来源：https://medium.com/shuffle-automation/integrating-shuffle-with-virustotal-and-thehive-open-source-soar-part-3-8e2e0d3396a9

在信息安全领域，从业者和领导者之间的不协调是正常的。领导可能决定购买从业者不喜欢的产品或服务，但要求实现。这意味着您需要将其完全集成到您的流程和过程中。但是你是怎么做到的呢?这是一个困难的问题，通常需要花费大量的时间和精力。但如果没有必要呢?

Shuffle为您提供了从编程的角度探索平台的选项，无论您是否具备技术能力，并且提供了访问开放标准以在几分钟内构建实现的机会，而不是几个月或几年的时间。在这篇文章中，我们将快速了解如何在Shuffle中实现一个新服务。

服务来来往往，无论你是小型中小企业还是大型企业。变化是唯一不变的。在接下来的十分钟里，我们的重点是完成为Shuffle创建一个应用程序并将其集成的过程。我们的想法是继续前一篇文章中创建的工作流，并在此基础上构建Virustotal和hive功能。由于Virustotal并不是OpenAPI规范之外Shuffle的一部分，所以我们必须从创建应用本身开始。这些是我们将遵循的步骤。

（1）为Virustotal创建一个应用程序能够得到一个IP报告

（2）将虚拟的“获取IP报告”操作添加到我们的工作流程中

（3）如果您还没有，设置TheHive ()

（4）使用Virustotal提供的IP历史记录在hive中创建警报

1. 创建一个Virustotal应用

假设您已经安装了Shuffle，我们将在https://localhost:3443/apps上进行应用程序选择。我们看到了一个视图，可以创建、编辑、删除、搜索、下载以及其他所有与应用程序相关的内容。这个地方可以访问我们需要的一切，包括从github存储库下载应用程序，无论是公共的还是私有的(下图右上方)，从OpenAPI生成应用程序(左下角)或从头开始创建应用程序。在我们的例子中，由于Virustotal没有公开的OpenAPI规范，我们将使用“从头创建”函数。

PS:如果你想跳过创建过程，可以在Shuffle的应用搜索栏中搜索“virustotal”并激活它，或者单击“从OpenAPI创建”并使用virustotal.yaml文件。

首先:我们需要了解Virustotal使用哪种身份验证，以及它们的API URL是什么。最常用的API认证选项有 Bearer auth(特定头)、基本认证(用户名和密码)、API-keys(自定义头或查询)和Oauth2(特殊、多层)。要找到特定平台的API文档，可以先搜索或访问他们的网站。在Virustotal中，它在标题栏中。

下面是Virustotal对身份验证的看法。

这告诉我们必须使用自定义头，这意味着我们应该使用API键。接下来，我们必须找到URL。为了找到它，我们将滚动到我们正在构建的函数，它有一个包含完整URL的示例。下面是我们将要创建的函数的一个亮点，它返回关于IP地址的数据。

回到Shuffle，我们现在有了为Virustotal(基础URL和认证方案)创建应用所需的信息。我已经在这里为Virustotal添加了一张图片和一个名字。

请注意，基本URL是可选的，这使得定制应用程序的本地托管成为可能。Authentication是一个可以从中选择的下拉菜单，在我们的例子中，我们选择了“API key”，然后按照文档中描述的“x-apikey”绘图。

完成第一步后，让我们为应用程序创建第一个动作。向下滚动一点，点击“NEW ACTION”按钮。

打开新操作的视图后，下一步是填写操作“Get IP report”的特定信息。在复制以下内容之前，填写名称和描述(可选):

curl --request GET \

  --url https://www.virustotal.com/api/v3/ip_addresses/{ip} \

  --header 'x-apikey: <your API key>'

该命令使用curl——一种常用的命令行工具来发出网络请求(例如HTTP)。我不会深入研究curl或HTTP的工作原理，但其本质是不同软件之间的一种对话方式。Shuffle支持CURL解析，这意味着我们可以直接使用这个命令来执行操作。

简而言之，创建一个动作:

给它起个好名字

在URL字段中粘贴CURL命令

点击提交按钮!

第一个操作的创建过程完成后，就可以进行保存了。通过点击红色(橙色)保存按钮，Shuffle将创建三样东西:OpenAPI规范、带有APP SDK的Python代码和完成的Docker映像。这可能需要一分钟，但您可以立即开始修改工作流。

创建过程完成后，我们现在应该测试我们的应用程序。频繁测试是在向工作流引入新部件时避免遗留问题的最好方法。创建新工作流后，我们首先将Virustotal V3应用拖到工作流视图中，选择它，然后填充“apikey”和“ip”参数(如下图所示)。要处理api键或可重用数据，最好的方法是使用工作流变量。要找到Virustotal的API密钥，请在选择右上角的“API密钥”之前登录。

Using the workflow variable “Virustotal APIkey” with the API key in it

保存并执行，然后检查结果。记住，根据所选的IP，结果可能很大。如果有什么问题，找我，希望我能帮上忙。

2. 添加Virustotal“获取IP报告”动作到我们的工作流程

测试结束后，我们现在可以进入真正的工作流，也就是我们在第二部分中创建的“我的第一个工作流”。

在这里，我们首先添加节点，然后将其连接到最后一个节点—“Print IP”。这里的目标是使用我们自己的IP(通过“Get URL”节点传递)，并在Virustotal中搜索它。我们通过写$Get URL来做到这一点。因为从“Get URL”节点返回的数据是以{" ip ": " your_ip "}的形式返回的。

