urlscan.io
統合バージョン: 16.0
Chronicle SOAR と連携するように urlscan.io を構成する
API キー
API キーを取得するには、urlscan.io アカウントにログインします。
ページの [プロファイル] セクションで [API キーを追加] ボタンをクリックします。
API キーの使用目的の説明を追加し、[API キーを作成] をクリックします。
新しい API キーが生成されました。urlscan.io の Chronicle SOAR 構成に追加できるように、API キーをコピーします。
ネットワーク
関数 | デフォルト ポート | 方向 | プロトコル |
---|---|---|---|
API | 複数の値 | 送信 | apikey |
Chronicle SOAR で urlscan.io の統合を構成する
Chronicle SOAR で統合を構成する方法の詳細については、統合を構成するをご覧ください。
アクション
Ping
説明
接続をテストします。
パラメータ
なし
ユースケース
なし
実行
このアクションはすべてのエンティティに対して実行されます。
アクションの結果
エンティティ拡充
分析情報
なし
スクリプトの結果
スクリプトの結果名 | 値のオプション | 例 |
---|---|---|
is_success | True/False | is_success:False |
JSON の結果
N/A
URL チェック
説明
スキャンする URL を送信し、スキャンの詳細を取得します。
パラメータ
パラメータ名 | タイプ | 必須 | デフォルト値 | Description |
---|---|---|---|---|
公開設定 | DDL |
いいえ | public | urlscan.io のスキャンには 3 つの公開レベルのいずれかがあるため、送信に適したレベルを使用してください。 |
しきい値 | 整数 | いいえ | -1 | 判定のスコアが特定のしきい値以上である場合、エンティティを不審としてマークします。デフォルトは -1 です。この場合、スキャンされたすべての URL が不審と見なされます。 |
インサイトの作成 | ブール値 | いいえ | ○ | 有効にした場合、アクションによってエンティティに関する情報を含むインサイトが作成されます。 |
不審なインサイトのみ | ブール値 | いいえ | いいえ | 有効にした場合、アクションによって不審なエンティティに関するインサイトのみが作成されます。注: 「インサイトの作成」パラメータを有効にする必要があります。 |
インサイトにスクリーンショットを追加 | ブール値 | いいえ | いいえ | 有効にした場合、アクションによってウェブサイトのスクリーンショットがインサイトに追加されます(利用可能な場合)。 |
ユースケース
なし
実行
このアクションは URL エンティティに対して実行されます。
アクションの結果
エンティティ拡充
Name | キー |
---|---|
real_url | タスク / URL |
visibility | visibility |
requests_count | len(データ / リクエスト) |
Cookie | データ / Cookie / 名前の CSV |
related_links | データ / リンク / href の CSV |
main_country | ページ / 国 |
main_domain | ページ / ドメイン |
main_ip | ページ / IP |
main_asn | ページ / asnname |
main_server | ページ / サーバー |
related_ips_count | len(リスト / IP) |
related_domains_count | len(リスト / ドメイン) |
related_countries | CSV リスト / 国 |
overall_score | 判定 / 全体 / スコア |
categories | 判定 / 全体 / カテゴリ |
tags | 判定 / 全体 / タグ |
悪意のあるリクエスト | 判断 / 全体 / 悪意がある |
分析情報
なし
スクリプトの結果
スクリプトの結果名 | 値のオプション | 例 |
---|---|---|
is_success | True/False | is_success:False |
JSON の結果
[
{
"EntityResult":
{
"task":
{
"domURL": "https://urlscan.io/dom/7e9cb8cb-82ce-4ef7-881a-8958d95fbd1b/",
"screenshotURL": "https://urlscan.io/screenshots/7e9cb8cb-82ce-4ef7-881a-8958d95fbd1b.png",
"uuid": "7e9cb8cb-82ce-4ef7-881a-8958d95fbd1b",
"url": "http://markossolomon.com/f1q7qx.php",
"visibility": "public",
"source": "12a3ddaf",
"time": "2019-01-31T15:19:55.267Z",
"reportURL": "https://urlscan.io/result/7e9cb8cb-82ce-4ef7-881a-8958d95fbd1b/",
"userAgent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.87 Safari/537.36",
"method": "api"
},
"stats":
{
"malicious": 0,
"uniqCountries": 1,
"totalLinks": 3,
"secureRequests": 14,
"securePercentage": 93,
"adBlocked": 0,
"IPv6Percentage": 50
},
"page":
{
"city": "Los Angeles",
"domain": "markossolomon.com",
"asn": "AS22612",
"url": "http://markossolomon.com/f1q7qx.php",
"ip": "1.1.1.1",
"asnname": "NAMECHEAP-NET - Namecheap, Inc., US",
"server": "nginx",
"country": "US",
"ptr": ""
},
"lists":
{
"linkDomains": ["www.namecheap.com",
"ap.www.namecheap.com"],
