ReversingLabs A1000 (プレビュー)

ReversingLabs A1000 Malware Analysis Appliance は、ReversingLabs TitaniumCore 自動静的分析テクノロジーと TitaniumCloud File Reputation Service データベースを統合します。 REST サービス API を使用すると、アナリストはサンプルを入力し、解凍されたファイルにアクセスし、抽出されたプロアクティブ脅威インジケーターを表示できます。 このプラットフォームは、Windows、Linux、Mac OS、iOS、Android、電子メールの添付ファイル、ドキュメント、ファームウェアなどの包括的なファイル タイプの詳細な静的分析を実行します。

このコネクタは、次の製品および地域で利用可能です:

Service	クラス	地域
Logic Apps	標準	以下を除くすべての Logic Apps 地域 :      -   Azure 政府の地域      -   Azure 中国の地域      -   国防総省 (DoD)
Power Automate	プレミアム	以下を除くすべての Power Automate 地域 :      -   米国政府 (GCC)      -   米国政府 (GCC High)      -   21Vianet が運用する中国のクラウド      -   国防総省 (DoD)
Power Apps	プレミアム	以下を除くすべての Power Apps 地域 :      -   米国政府 (GCC)      -   米国政府 (GCC High)      -   21Vianet が運用する中国のクラウド      -   米国国防総省 (DoD)

お問い合わせ先
件名	ReversingLabs のサポート
[URL]	https://support.reversinglabs.com/
メール	support@reversinglabs.com

Connector Metadata
発行者	ReversingLabs
Web サイト	https://www.reversinglabs.com/
プライバシー ポリシー	https://www.reversinglabs.com/privacy-policy
カテゴリー	セキュリティ

このコネクタを使用すると、ReversingLabs A1000 のユーザーがアプライアンスの API 機能にアクセスできるようになります。 分析のためのファイルの送信、結果の取得、ファイルのレピュテーションの確認などのアクションがサポートされています。 API の詳細については、アプライアンスの Web インターフェイスにある A1000 ユーザー ガイドを参照してください。

前提条件

このコネクタを使用するには、クラウドからアクセス可能な A1000、A1000 アプライアンスの URL、および A1000 API キーが必要です。

資格情報の入手方法

A1000 API への認証は API キーを使用して実行されます。 このキーは、アプライアンスの Web インターフェイスへの管理アクセス権を持つユーザーが設定できます。 API キーを作成するには、A1000 の Web GUI インターフェイスのヘルプ ファイルを参照してください。

コネクタの使用を開始する

A1000 コネクタの使用を開始するには、まず新しい接続を構成します。 コネクタ設定では、接続名と API キーの値が要求されます。 API キーの値は必ず Token <apikey> の形式で入力してください。<apikey> は実際の API トークンです。
API 接続を構成した後、利用可能なアクションから選択し、必要な入力を提供します。

一般的なエラーと解決策

• 403 エラー: 「認証資格情報が提供されていません。」
  • 上記の形式を使用して API 接続を構成していることを確認してください。

よくあるご質問

• Q1. 分析のために送信したファイルの結果が出るまでどれくらい待つ必要がありますか?

  • A1. 処理時間は、アプライアンスのロード、ファイルのサイズと複雑さによって異なります。 スリープしてステータスを確認するループを作成することがベスト プラクティスです。

• Q2. A1000 API またはその他の A1000 トピック に関するドキュメントはどこで見つかりますか?

  • A2. 詳しい製品ドキュメントは、A1000 インターフェイスから入手できます。 Web インターフェイスにログインした後、右上隅にある [ヘルプ] メニューをクリックします。 インターフェイス。 Web インターフェイスにログインした後、右上隅にある [ヘルプ] メニューをクリックします。

接続を作成する

このコネクタは、次の認証タイプをサポートしています:

既定	接続を作成するためのパラメーター。	すべての地域	共有不可

既定

適用できるもの: すべての領域

接続を作成するためのパラメーター。

これは共有可能な接続ではありません。 Power App が別のユーザーと共有されている場合、別のユーザーは新しい接続を明示的に作成するように求められます。

件名	タイプ	Description	Required
Token	securestring	A1000 トークン	True
A1000 ホスト URL	string	A1000 ホスト URL (例: https://a1000.reversinglabs.com)。 指定しない場合、ホスト URL は既定で https://a1000.reversinglabs.com になります。