为了测试，我们使用执行参数{" url ": " https://api.ipify.org/?(PS:我修改了我们获取IP的URL，因为另一个URL经常失败)。结果是来自Virustotal节点的关于IP的JSON格式数据。

为Virustotal创建了应用程序并从Virustotal检索了数据，现在就可以使用数据了。接下来的步骤和博文将把我们的注意力从Shuffle的基本用法转移到一般的集成和真实的用例上。

3.设置thehive(如果你有一个测试实例就跳过)

在这一步中，我们将快速设置thehive，授予用户创建警报的权限，并获取API-key以供以后使用。

thehive有很好的文档，可以通过多种方式安装。将以下内容复制到一个名为“docker-compose”的文件中。然后键入“docker- composition -d”。这需要几分钟，具体时间取决于您的网络速度。

version: "2"

services:

  elasticsearch:

    image: elasticsearch:6.8.8

    environment:

      - http.host=0.0.0.0

      - discovery.type=single-node

    ulimits:

      nofile:

        soft: 65536

        hard: 65536

  cortex:

    image: thehiveproject/cortex:latest

    depends_on:

      - elasticsearch

    ports:

      - "0.0.0.0:9001:9001"

  thehive:

    image: thehiveproject/thehive:latest

    depends_on:

      - elasticsearch

      - cortex

    ports:

      - "0.0.0.0:9000:9000"

    command: --cortex-port 9001

1、完成docker-compose执行后，转到http://localhost:9000(或您选择安装它的主机)。

2、点击“更新数据库”

3、设置一个管理员用户并登录

4、单击右上角“Admin > Users”

5、选择您的用户(或创建一个新用户)，并让它访问创建警报。

6. 复制API键并将其保存为Shuffle中的变量

PS:如果你遇到与Elasticsearch相关的错误，这是一个测试实例，运行以下命令来删除常见错误:

docker exec -u 0 -it thehive_elasticsearch_1 curl -XPUT -H "Content-Type: application/json" http://localhost:9200/_cluster/settings -d '{ "transient": { "cluster.routing.allocation.disk.threshold_enabled": false } }'; curl -XPUT -H "Content-Type: application/json" http://localhost:9200/_all/_settings -d '{"index.blocks.read_only_allow_delete": null}'

4. 使用Virustotal数据在hive中创建警报

有了我们的API密钥，我们现在可以创建一个警报。由于Shuffle已经为thehive开发了一个应用程序，唯一缺少的就是将我们的“创建警报”动作添加到工作流中。在连接到Virustotal节点之前，从左侧拖动它。

thehive需要注意的是:type、source和sourceref每次必须是唯一的组合。在我的例子中，我的外部IP更改得非常频繁，所以我决定使用我自己的IP作为引用(源文件):这也有一个很好的副作用:如果我的IP发生了变化，它将在日程表上生成一个新的警报。

后一个字段是可选的，但如果对分析人员来说不是很重要，则非常有用。标题和描述被大量用于帮助决定如何处理警告。这里是我在我的可选字段中使用的，但您可以放置任何您想要的内容。

title: Info for $Get URL.ip

description: * IP owner: $Virustotal v3_1.data.attributes.as_owner \n * Country: $Virustotal V3_1.data.country \n* Reputation: $Virustotal V3_1.data.attributes.reputation \n* Whois: $Virustotal V3_1.data.attributes.whois

执行会产生一个新的警报，如下所示。为了确保每次外部IP更改时它都会创建一个新的警报，我们需要重新启用调度程序。我将自己的游戏设置为每5分钟(300秒)运行一次，导致每天都会在the hive中发出警告，因为这是我的IP租期。如果您想继续扩展此构建，我建议检查现有的安全定义，包括我们完整的Virustotal OpenAPI规范。

正如你可能已经注意到的，第一步比后三个步骤要长得多，因为它是唯一的“新”步骤。后三个都是关于工作流版本和安装，而第一个试图解释一个新概念。通过了解如何通过curl命令或手动在几分钟内创建一个应用程序，您可以在几天内为您的资源实现工作流，而不是几个月或几年的专有内部开发时间。

只要使用OpenAPI或其他标准，它就会使事情变得更简单、更容易理解、最后也是最重要的;你并不局限于技术本身。Shuffle中的OpenAPI可以导入、导出、生成等，并且(与JSON API一起)将成为下一代安全行业Rest API事实上的标准。信息安全/IT自动化通常是由开发人员的“独角兽”单独完成的，如果我们一起工作，甚至都无法达到我们能达到的程度。

接下来，我们将继续与hive的合作，专注于实时数据传输(Webhook /消息队列)和真实的集成，而不是虚构的例子。我们还将快速查看MSSP的Shuffle、潜在的多租户和其他触发器。

我欢迎您进一步探索Shuffle，尝试它并在它的基础上构建它。如果没有社区，它就无法生存，这里有一些帖子来帮助它启动。