"countries": ["US"],
"asns": ["22612"],
"servers": ["cloudflare",
"nginx"],
"ips": ["198.54.117.244"],
"urls": ["http://markossolomon.com/f1q7qx.php"],
"domains": ["nc-img.com"],
"hashes": ["f31c0889d28c7d713f237a8cea8cfbc5cb4cba63fad767666cce2bbc99746d1a"],
"certificates": [{
"subjectName": "nc-img.com",
"validFrom": 1534204800,
"validTo": 1565827199,
"issuer": "COMODO RSA Domain Validation Secure Server CA"
}]
}},
"Entity": "HTTP://MARKOSSOLOMON.COM/F1Q7QX.PHP"
}
]
スキャンを検索する
説明
ドメイン、IP、自律システム(AS)番号、ハッシュなどの属性による urlscan.io の既存のスキャンを検索します。このアクションによって任意の誰かが実行した公開スキャンだけでなく、自分またはチームによって実行された限定公開と非公開のスキャンが見つかります。
パラメータ
パラメータ名 | タイプ | 必須 | デフォルト値 | Description |
---|---|---|---|---|
最大スキャン数 | 整数 | いいえ | 100 | エンティティごとに返されるスキャンの数。デフォルト: 100、最大: 10000(サブスクリプションによる)。 |
実行
このアクションは次のエンティティに対して実行されます。
- IP アドレス
- ホスト名
- URL
- ファイル名
- Hashes
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
スクリプトの結果名 | 値のオプション | 例 |
---|---|---|
is_success | True/False | is_success:False |
JSON の結果
{"entity_identifier": "www.unitedneighborsfcu.com",
"entity_results":[
{
"indexedAt": "2020-12-09T12:16:43.329Z",
"task": {
"visibility": "public",
"method": "automatic",
"domain": "www.unitedneighborsfcu.com",
"time": "2020-12-09T12:16:23.168Z",
"source": "certstream-suspicious",
"uuid": "96310829-fed4-4d61-9fb0-39eb2952719f",
"url": "https://www.unitedneighborsfcu.com"
},
"stats": {
"uniqIPs": 6,
"consoleMsgs": 0,
"uniqCountries": 3,
"dataLength": 1938842,
"encodedDataLength": 1568193,
"requests": 28
},
"page": {
"country": "US",
"server": "Microsoft-IIS/10.0",
"domain": "www.unitedneighborsfcu.com",
"ip": "8.21.114.55",
"mimeType": "text/html",
"asnname": "LEVEL3, US",
"asn": "AS3356",
"url": "https://www.unitedneighborsfcu.com/",
"status": "200"
},
"_id": "96310829-fed4-4d61-9fb0-39eb2952719f",
"sort": [1607516183168, "96310829-fed4-4d61-9fb0-39eb2952719f"],
"result": "https://urlscan.io/api/v1/result/96310829-fed4-4d61-9fb0-39eb2952719f/",
"screenshot": "https://urlscan.io/screenshots/96310829-fed4-4d61-9fb0-39eb2952719f.png"
}
]
}
ケースウォール
結果のタイプ | 値 / 説明 | 種類 |
---|---|---|
出力メッセージ* | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
|
一般 |
ケースウォール テーブル | タイトル: 「{エンティティ ID} - 検索結果」 列: スキャン ID URL スキャン日 サイズ IPS 固有の国 国 Scan Type |
一般 |
ケースウォールのリンク | タイトル: 「urlscan.io ウェブレポート +(エンティティ ID)。 | 一般 |
ケースウォールの取り付け | スクリーンショットが含まれます。 | 一般 |
スキャンの完全な詳細の取得
説明
スキャン ID 別のスキャンの完全な詳細の取得
パラメータ
パラメータ名 | タイプ | 必須 | デフォルト値 | Description |
---|---|---|---|---|
スキャン ID | 文字列 | ○ | なし | スキャン ID を使用してスキャン レポートを取得します。カンマ区切りの値。 |
実行
このアクションはエンティティに対して実行されません。
アクションの結果
エンティティ拡充
なし
分析情報
なし
スクリプトの結果
スクリプトの結果名 | 値のオプション | 例 |
---|---|---|
is_success | True/False | is_success:False |
JSON の結果
['Effective URL'] = response['page']['url']
ケースウォール
結果のタイプ | 値 / 説明 | 種類 |
---|---|---|
出力メッセージ* | アクションが失敗したり、ハンドブックの実行が停止したりすることはありません。
アクションが失敗し、ハンドブックの実行が停止します:
|
一般 |
ケースウォールのリンク | タイトル: "urlscan.io ウェブレポート +(スキャン ID)。 | 一般 |
ケースウォールの取り付け | スクリーンショットが含まれます。 | 一般 |