[Virustotal API v3] v2와의 차이를 알아보자

API v3 Migration

• 모든 VirusTotal 제품 및 스캐너의 엔드포인트입니다
• . VT 사용자는 단일 API를 통해 VirusTotal의 모든 도구에 액세스할 수 있으므로 통합 프로세스가 단순화됩니다.
• 사용자 및 그룹 관리를
• 통해 관리자는 액세스 및 계정 관리를 자동화하고 팀 전체의 사용량을 추적할 수 있습니다.
• 파일, URL, 도메인 및 IP 보고서에 대한 추가 관련 정보
• . VT API v3은 메타데이터 및 컨텍스트를 포함하여 모든 파일, URL, 도메인 및 IP 보고서에 대한 추가 정보를 제공합니다.
• 예측 가능한 리소스 지향 URL을 갖춘 REST 기반입니다
• . VirusTotal API v3는 예측 가능한 리소스 지향 URL을 통해 액세스되는 HTTP 메서드로 웹 서비스를 구축하기 위한 표준 설계 원칙 세트에 따라 RESTful 아키텍처를 사용하므로 다른 도구를 더 쉽게 사용하고 통합할 수 있습니다.
• 파일 동작에서 볼 수 있는 MITRE 관련 전술 및 기술 ⇒ v3를 사용해서 개발해야 함
• . API v3은 MITRE ATT&CK 프레임워크에서 정의한 대로 악성코드 샘플에서 사용하는 TTP에 대한 정보를 제공합니다. 이는 샘플의 잠재적 영향과 위협에 대응하는 방법을 이해하는 데 도움이 됩니다.
• Python 모듈을 기반으로 한 보다 광범위한 문서 및 코드 예제
• . V3에는 사용자가 API를 더 쉽게 시작하고 이를 워크플로에 통합할 수 있도록 하는 보다 광범위한 문서와 코드 예제가 있습니다.

자주 쓰이는 API 엔드포인트 목록

• 검사할 파일 업로드
• : 70개 이상의 바이러스 백신 제품, 10개 이상의 동적 분석 샌드박스 및 기타 수많은 보안 도구를 사용하여 파일을 분석하여 위협 점수와 관련 컨텍스트를 생성하여 이를 이해할 수 있습니다.
• 해시로 파일 보고서 가져오기
• : {md5, sha1, sha256} 해시가 주어지면 70개 이상의 바이러스 백신 제품, 10개 이상의 동적 분석 샌드박스 및 수많은 기타 보안 도구 및 데이터 세트에서 생성된 위협 평판 및 컨텍스트를 포함한 관련 분석 보고서를 검색합니다.
• URL 스캔
• : 70개 이상의 바이러스 백신 제품/차단 목록 및 기타 수많은 보안 도구를 사용하여 URL을 분석하여 위협 점수와 이를 이해할 수 있는 관련 컨텍스트를 생성합니다.
• URL 분석 보고서 받기
• : URL이 주어지면 70개 이상의 바이러스 백신 제품/차단 목록과 수많은 기타 보안 도구 및 데이터 세트에서 생성된 위협 평판 및 컨텍스트를 포함한 관련 분석 보고서를 검색합니다.
• 도메인 보고서 받기
• : 도메인이 주어지면 70개 이상의 바이러스 백신 제품/차단 목록과 수많은 기타 보안 도구 및 데이터 세트에서 생성된 위협 평판 및 컨텍스트를 포함한 관련 분석 보고서를 검색합니다.
• IP 주소 보고서 받기
• : IP 주소가 주어지면 70개 이상의 바이러스 백신 제품/차단 목록과 수많은 기타 보안 도구 및 데이터 세트에서 생성된 위협 평판 및 컨텍스트를 포함한 관련 분석 보고서를 검색합니다.

공개 API vs premium API

	공개 API	premium API
사용 제한	하루 500개의 요청과 분당 4개의 요청 비율로 제한	일일 허용량 제한은 없으며, 한도는 서비스 단계에 따라 결정
목적	사용 제품이나 서비스에 사용해서는 안됨 "안티바이러스 제품을 대체할 수 없으며, 안티바이러스 산업에 직간접적으로 해를 끼칠 수 있는 어떤 프로젝트에도 통합할 수 없습니다. 본 약관을 준수하지 않을 경우 해당 위반자 개인 또는 조직이 즉각적으로 영구적으로 금지됩니다.”	제한 없음

 

API v2에서 v3로 마이그레이션 가이드

	v2	v3
엔드포인트	http://www.virustotal.com/vtapi/v2/	http://www.virustotal.com/api/v3/
파일 제출(<= 32MB)	https://developers.virustotal.com/v2.0/reference/file-scan	https://developers.virustotal.com/reference/files-scan
파일 제출(> 32MB)	/file/scan/upload_url and /file/scan	/files/upload_url and /files
Get file report	/file/report (allinfo parameter)	/files/{id}
Rescan file	/file/rescan	/files/{id}/analyse
Get file behavior report	/file/behaviour	/files/{id}/behaviours and /file_behaviours/{sandbox_id}/html
Download PCAP	/file/network-traffic	/file_behaviours/{sandbox_id}/pcap
Scan URL	/url/scan	/urls
Get URL report	/url/report	/urls/{id}
Get domain report	/domain/report	/domains/{domain}
Get IP address report	/ip-address/report	/ip_addresses/{ip}
Get file feed	/file/feed	/feeds/files/{time} and /feeds/files/hourly/{time}
Getting URL feed	/url/feed	/feeds/urls/{time} and /feeds/urls/hourly/{time}
Advanced search	/file/search (only for files)	/intelligence/search
응답 방식	HTTP 상태 코드를 통하지 않고 응답의 다른 매개변수를 통해 처리	HTTP 응답 코드를 따라 성공 또는 실패를 표시