Cómo consultar los informes de VirusTotal desde el Centro de alertas

Obtén estadísticas de seguridad adicionales relacionadas con las alertas

Para ver los informes de VirusTotal desde el Centro de alertas, un administrador avanzado debe asignarte el privilegio Centro de alertas > Acceso completo > Ver los informes de VirusTotal. Los administradores también deben tener una de las siguientes ediciones de Google Workspace: Frontline Plus; Business Plus, Enterprise Standard, Enterprise Plus, Education Standard o Education Plus.

VirusTotal, que ahora forma parte de Google Cloud, proporciona datos sobre el contexto y la reputación de las amenazas para ayudar a analizar archivos, URLs, dominios y direcciones IP sospechosos y detectar amenazas de ciberseguridad. Los informes de VirusTotal proporcionan muchos detalles recopilados de forma colectiva sobre el motivo por el que se consideraría riesgoso un dominio, un archivo adjunto o una dirección IP. (Para obtener más detalles, consulta el sitio web de VirusTotal).

Puedes acceder directamente a los informes de VirusTotal desde la página de detalles de la alerta en el Centro de alertas. Esto te permite obtener datos de reputación y contexto de amenazas relevantes para una alerta específica. Por ejemplo, un informe de VirusTotal podría mostrarte que varios proveedores de seguridad marcaron un dominio específico como malicioso.

Nota:

  • VirusTotal no se usa para generar alertas de seguridad ni para detectar software malicioso o cualquier otra amenaza de seguridad. VirusTotal amplía los detalles de las alertas proporcionando más estadísticas de seguridad y ayudándote a tomar decisiones cuando abordas inquietudes relacionadas con la seguridad.
  • Los datos (dominios, direcciones IP o hash de archivos adjuntos) solo se comparten con VirusTotal después de que el administrador decide ver el informe de VirusTotal. De lo contrario, no se comparten datos.
  • Los datos de VirusTotal se comparten con la comunidad de seguridad en general. Esto permite que los proveedores de seguridad colaboren entre sí, compartan detalles importantes y tomen medidas para combatir las amenazas de seguridad.
  • También puedes ver los informes de VirusTotal desde la herramienta de investigación de seguridad para obtener estadísticas de seguridad adicionales relacionadas con los archivos adjuntos de correos electrónicos. Para obtener más información, consulta Consulta informes de VirusTotal en la herramienta de investigación.

Ver los informes de VirusTotal

Para ver los informes de VirusTotal desde la página de detalles de la alerta, sigue estos pasos:

  1. En la Consola del administrador de Google, ve a Menú y luego Seguridady luegoCentro de alertas.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. Para ver más detalles, haz clic en una alerta específica y abre la página de detalles de la alerta.
  3. En la sección Detalles clave o mensajes, haz clic en Ver informe de VirusTotal. Esta opción está disponible para las alertas que contienen dominios (por lo general, forman parte de la dirección de correo electrónico del actor, las direcciones IP o los hashes de archivos adjuntos).

El informe de VirusTotal incluye varias secciones con detalles sobre posibles amenazas de seguridad. Por ejemplo, puedes ver una lista de los proveedores de seguridad que marcaron un archivo como malicioso y los resultados del análisis de archivos de cada uno de estos proveedores.

Versiones estándar y mejoradas de los informes de VirusTotal

El informe de VirusTotal tiene dos versiones: Estándar y Mejorada. La versión estándar se muestra para los administradores que tienen el privilegio del Centro de alertas y una de las ediciones requeridas de Google Workspace. La versión mejorada se muestra automáticamente a los suscriptores que pagan por VirusTotal que tienen una sesión activa iniciada en virustotal.com con su cuenta de usuario de VT Enterprise.

Para obtener más información sobre VT Enterprise y solicitar una prueba, consulta la descripción general de los servicios en el sitio web de VirusTotal. Para registrarte en VT Enterprise, envía este formulario.

