Virus TotalのWebサイトで URL を調査すると、こんな感じで「Details」タブにそのURLのカテゴリ情報が表示されます。
この情報を、Virus Totalから提供されている API を使って取得できないかと思い調べていたところ、以下のAPIで取得できることがわかりました。
curl --request GET \ --url 'https://www.virustotal.com/api/v3/search?query=<検索したいURL>' \ --header 'x-apikey: <自分のAPIキー>'
試しに1つこのAPIを使ってURLを調べてみたところ、実行結果は以下の通りとなりました。
結果の最初の方にCluster25からのレポートが記載されており、MIRAI のボットネットで利用されていることがわかります。
また結果の最後の方を見ると、Sophosなど各社がこのURLのカテゴリをどう判定しているかを確認することが可能です。
このAPIを使えば、セキュリティ調査の効率化につながりそうです。
XSOARに提供されている Virus Totalのコマンドをつかって通信先のカテゴリを調べるには以下のコマンドを使えばいいことがわかりました。
このコマンドはPlaygroundにて以下のようにコマンドを実行します。
!vt-search query=<調査したいURL>
その結果、下図のようにカテゴリを取得することができました。
今回のURLについては、
・Forcepoint ThreatSeeker
・Sophos
・Xcitium
の3社からの報告が上がっているようですが、個人的にいくつかURLを調べてみたところ、Sophos が結構いろいろなURLに対して報告を上げているような気がします。
Virus TotalのSplunk用Addonであるvt4splunkを使ってみたのでここに記録しておきます。
vt4splunkをSplunkにインストール後、Search画面から以下のコマンドを打つと、testipで指定したIPアドレスに対する Virus Totalでの評価結果を検索結果の一部として表示することができるようになります。
| makeresults | eval testip="8.8.8.8" | vt4splunk ip=testip
念のため、Virus Totalでも 8.8.8.8 の評価結果を確認したところ、上記と同じく2/88という結果が得られました。
なお、上の方法を応用し、以下のようにあるsourcetype で httpの通信が 400(Bad Request)であったログを検索し、その検索結果の中の”dest_ip”をIPアドレスとしてvt4splunkに渡すことも可能でした。
sourcetype="stream:http" status=400 | vt4splunk ip=dest_ip | table _time,dest_ip, vt_detections,vt_total_engines,vt_reputation,vt_info
なお、この実行結果は以下の通りです。
<参考文献>
hiro_ さんのツイート(https://twitter.com/papa_anniekey/status/1593064221235097600)