Одной из моих ежедневных задач является просмотр и изучение SIEM-оповещений. Чтобы автоматизировать процесс проверки IP-адресов из SIEM-оповещений и вывода результатов на экран, я решил использовать скрипт Python.
Еще по теме: Использование API Vulners с библиотекой Python
Проверка IP с помощью скрипта Python и API VirusTotal
API VirusTotal (см. Использование API VirusTotal) и Python модуль requests могут быть использованы для проверки IP-адреса на сайте VirusTotal и отображения результатов.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 |
import requests def check_ip_on_virustotal(ip_address, api_key): url = f'https://www.virustotal.com/api/v3/ip_addresses/{ip_address}' headers = { 'x-apikey': api_key } try: response = requests.get(url, headers=headers) response_json = response.json() if response.status_code == 200: data = response_json['data'] if 'attributes' in data: attributes = data['attributes'] country = attributes.get('country', 'Unknown') last_analysis_results = attributes.get('last_analysis_results') print("IP Address:", ip_address) print("Country:", country) print("Last Analysis Results:") for engine, result in last_analysis_results.items(): print(f"{engine}: {result['result']}") else: print("No information available for the IP address.") else: print("Error occurred while checking the IP address.") except requests.exceptions.RequestException as e: print("An error occurred during the request:", str(e) # Замените 'YOUR_API_KEY' на ваш действующий API-ключ от VirusTotal api_key = 'YOUR_API_KEY' ip_address = '8.8.8.8' # Замените на IP-адрес, который вы хотите проверить check_ip_on_virustotal(ip_address, api_key) |
Скрипт использует API Virus Total, поэтому если у вас еще нет учетной записи Virus Total, перейдите на сайт и зарегистрируйтесь для получения бесплатного API.
Замените YOUR_API_KEY на ваш API-ключ VirusTotal.
В скрипте определена функция check_ip_on_virustotal(), которая принимает на вход IP-адрес и API-ключ. Она формирует URL для проверки IP-адреса на VirusTotal и отправляет GET-запрос с ключом API в качестве заголовка.
Ответ обрабатывается в формате JSON, и в случае успешного выполнения запроса (код состояния 200) скрипт извлекает необходимую информацию, такую как страна и последние результаты анализа IP-адреса. Затем выводится IP-адрес, страна и результаты последнего анализа.
В случае ошибок или исключений выводятся соответствующие сообщения об ошибках.
Обратите внимание, что API VirusTotal имеет ограничения по скорости для бесплатных пользователей. Обязательно ознакомьтесь с документацией и условиями использования API для получения более подробной информации о лимитах использования и других требованиях.
ПОЛЕЗНЫЕ ССЫЛКИ:
- Vulnerable-AD — стенд для атак на Active Directory
- Анализ компьютерных вирусов в домашней лаборатории