Funciones incluidas en la versión estándar

La versión estándar de los informes de VirusTotal incluye lo siguiente:

  • Identificación observable: Identificadores y características que permiten hacer referencia a la amenaza y compartirla con otros analistas (por ejemplo, los hashes de archivos)
  • Reputación de la amenaza: Evaluaciones de elementos maliciosos procedentes de más de 70 proveedores de seguridad, que incluyen empresas de seguridad y proveedores de soluciones antivirus y listas de redes bloqueadas, entre otros
  • Tiempo de expansión de la amenaza: Fechas clave que permiten comprender cuándo se observó por primera vez una amenaza en circulación y cuánto tiempo ha estado activa
  • Búsqueda de IP y dominios en WHOIS: Detalles de los registradores y los registrantes de dominios, así como información sobre la propiedad y el rango de red correspondiente a direcciones IP
  • Metadatos relevantes sobre la seguridad de dominios y servidores: Certificados HTTPS para servidores web, registros de resolución de DNS y encabezados HTTP de servidores web

Funciones incluidas en la versión mejorada

La versión mejorada de los informes de VirusTotal incluye las mismas funciones que se proporcionan en la versión estándar, además de las siguientes:

  • Detección multiangular: Análisis adicional de amenazas procedente de la coincidencia de reglas de participación colectiva y de la puntuación de la comunidad (por ejemplo, reglas de YARA, Sigma y IDS)
  • Indicadores de compromiso (IOC) relacionados: Algunos ejemplos de IOC son una infraestructura de red que distribuye un archivo de software malicioso, servidores que actúan como comando y control de una amenaza determinada, URLs maliciosas vistas en un determinado dominio y dominios vistos detrás de una determinada dirección IP, entre otros.
  • Gráfico interactivo de amenazas: Formato gráfico que mapea campañas completas de amenazas mostrando las relaciones entre los IOC
  • Metadatos relevantes sobre seguridad: Contienen información sobre el publicador del software, identificación de macros maliciosas en documentos, clasificaciones de popularidad de los dominios y categorización del contenido de los dominios, entre otros datos
  • Detalles de las amenazas en circulación: Detalles geográficos y temporales de expansión de las amenazas, técnicas habituales de engaño de los atacantes, etc., a través de metadatos de envío de VirusTotal
  • Pivoteo a partir de atributos sospechosos: Detalles en los que se puede hacer clic dentro de los informes de VirusTotal, que permiten explorar el conjunto de datos global de VirusTotal en busca de otras amenazas que compartan las mismas propiedades

Beneficios y casos de uso de la versión mejorada

  • Detección de amenazas mejorada: Aprovecha las reglas de participación colectiva para identificar y obtener contexto sobre las amenazas, incluso cuando los proveedores de seguridad aún no las conocen ampliamente.
  • Investigaciones y toma de decisiones aceleradas: Aumenta la eficiencia de tu equipo de seguridad complementando los avistamientos internos con el contexto de fuentes externas. Los adversarios también atacan a otras organizaciones, y sus huellas aparecen en VirusTotal, lo que ayuda a completar el panorama para tu equipo de seguridad. Con la versión mejorada de los informes de VirusTotal, descartar los falsos positivos y confirmar y derivar los positivos verdaderos es mucho más rápido.
  • Mejora en la corrección de amenazas: Usa el gráfico de amenazas interactivo y los artefactos relacionados para identificar los IOC vinculados a una alerta pertinente y, luego, úsalos para comprender por completo el impacto de un ataque en tu organización a través de la telemetría de seguridad. Por ejemplo, ¿VirusTotal detectó archivos de software malicioso descargados desde un dominio en una de tus alertas? Si es así, ¿se vio alguno de esos hashes en tu red?
  • Estrategia de defensa proactiva: Puedes cambiar a VT Enterprise e identificar la infraestructura de amenazas que tal vez no haya aparecido en tus registros. También puedes identificar otro software malicioso operado por el mismo actor de amenazas y bloquearlo en el perímetro y los extremos de tu red antes de que afecte a tu organización. Por ejemplo, puedes cambiar a otros dominios registrados por el mismo actor de amenazas que aún no se hayan aprovechado en una campaña y, luego, bloquear preventivamente esos dominios en caso de que, finalmente, se utilicen contra tu empresa.

Para obtener más detalles sobre las funciones del informe de VirusTotal, consulta la descripción general de los servicios en el sitio web de VirusTotal. Consulta también Cómo funciona: VirusTotal o comunícate con nosotros para obtener más información.

Regístrate para obtener una cuenta de VT Enterprise

Como se describió anteriormente, los informes de VirusTotal pueden incluir servicios adicionales de inteligencia sobre amenazas y funciones avanzadas con la versión mejorada de los informes de VirusTotal. Para obtener más detalles y registrarte en VT Enterprise, comunícate con el equipo de VirusTotal.

VirusTotal es un producto de Alphabet que analiza archivos, URLs, dominios y direcciones IP sospechosos para detectar software malicioso y otros tipos de amenazas, y los comparte automáticamente con la comunidad de seguridad.

Para ver los informes de VirusTotal, deberás enviar los hash de los archivos adjuntos, las direcciones IP o los dominios a VirusTotal.