調整制限

名前	呼び出し	更新期間
接続ごとの API 呼び出し	100	60 秒

アクション

IP アドレスからファイルのリストを取得します	送信された IP アドレスで見つかったファイルのハッシュと分類のリストを提供します。
IP アドレスでホストされている URL を取得する	送信された IP アドレスでホストされている URL のリストを返します。
IP アドレスの情報を取得する	指定された IP アドレスに関するネットワーク脅威インテリジェンスを返します。
IP アドレス解決を取得する	IP からドメインへのマッピングのリストを提供します。
PDF レポートの作成	PDF サンプル分析レポートを作成します。
PDF レポートの作成状況を確認する	リクエストされた PDF レポートの作成状況を確認します。
PEF レポートのダウンロード	生成された PDF 分析レポートをダウンロードします。
URL-s の処理ステータスを取得する	送信された URL-s のステータスを確認します。
URL の情報を取得	指定された URL に関するネットワーク脅威インテリジェンスを返します。
サンプルの分類を取得する	サンプルの分類ステータスを取得します。
ドメインの情報を取得する	指定されたドメインに関するネットワーク脅威インテリジェンスを返します。
ファイルの処理ステータスを取得する	送信されたファイルのステータスを確認します。
分析のためにサンプルを送信する	分析用のサンプルをローカル ディレクトリまたは URL から送信します。
動的な分析レポートを取得する	ReversingLabs Cloud Sandbox で動的分析を行ったサンプルの PDF または HTLM レポートを作成してダウンロードします。
概要分析レポートを取得する	ローカル サンプルの概要分析レポートを取得します。
詳細な分析レポートを取得する	ローカル サンプルの詳細分析レポートを取得します。
静的な分析レポートを取得する	ローカル サンプルの TitaniumCore 分析結果を取得します。
高度な検索の実行	高度な検索機能を使用して、ローカルの A1000 インスタンスおよび TitaniumCloud で利用可能なサンプルを検索します。

IP アドレスからファイルのリストを取得します

操作 ID:

Retrieve-files-from-ip

送信された IP アドレスで見つかったファイルのハッシュと分類のリストを提供します。

パラメーター

名前	キー	必須	型	説明
Ip	ip	True	string	IP アドレス文字列
ぺージ	page		string	結果の次のページ セットの SHA1 ハッシュ、
ページ サイズ	page_size		integer	1 ページに表示する結果の数
拡張済み	extended		boolean	ダウンロードしたファイルに関する追加情報を含めます。
Classification	classification		string	この分類のサンプルのみを返します

IP アドレスでホストされている URL を取得する

操作 ID:

Retrieve-urls-from-ip

送信された IP アドレスでホストされている URL のリストを返します。

パラメーター

名前	キー	必須	型	説明
Ip	ip	True	string	IP アドレス文字列
ぺージ	page		string	結果の次のページ セットの SHA1 ハッシュ。
ページ サイズ	page_size		integer	1 ページに表示する結果の数

IP アドレスの情報を取得する

操作 ID:

Retrieve-ip-intelligence

指定された IP アドレスに関するネットワーク脅威インテリジェンスを返します。

パラメーター

名前	キー	必須	型	説明
Ip	ip	True	string	IP アドレス文字列

IP アドレス解決を取得する

操作 ID:

Retrieve-ip-to-domain-resolutions

IP からドメインへのマッピングのリストを提供します。

パラメーター

名前	キー	必須	型	説明
Ip	ip	True	string	IP アドレス文字列
ぺージ	page		string	結果の次のページ セットの SHA1 ハッシュ。
ページ サイズ	page_size		integer	1 ページに表示する結果の数

PDF レポートの作成

操作 ID:

Create-pdf-report

PDF サンプル分析レポートを作成します。

パラメーター

名前	キー	必須	型	説明
Hash	hash	True	string	ハッシュ文字列

PDF レポートの作成状況を確認する

操作 ID:

Check-pdf-report-status

リクエストされた PDF レポートの作成状況を確認します。

パラメーター

名前	キー	必須	型	説明
Hash	hash	True	string	ハッシュ文字列

PEF レポートのダウンロード

操作 ID:

Download-pdf-report

生成された PDF 分析レポートをダウンロードします。

パラメーター

名前	キー	必須	型	説明
Hash	hash	True	string	ハッシュ文字列

URL-s の処理ステータスを取得する

操作 ID:

Retrieve-processing-status-urls

送信された URL-s のステータスを確認します。

パラメーター

名前	キー	必須	型	説明
Id	ID	True	integer	URL 送信タスクの ID 番号。

URL の情報を取得

操作 ID:

Retrieve-URL-intelligence

指定された URL に関するネットワーク脅威インテリジェンスを返します。

パラメーター

名前	キー	必須	型	説明
Url	url	True	string	URL string

サンプルの分類を取得する

操作 ID:

Retrieve-classification-for-sample

サンプルの分類ステータスを取得します。

パラメーター

名前	キー	必須	型	説明
ハッシュ値	hash_value	True	string	ハッシュ文字列
Localonly	localonly		integer	1 に設定すると、リクエストはアプライアンス上のローカル サンプルのみを検索します。
AV スキャナー	av_scanners		integer	AV スキャナーの概要情報を応答に含めます。

