websites",
"sophos": "malware repository, spyware and malware"
},
"first_submission_date": 1582300443,
"html_meta": {},
"last_analysis_date": 1599853405,
"last_analysis_results": {
"EXAMPLELabs": {
"category": "harmless",
"engine_name": "EXAMPLELabs",
"method": "blacklist",
"result": "clean"
},
"Example": {
"category": "harmless",
"engine_name": "Example",
"method": "blacklist",
"result": "clean"
},
},
"last_analysis_stats": {
"harmless": 64,
"malicious": 6,
"suspicious": 1,
"timeout": 0,
"undetected": 8
},
"last_final_url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event",
"last_http_response_code": 404,
"last_http_response_content_length": 204,
"last_http_response_content_sha256": "58df637d178e35690516bda9e41e245db836170f046041fdebeedd20eca61d9d",
"last_http_response_headers": {
"connection": "keep-alive",
"content-length": "204",
"content-type": "text/html; charset=iso-8859-1",
"date": "Fri, 11 Sep 2020 19:51:50 GMT",
"keep-alive": "timeout=60",
"server": "nginx"
},
"last_modification_date": 1599853921,
"last_submission_date": 1599853405,
"reputation": 0,
"tags": [
"ip"
],
"targeted_brand": {},
"threat_names": [
"Mal/HTMLGen-A"
],
"times_submitted": 3,
"title": "404 Not Found",
"total_votes": {
"harmless": 0,
"malicious": 0
},
"trackers": {},
"url": "http://203.0.113.1/input/?mark=20200207-example.com/31mawe&tpl=example&engkey=bar+chart+click+event"
},
"id": "ID",
"links": {
"self": "https://www.virustotal.com/api/v3/urls/ID"
},
"type": "url",
"comments": [
"text": "attributes/text",
"date": "attributes/date"
]
}
"is_risky": true
}
Mensagens de saída
A ação Enviar arquivo pode retornar as seguintes mensagens de saída:
| Mensagem de resposta | Descrição da mensagem |
|---|---|
|
A ação foi concluída. |
Error executing action "Submit File". Reason:
ERROR_REASON |
A ação falhou. Verifique a conexão com o servidor, os parâmetros de entrada ou as credenciais. |
Resultado do script
A tabela a seguir lista o valor da saída do resultado do script ao usar a ação Enviar arquivo:
| Nome do resultado do script | Valor |
|---|---|
is_success |
True ou False |
Conectores
Para mais detalhes sobre como configurar conectores no Google SecOps, consulte Ingerir seus dados (conectores).
Conector Livehunt do VirusTotal
Use o conector do VirusTotal Livehunt para extrair informações sobre as notificações do VirusTotal Livehunt e arquivos relacionados.
Esse conector exige um token da API Premium do VirusTotal. A lista dinâmica funciona com o parâmetro rule_name.
Entradas do conector
O Conector do VirusTotal - Livehunt exige os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
Product Field Name |
Obrigatório. O nome do campo em que o nome do produto é armazenado. O valor padrão é O nome do produto afeta principalmente o mapeamento. Para simplificar e melhorar o processo de mapeamento do conector, o valor padrão |
Event Field Name |
Obrigatório. O nome do campo em que o nome do evento (subtipo) é armazenado. O valor padrão é |
Environment Field Name |
Opcional. O nome do campo em que o nome do ambiente é armazenado. Se o campo de ambiente não for encontrado, o conector usará o valor padrão. O valor padrão é |
Environment Regex Pattern |
Opcional. Um padrão de expressão regular a ser executado no valor encontrado no campo Use o valor padrão Se o padrão de expressão regular for nulo ou vazio, ou se o valor do ambiente for nulo, o resultado final do ambiente será o ambiente padrão. |
PythonProcessTimeout |
Obrigatório. O limite de tempo limite em segundos para o processo Python que executa o script atual. O valor padrão é |
API Key |
Obrigatório. A chave de API do VirusTotal. |
Verify SSL |
Obrigatório. Se selecionada, a integração valida o certificado SSL ao se conectar ao VirusTotal. Essa opção é selecionada por padrão. |
Engine Whitelist |
Opcional. Uma lista separada por vírgulas de nomes de mecanismos a serem considerados ao avaliar o valor do parâmetro Se você não definir um valor, a ação vai usar todos os mecanismos disponíveis. |
Engine Percentage Threshold To Fetch |
Obrigatório. A porcentagem mínima de mecanismos que marcam o arquivo como malicioso ou suspeito para que o conector faça a ingestão. Os valores válidos são de O valor padrão é |
Max Hours Backwards |
Opcional. O número de horas antes da primeira iteração do conector para recuperar os incidentes. Esse parâmetro pode ser aplicado à iteração inicial do conector depois que você o ativa pela primeira vez ou ao valor de substituição de um carimbo de data/hora expirado do conector. O valor padrão é |
Max Notifications To Fetch |
Opcional. O número máximo de notificações a serem processadas em cada execução do conector. O valor padrão é |
Use dynamic list as a blacklist |
Obrigatório. Se selecionada, a lista dinâmica será usada como uma lista de bloqueio. Não selecionada por padrão. |
Proxy Server Address |
Opcional. O endereço do servidor proxy a ser usado. |
Proxy Username |
Opcional. O nome de usuário para autenticação do servidor proxy. |
Proxy Password |
Opcional. A senha para autenticação do servidor proxy. |
Regras do conector
O conector é compatível com proxies.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.