Al usar VirusTotal, reconoces que las Condiciones del Servicio y la Política de Privacidad de VirusTotal se aplican a los datos que envías, y que VirusTotal puede compartir el envío de tus datos con la comunidad de seguridad.

Preguntas frecuentes

¿Se cobra algún costo adicional por usar la versión estándar de los informes de VirusTotal?

No. La versión estándar de los informes de VirusTotal está disponible para los administradores que tienen el privilegio del Centro de alertas y que usan una de las siguientes ediciones: Frontline Plus, Business Plus, Enterprise Standard, Enterprise Plus, Education Standard y Education Plus.

Si deseas mejorar la experiencia y tus capacidades de toma de decisiones e investigación a través de la reputación y el contexto avanzado de amenazas, necesitas una suscripción pagada a VT Enterprise.

¿La experiencia es diferente para los clientes pagos de VirusTotal?

Sí. Si tienes una suscripción pagada a VirusTotal, también conocida como VT Enterprise, verás resultados mejorados en el Centro de alertas sin que se vea afectada tu cuota de VirusTotal. La cuota solo se usa cuando se abren páginas de virustotal.com.

¿Cómo puedo registrarme en VT Enterprise para aprovechar la versión mejorada de los informes de VirusTotal?

Para obtener más información sobre VT Enterprise y solicitar una prueba, consulta la descripción general de los servicios en el sitio web de VirusTotal. Para registrarte en VT Enterprise, envía este formulario.

Además de la versión mejorada de los informes de VirusTotal, ¿hay otras ventajas de suscribirse a VT Enterprise?

Sí. Con VT Enterprise, puedes implementar otros casos de uso que son particularmente relevantes para los centros de operaciones de seguridad, los equipos de respuesta ante emergencias informáticas, los equipos de respuesta ante incidentes y las unidades de inteligencia contra amenazas:

  • Enriquecimiento automatizado de la telemetría de seguridad: Esto incluye la clasificación de alertas, el descarte de falsos positivos, la confirmación de verdaderos positivos y la correlación de confianza.
  • Respuesta ante incidentes y análisis forense: Esto incluye la clasificación de alertas de operaciones de seguridad, el análisis y el contexto de incidentes, el descubrimiento de artefactos y la identificación de IOC.
  • Inteligencia sobre amenazas y búsqueda avanzada: Esto incluye el descubrimiento de amenazas desconocidas, la supervisión de campañas de amenazas, el seguimiento de adversarios, la identificación preventiva de IOC, la exploración del panorama de amenazas y la conciencia situacional.
  • Supervisión de la infraestructura corporativa, de la marca, contra el fraude y contra el phishing: Esto incluye el seguimiento de campañas de phishing, el análisis de troyanos bancarios y robo de información, la supervisión de la suplantación de identidad de la marca, la distribución de software malicioso y la identificación del abuso de la infraestructura corporativa.
  • Formación de equipos rojos y hacking ético: Esto incluye el reconocimiento y la identificación pasiva, la simulación de vulneraciones y ataques, y la validación de la pila de seguridad.
  • Priorización de vulnerabilidades: Esto incluye estrategias inteligentes de aplicación de parches basadas en el riesgo, supervisión de la explotación de vulnerabilidades en entornos reales y correlación entre agentes de amenazas y explotación de vulnerabilidades.

Para obtener más detalles sobre cómo VT Enterprise puede mejorar tus operaciones de seguridad, consulta la descripción general de 360° de VirusTotal. Para obtener más información, comunícate con nuestros especialistas de VirusTotal.

¿Los datos se comparten con los informes de VirusTotal sin que el administrador realice ninguna acción?

No. Todas las funciones se basan en que el administrador seleccione ver el informe de VirusTotal. Solo después de que el administrador realice esta acción, se compartirán el hash del archivo, el dominio o la dirección IP con VirusTotal para solicitar el informe de evaluación de riesgos sobre la entidad seleccionada.

Si soy cliente de VT Enterprise, ¿ver los informes de VirusTotal en el Centro de alertas usa mi cuota?

No. Abrir los informes de VirusTotal en el Centro de alertas no usa tu cuota de VT Enterprise. Si un administrador abre el sitio web de VirusTotal para investigar más desde el Centro de alertas, esa actividad cuenta como uso estándar de cuota del mismo modo que si visita directamente virustotal.com.

¿Se comparten los archivos?

No. Solo se envían los hash de los archivos a VirusTotal.

¿Se comparten las direcciones de correo electrónico?

No. Solo se envía la parte del dominio de la dirección de correo electrónico a VirusTotal.