Visa VirusTotal-rapporter från varningscentret

Få ytterligare säkerhetsinsikter relaterade till varningar

För att visa VirusTotal-rapporter från varningscentret måste en avancerad administratör tilldela dig behörigheten Varningscenter > Fullständig åtkomst > Visa VirusTotal-rapporter . Administratörer måste också ha en av följande Google Workspace- utgåvor : Frontline Plus, Business Plus, Enterprise Standard, Enterprise Plus, Education Standard eller Education Plus.

VirusTotal, nu en del av Google Cloud, tillhandahåller data om hotkontext och rykte för att analysera misstänkta filer, webbadresser, domäner och IP-adresser för att upptäcka cybersäkerhetshot. VirusTotal-rapporter ger många crowdsourcade detaljer om varför en domän, filbilaga eller IP-adress kan anses vara riskabel. (För mer information, se VirusTotals webbplats .)

Du kan få direkt åtkomst till VirusTotal-rapporter från sidan med varningsinformation i varningscentret. Detta gör att du kan få information om hotkontext och rykte som är relevant för en specifik varning. Till exempel kan en VirusTotal-rapport visa att flera säkerhetsleverantörer har flaggat en specifik domän som skadlig.

Notera:

  • VirusTotal används inte för att generera säkerhetsvarningar, och inte heller för att upptäcka skadlig kod eller andra säkerhetshot. VirusTotal utökar varningsdetaljerna genom att ge ytterligare säkerhetsinsikter och genom att hjälpa dig i beslutsfattandet när du hanterar säkerhetsproblem.
  • Data (domäner, IP-adresser eller hashkoder för filbilagor) delas endast med VirusTotal efter att din administratör har valt att visa VirusTotal-rapporten. Inga data delas i övrigt.
  • VirusTotal-data delas med den bredare säkerhetsgemenskapen. Detta gör det möjligt för säkerhetsleverantörer att samarbeta med varandra, dela viktig information och vidta åtgärder för att bekämpa säkerhetshot.
  • Du kan också visa VirusTotal-rapporter från säkerhetsutredningsverktyget för att få ytterligare säkerhetsinsikter relaterade till e-postbilagor. Mer information finns i Visa VirusTotal-rapporter från utredningsverktyget .

Visa VirusTotal-rapporter

Så här visar du VirusTotal-rapporter från sidan med varningsdetaljer:

  1. I Googles administratörskonsol, gå till Meny och sedan Säkerhet och sedan Varningscentral .

    Du måste vara inloggad som superadministratör för den här uppgiften.

  2. Om du vill visa mer information klickar du på en specifik avisering för att öppna sidan med aviseringsdetaljer.
  3. I avsnittet Viktiga detaljer eller meddelanden klickar du på Visa VirusTotal-rapport . Det här alternativet är tillgängligt för aviseringar som innehåller domäner (vanligtvis en del av aktörens e-postadress, IP-adresser eller hashkoder för filbilagor).

VirusTotal-rapporten innehåller flera avsnitt med information om potentiella säkerhetshot. Du kan till exempel visa en lista över säkerhetsleverantörer som har flaggat en fil som skadlig, och även visa resultat av filskanning för var och en av dessa leverantörer.

Standard- och förbättrade versioner av VirusTotal-rapporter

VirusTotal-rapporten finns i två versioner: Standard och Utökad. Standardversionen visas för administratörer som har behörighet för varningscenter och som har en av de obligatoriska Google Workspace-utgåvorna. Den Utökade versionen visas automatiskt för betalande VirusTotal-prenumeranter som har en aktiv virustotal.com-inloggningssession med sitt VT Enterprise-användarkonto .

För mer information om VT Enterprise och för att begära en provperiod, se tjänsteöversikten på VirusTotals webbplats. För att registrera dig för VT Enterprise, skicka in det här formuläret .

Funktioner som ingår i standardversionen

Standardversionen av VirusTotal-rapporter innehåller följande:

  • Observerbar identifiering — Identifierare och egenskaper som gör att du kan referera till hotet och dela det med andra analytiker (till exempel filhashar).
  • Hotrykte — Skadlighetsbedömningar från fler än 70 säkerhetsleverantörer, inklusive antiviruslösningar, säkerhetsföretag, nätverksblocklistor med mera.
  • Hotets tidsspridning — Viktiga datum som gör att du kan förstå när ett givet hot först observerades i det vilda och hur länge det har varit aktivt.
  • Domän/IP Whois-sökning — Registrar- och registrantuppgifter för domäner, samt information om ägarskap och nätverksintervall för IP-adresser.
  • Domän- och serversäkerhetsrelevanta metadata — HTTPS-certifikat för webbservrar, DNS-matchningsposter och HTTP-rubriker för webbservrar.

