Com amplas integrações prontas para uso e uma arquitetura orientada a APIs, o Swimlane permite interoperabilidade simplificada com a infraestrutura de segurança existente de qualquer organização. Integrações para aplicativos novos e personalizados também podem ser facilmente desenvolvidas usando linguagens de script comuns e uma API RESTful.
A nova parceria entre a Swimlane e a VirusTotal é um ótimo exemplo dessa abordagem em ação. Nesta série de dois artigos, começaremos analisando como trabalhamos juntos e, na segunda parte, compartilharemos um guia passo a passo para usuários que desejam implementar essa poderosa integração tecnológica.
O novo recurso VT Augment Widget do VirusTotal permite que o Swimlane e outros aplicativos exibam informações atualizadas sobre ameaças diretamente na plataforma Swimlane, além de fornecer taxas de detecção de informações imediatamente acionáveis.
Isso permite que os analistas explorem as informações mais recentes e relevantes, além de nos possibilitar automatizar a classificação e triagem iniciais a partir de uma única chamada de API.
Como funciona
Para integrar a nova funcionalidade VT Augment ao Swimlane, primeiro precisamos definir a arquitetura da solução. O seguinte fluxo de trabalho foi escolhido:
-
Um alerta de origem, como um e-mail de phishing ou um alerta XDR, entra na plataforma Swimlane.
- O Swimlane analisa o Alerta de Origem em busca de indicadores de comprometimento (IOCs) acionáveis:
-
Endereços IP externos
-
Domínios
-
URLs
-
Hashes de arquivo (SHA1/SHA256/MD5)
-
3. O Swimlane usa a chave de API da nossa organização para fazer uma consulta ao VT Augment. /widget/url endpoint, passando os seguintes parâmetros:
-
Consulta: O COI para o qual desejamos obter informações de reputação (obrigatório)
-
fg1: A cor hexadecimal desejada para o texto principal do widget (opcional)
-
bg1: A cor de fundo primária desejada em hexadecimal (opcional)
-
bg2: A cor de fundo secundária desejada em hexadecimal (opcional)
-
bd1: A cor de borda desejada em hexadecimal (opcional)
4. O endpoint VT Augment responde com os seguintes pontos de dados em formato JSON:
-
url: O URL a ser usado como src do iframe para exibir o widget VT Augment.
- taxa de detecção:
-
detecções: Número de detecções positivas do motor VT
-
total: Número de motores verificados
5. A taxa de detecção retornada pode ser usada para fundamentar a determinação inicial da maliciosidade do IOC e quaisquer automações baseadas na priorização ou na determinação automática da natureza do IOC.
6. O URL retornado é incorporado em um iframe dentro de um widget Swimlane, onde permanece pronto para análise manual.
7. Quando um analista abre o Registro de Inteligência de Ameaças para o Indicador de Comprometimento (IOC), o widget é renderizado automaticamente, exibindo os resultados completos da investigação do VT Augment do VirusTotal. /widget/html ponto final.
Na segunda parte, vamos percorrer o processo de adição da funcionalidade VT Augment a um aplicativo de inteligência de ameaças no Swimlane.