ドメインの情報を取得する

操作 ID:

Retrieve-domain-intelligence

指定されたドメインに関するネットワーク脅威インテリジェンスを返します。

パラメーター

名前	キー	必須	型	説明
Domain	domain	True	string	ドメイン文字列

ファイルの処理ステータスを取得する

操作 ID:

Retrieve-processing-status-files

送信されたファイルのステータスを確認します。

パラメーター

名前	キー	必須	型	説明
Status	status		string	ハッシュをステータスでフィルターします。 使用可能な値については、ドキュメントを参照してください。
ハッシュ値	hash_values	True	array of string	ハッシュ値

分析のためにサンプルを送信する

操作 ID:

Submit-sample-for-analysis

分析用のサンプルをローカル ディレクトリまたは URL から送信します。

パラメーター

名前	キー	必須	型	説明
File	file		file	ファイルからサンプルを送信します。 必須ですが、「url」パラメータとは相互に排他的です。
Url	url		string	URL からサンプルを送信します。 必須ですが、「file」パラメータとは相互に排他的です。
Filename	filename		string	カスタム ファイル名。 「file」パラメーターでのみ機能します。
分析	analysis		string	分析タイプを選択します。
Tags	tags		string	カスタム タグを設定します。 「file」パラメーターでのみ機能します。
Comment	comment		string	カスタム コメントを設定します。 「file」パラメーターでのみ機能します。
クローラー	crawler		string	クローラー タイプを選択します。 「url」パラメーターでのみ機能します。
パスワードをアーカイブする	archive_password		string	アーカイブのパスワード。
RL クラウド サンドボックス プラットフォーム	rl_cloud_sandbox_platform		string	クラウド サンドボックス プラットフォーム。

動的な分析レポートを取得する

操作 ID:

Retrieve-dynamic-analysis-report

ReversingLabs Cloud Sandbox で動的分析を行ったサンプルの PDF または HTLM レポートを作成してダウンロードします。

パラメーター

名前	キー	必須	型	説明
ハッシュ値	hash_value	True	string	ハッシュ値は SHA-1 文字列である必要があります。
Format	format	True	string	分析レポート形式
エンドポイント	endpoint	True	string	タスクの種類を選択します。

概要分析レポートを取得する

操作 ID:

Retrieve-summary-report

ローカル サンプルの概要分析レポートを取得します。

パラメーター

名前	キー	必須	型	説明
ハッシュ値	hash_values	True	array of string	ハッシュ値
fields	fields		array of string	「fields」パラメーターでサポートされている値については、A1000 API ドキュメントを参照してください。 「include_networkthreatintelligence」パラメーターが「true」に設定されている場合、「networkthreatintelligence」と「domainthreatintelligence」を「fields」パラメーターに含める必要があります。
include_networkthreatintelligence	include_networkthreatintelligence		string	小文字の文字列化されたブール値。 「fields」パラメーターでサポートされている値については、A1000 API ドキュメントを参照してください。 「include_networkthreatintelligence」パラメーターが「true」に設定されている場合、「networkthreatintelligence」と「domainthreatintelligence」を「fields」パラメーターに含める必要があります。
skip_reanalysis	skip_reanalysis		string	小文字の文字列化されたブール値。

詳細な分析レポートを取得する

操作 ID:

Retrieve-detailed-report

ローカル サンプルの詳細分析レポートを取得します。

パラメーター

名前	キー	必須	型	説明
ハッシュ値	hash_values	True	array of string	ハッシュ値
fields	fields		array of string	レポートで返されるフィールド。 「fields」パラメーターでサポートされている値については、A1000 API ドキュメントを参照してください。
skip_reanalysis	skip_reanalysis		string	小文字の文字列化されたブール値

静的な分析レポートを取得する

操作 ID:

Retrieve-static-analysis-report

ローカル サンプルの TitaniumCore 分析結果を取得します。

パラメーター

名前	キー	必須	型	説明
ハッシュ値	hash_value	True	string	ハッシュ文字列
Fields	fields		array	レポートで返されるフィールド。 「fields」パラメーターでサポートされている値については、A1000 API ドキュメントを参照してください。

高度な検索の実行

操作 ID:

Perform-advanced-search

高度な検索機能を使用して、ローカルの A1000 インスタンスおよび TitaniumCloud で利用可能なサンプルを検索します。

パラメーター

名前	キー	必須	型	説明
query	query		string	query
page	page		integer	ページ番号。
各ページのレコード	records_per_page		integer	各ページのレコード
並べ替え	sort		string	ソートの基準。