Funktioner som ingår i den förbättrade versionen

Den förbättrade versionen av VirusTotal-rapporter innehåller samma funktioner som i standardversionen plus följande :

  • Multivinkeldetektering — Ytterligare hotanalys från crowdsourcade regelmatchningar och community-poängsättning (till exempel YARA- , Sigma- och IDS-regler ).
  • Relaterade indikatorer på kompromisser (IOC) – Exempel på IOC inkluderar en nätverksinfrastruktur som distribuerar en skadlig fil, servrar som fungerar som kommando- och kontrollfunktioner för ett givet hot, skadliga webbadresser som ses under en given domän, domäner som ses bakom en given IP-adress och mer.
  • Interaktiv hotgraf — Grafiskt format som kartlägger hela hotkampanjer genom att visualisera relationerna mellan IOC:er.
  • Säkerhetsrelevanta metadata – Inkluderar information om programvaruutgivare, identifiering av skadliga makron i dokument, popularitetsrankningar för domäner, kategorisering av domäninnehåll med mera.
  • Detaljer i omlopp – Geografiska och tidsmässiga detaljer för hot, vanliga bedrägeritekniker för angripare och mer, genom VirusTotal-inlämningsmetadata.
  • Misstänkt attributpivotering — Klickbara detaljer i VirusTotal-rapporter, så att du kan utforska den globala VirusTotal-datauppsättningen för andra hot som delar samma egenskaper.

Fördelar och användningsområden för den förbättrade versionen

  • Förbättrad hotdetektering – Använd crowdsourcingregler för att identifiera och få sammanhang kring hot även om de ännu inte är allmänt kända för säkerhetsleverantörer.
  • Snabbare utredningar och beslutsfattande – Öka säkerhetsteamets effektivitet genom att komplettera interna observationer med crowdsourcat kontext. Motståndare riktar sig även mot andra organisationer, och deras fotavtryck dyker upp i VirusTotal – vilket hjälper till att komplettera bilden för säkerhetsteamet. Med den förbättrade versionen av VirusTotal-rapporter går det betydligt snabbare att ignorera falska positiva resultat och bekräfta och eskalera verkliga positiva resultat.
  • Förbättrad hotsanering — Använd den interaktiva hotgrafen och relaterade artefakter för att identifiera IOC:er kopplade till en relevant varning och använd dem för att fullt ut förstå effekten av en attack på din organisation genom att söka igenom din säkerhetstelemetri. Till exempel: Såg VirusTotal några skadliga filer som laddats ner från en domän i en av dina varningar? Om ja, har någon av dessa hashkoder setts i ditt nätverk?
  • Proaktiv försvarsstrategi — Du kan växla till VT Enterprise och identifiera hotinfrastruktur som kanske inte har dykt upp i dina loggar. Eller så kan du identifiera annan skadlig kod som drivs av samma hotaktör och blockera denna skadliga kod i ditt nätverks perimeter och dina slutpunkter innan den påverkar din organisation. Till exempel: Vänd till andra domäner som är registrerade av samma hotaktör och som kanske inte har utnyttjats i en kampanj ännu, och blockera sedan dessa domäner i förebyggande syfte ifall de så småningom utnyttjas mot ditt företag.

För mer information om VirusTotal-rapportfunktionerna, se tjänsteöversikten på VirusTotals webbplats . Se även Så fungerar det - VirusTotal , eller kontakta oss för att få veta mer .

Registrera dig för ett VT Enterprise-konto

Som beskrivits ovan kan VirusTotal-rapporter inkludera ytterligare hotinformationstjänster och avancerade funktioner med den förbättrade versionen av VirusTotal-rapporter. För mer information och för att registrera dig för VT Enterprise, kontakta VirusTotal-teamet .

VirusTotal är en produkt från Alphabet som analyserar misstänkta filer, URL:er, domäner och IP-adresser för att upptäcka skadlig programvara och andra typer av hot, och delar dem automatiskt med säkerhetsgemenskapen.

