메뉴 건너뛰기

Hello :0

Splunk와 VirusTotal 연동 -수정중-

2014.11.10 04:35

Leekyu 조회 수:1073

1. Virus Total


1.png

- Virus Total에서 제공하는 API를 이용해서, File이나 URL, IP에 대한 검사를 할 수 있다.

- Public API과  Private API가 있고 Private API는 유료로 제공한다.

- JSON 형태의 결과물을 Return 시켜주어 활용이 편리하다.

- C, JAVA, .Net , Perl, Python, PHP, powershell 등에서 사용할 수 있다. 


2. 연동하기

2.png

- splunk 설치 후 바이러스 토탈에서 회원 가입 후 API key를 얻는다.



3.png

- 새로운 앱을 만들기 위해 스플렁크 메뉴에서 을 클릭한 후 앱 관리를 클릭한다. 



4.png

- 앱 만들기를 클릭한다. 



5.png

- 앱의 이름앱의 위치를 입력하고 저장한다. 


#leekyu

import os, sys

program="C:\\Program Files\\"

for envvar in ("PYTHONPATH", "LD_LIBRARY_PATH"):
    if envvar in os.environ:
        del os.environ[envvar]


#linux        
#python_executable = "/usr/bin/python"
#real_script = "/opt/splunk/etc/apps/vtlookup/bin/vt.py"

#windows
python_executable = "C:\\Python27\\python"
real_script = os.getenv('PROGRAMW6432')+"\\Splunk\\etc\\apps\\vtLookup\\bin\\vtLookup_file.py"

#real_script = program+Splunk\\etc\\apps\\vtLookup\\bin\\vt.py"

os.execv(python_executable, [ python_executable, "\""+real_script+"\"" ] + sys.argv[1:])