小ネタ
はじめに
Webアクセスログを眺めていると、ふとVirusTotalではこのURLはどうなんだろう?と思いませんか?
そんな時でもSplunkはあなたの味方です
APIを叩けばいいじゃないというかたはそっと見守ってください。
APPあります
そうですよね、また車輪を再開発してしまった・・・
とりあえず
ハッシュ値とかドメインはそのまま放り込めばいいから、いいですよね
例えば、
c58f07f84d6aae485416683e5515b39bc39349e69bc14629440e693da23d6c4d
のハッシュを検索するURLを作ろうとするなら
| eval link="https://www.virustotal.com/gui/file/".hash_value."/detection"
とかしてlinkが作れたりします。
ドメインも
|eval link="https://www.virustotal.com/gui/domain/".domain_value."/details"
と簡単
でもURLの時ってそのまま放り込めない。
解決策
SPL
| makeresults
| eval _raw="http://www.yahoo.com/"
| eval hash=sha256(_raw)
| appendpipe
[ eval hash="ed91698b5823a5e4424726955dd3fd437d9cfdc46f7b8988cded5da779cc7483"]
`comment("the hash is VT link hash")`
sha256()に放り込むと大丈夫です。ただ癖があって
http://から始まって、/までかファイル名まで、が基本。
試してみると
http://www.yahoo.comでハッシュをとると検索結果がでない、とかあります。
そうなるとworkflowなんかは二つ作ったほうがいいと思います。
フルパスと、ドメイン名だけの場合と。
まとめ
繰り返しになりますが、これはふとアクセスが気になった場合に活用できるかな〜と思います。
cURL用のリストをつくるんだ、とかいろいろ応用は効くかもしれませんね。