För att visa VirusTotal-rapporter skickar du in hashkoder för filbilagor, IP-adresser eller domäner till VirusTotal.

Genom att använda VirusTotal bekräftar du att VirusTotals användarvillkor och sekretesspolicy gäller för dina inskickade data och att VirusTotal kan komma att dela dina inskickade data med säkerhetsgemenskapen.

Vanliga frågor

Kostar det något extra att använda standardversionen av VirusTotal-rapporter?

Nej. Standardversionen av VirusTotal-rapporter är tillgänglig för administratörer som har behörighet för varningscenter och som använder någon av följande utgåvor: Frontline Plus, Business Plus, Enterprise Standard, Enterprise Plus, Education Standard och Education Plus.

Om du vill förbättra upplevelsen och förbättra dina beslutsfattande och utredningsmöjligheter genom avancerad hotkontext och rykte behöver du en betald VT Enterprise-prenumeration .

Är upplevelsen annorlunda för betalande VirusTotal-kunder?

Ja. Om du har en betald VirusTotal-prenumeration, även känd som VT Enterprise, ser du förbättrade resultat i varningscentret utan att din VirusTotal-kvot påverkas. Kvoten används endast när du öppnar virustotal.com -sidor.

Hur kan jag registrera mig för VT Enterprise så att jag kan dra nytta av den förbättrade versionen av VirusTotal-rapporter?

För mer information om VT Enterprise och för att begära en provperiod, se tjänsteöversikten på VirusTotals webbplats. För att registrera dig för VT Enterprise, skicka in det här formuläret .

Utöver den förbättrade versionen av VirusTotal-rapporter, finns det andra fördelar med en VT Enterprise-prenumeration?

Ja. Med VT Enterprise kan du implementera andra användningsområden som är särskilt relevanta för säkerhetscentraler, IT-kristeam, incidenthanteringsteam och hotinformationsenheter:

  • Automatiserad berikning av säkerhetstelemetri — Detta inkluderar prioritering av varningar, kassering av falskt positiva resultat, bekräftelse av sant positivt resultat och konfidens korrelation.
  • Incidentrespons och forensisk analys — Detta inkluderar prioritering av säkerhetsåtgärder, incidentanalys och kontext, upptäckt av artefakter och identifiering av IOC.
  • Hotinformation och avancerad jakt – Detta inkluderar upptäckt av okända hot, övervakning av hotkampanjer, spårning av motståndare, förebyggande IOC-identifiering, utforskning av hotlandskapet och situationsmedvetenhet.
  • Övervakning av nätfiske, bedrägeribekämpning, varumärken och företagsinfrastruktur – Detta inkluderar spårning av nätfiskekampanjer, dissektion av banktrojaner och informationsstölder, övervakning av varumärkesimitering, distribution av skadlig kod och identifiering av missbruk av företagsinfrastruktur.
  • Red teaming och etisk hacking – Detta inkluderar rekognoscering och passiv fingeravtryckstagning, simulering av intrång och attacker samt validering av säkerhetsstackar.
  • Prioritering av sårbarheter – Detta inkluderar smarta riskdrivna patchstrategier, praktisk övervakning av sårbarhetsvapen och kartläggning av hotaktörer mot sårbarhetsexploatering .

För mer information om hur VT Enterprise kan förbättra era säkerhetsåtgärder, se översikten över VirusTotal 360. Kontakta våra VirusTotal-specialister för att få veta mer.

Delas data med VirusTotal-rapporter utan administratörsåtgärder?

Nej. All funktionalitet baseras på att din administratör väljer att visa VirusTotal-rapporten. Först efter att din administratör har utfört denna åtgärd delas filhashen, domänen eller IP-adressen med VirusTotal för att begära riskbedömningsrapporten för den valda enheten.

Om jag är en VT Enterprise-kund, använder visning av VirusTotal-rapporter i varningscentret min kvot?

Nej. Att öppna VirusTotal-rapporter i varningscentret använder inte någon av din VT Enterprise-kvot. Om en administratör öppnar VirusTotal-webbplatsen för att göra mer research från varningscentret räknas det mot standardkvotanvändningen på samma sätt som att besöka virustotal.com direkt.

Delas filer?

Nej. Endast filhashkoder skickas till VirusTotal.

Delas e-postadresser?

Nej. Endast domändelen av e-postadressen skickas till VirusTotal.