k2-ornata(個人的「やってみたこと」ブログ)

Virus TotalのSplunk用Addonであるvt4splunkを使ってみた(IPアドレス編)

by

keitsu
in
このエントリーをはてなブックマークに追加
Pocket

Virus TotalのSplunk用Addonであるvt4splunkを使ってみたのでここに記録しておきます。

vt4splunkにIPアドレスを直接渡す

vt4splunkをSplunkにインストール後、Search画面から以下のコマンドを打つと、testipで指定したIPアドレスに対する Virus Totalでの評価結果を検索結果の一部として表示することができるようになります。

| makeresults
| eval testip="8.8.8.8"
| vt4splunk ip=testip
Splunk サーチ実行結果1

念のため、Virus Totalでも 8.8.8.8 の評価結果を確認したところ、上記と同じく2/88という結果が得られました。

Virus Total

vt4splunkに検索結果を渡す

なお、上の方法を応用し、以下のようにあるsourcetype で httpの通信が 400(Bad Request)であったログを検索し、その検索結果の中の”dest_ip”をIPアドレスとしてvt4splunkに渡すことも可能でした。

sourcetype="stream:http" status=400
| vt4splunk ip=dest_ip
| table _time,dest_ip, vt_detections,vt_total_engines,vt_reputation,vt_info

なお、この実行結果は以下の通りです。

Splunk サーチ実行結果2

<参考文献>

hiro_ さんのツイート(https://twitter.com/papa_anniekey/status/1593064221235097600)

Related posts:

  1. AbuseIPDBのSplunk用AddonであるAbuseIPDB Checkを使ってみた
  2. Splunk Addon BuilderでSplunk からShodanのREST API にアクセスするAddonを作ってみた
  3. Splunkの管理ポートの番号を変えたら Virus Totalの vt4splunkコマンドが使えなくなった件
  4. Splunk のVirusTotal Addon(vt4splunk)で現在のPCの通信状況を確認してみた

Comments

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA