צפייה בדוחות VirusTotal ממרכז ההתראות

קבלת תובנות נוספות לגבי אבטחה שקשורות להתראות

כדי לצפות בדוחות של VirusTotal ממרכז ההתראות, אדמין העל צריך להקצות לכם את ההרשאה מרכז ההתראות > גישה מלאה > צפייה בדוחות של VirusTotal. בנוסף, לאדמינים צריכה להיות אחת מהמהדורות הבאות של Google Workspace: ‏ Frontline Plus,‏ Business Plus,‏ Enterprise Standard,‏ Enterprise Plus,‏ Education Standard או Education Plus.

‫VirusTotal, שמשולב עכשיו ב-Google Cloud, מספק נתונים על הקשר ומוניטין של איומים כדי לעזור לנתח קבצים, כתובות URL, דומיינים וכתובות IP חשודים ולזהות איומים על אבטחת הסייבר. דוחות VirusTotal מספקים פרטים רבים ממקורות המונים על הסיבות לכך שדומיין, קובץ מצורף או כתובת IP עשויים להיחשב מסוכנים. (פרטים נוספים זמינים באתר VirusTotal).

אפשר לגשת ישירות לדוחות של VirusTotal מדף פרטי ההתראה במרכז ההתראות. כך תוכלו לקבל הקשר לגבי האיום ונתוני מוניטין שרלוונטיים להתראה ספציפית. לדוגמה, בדוח של VirusTotal יכול להיות שיופיעו נתונים של כמה ספקי אבטחה שסימנו דומיין מסוים כזדוני.

הערה:

  • ‫VirusTotal לא משמש ליצירת התראות אבטחה, וגם לא לזיהוי תוכנות זדוניות או איומי אבטחה אחרים. ‫VirusTotal מרחיב את פרטי ההתראות על ידי מתן תובנות נוספות בנושא אבטחה, ועוזר לכם לקבל החלטות כשאתם מטפלים בבעיות אבטחה.
  • הנתונים (דומיינים, כתובות IP או גיבובים של קבצים מצורפים) משותפים עם VirusTotal רק אחרי שהאדמין בוחר להציג את הדוח של VirusTotal. לא מתבצע שיתוף של נתונים אחרים.
  • הנתונים של VirusTotal משותפים עם קהילת האבטחה הרחבה. כך ספקי אבטחה יכולים לשתף פעולה ביניהם, לשתף פרטים חשובים ולפעול כדי להתמודד עם איומי אבטחה.
  • אפשר גם להציג דוחות של VirusTotal מהכלי לחקירת אבטחה כדי לקבל תובנות נוספות בנושא אבטחה שקשורות לקבצים מצורפים באימייל. פרטים נוספים מופיעים במאמר בנושא צפייה בדוחות VirusTotal מכלי החקירה.

צפייה בדוחות ‏VirusTotal

כדי לצפות בדוחות VirusTotal מדף פרטי ההתראה:

  1. במסוף Google Admin, נכנסים לתפריט ואז אבטחהואזמרכז ההתראות.

    כדי לבצע את המשימה הזו אתם צריכים להיות מחוברים לחשבון בתור סופר-אדמינים.

  2. כדי לראות פרטים נוספים, לוחצים על התראה ספציפית כדי לפתוח את דף פרטי ההתראה.
  3. בקטע פרטים חשובים או הודעות, לוחצים על הצגת דוח VirusTotal. האפשרות הזו זמינה להתראות שמכילות דומיינים (בדרך כלל חלק מכתובת האימייל של הגורם המבצע, כתובות IP או גיבובים של קבצים מצורפים).

הדוח של VirusTotal כולל כמה קטעים עם פרטים על איומי אבטחה פוטנציאליים. לדוגמה, תוכלו לראות רשימה של ספקי אבטחה שסימנו קובץ כמזיק, וגם לראות את תוצאות הסריקה של הקובץ אצל כל אחד מהספקים האלה.

גרסאות רגילות ומשופרות של דוחות VirusTotal

יש שתי גרסאות של דוח VirusTotal: רגילה ומשופרת. הגרסה הרגילה מוצגת לאדמינים שיש להם הרשאה למרכז ההתראות, ויש להם אחת מהמהדורות הנדרשות של Google Workspace. הגרסה המשופרת מוצגת באופן אוטומטי למנויים בתשלום של VirusTotal שיש להם סשן פעיל של התחברות ל-virustotal.com עם חשבון המשתמש שלהם ב-VT Enterprise.

מידע נוסף על VT Enterprise ובקשה לניסיון ללא תשלום זמינים בסקירה הכללית על השירותים באתר VirusTotal. כדי להירשם ל-VT Enterprise, צריך לשלוח את הטופס הזה.

תכונות שכלולות בגרסת Standard

הגרסה הרגילה של דוחות VirusTotal כוללת את הפרטים הבאים:

  • זיהוי שניתן לצפייה – מזהים ומאפיינים שמאפשרים להתייחס לאיום ולשתף אותו עם אנליסטים אחרים (לדוגמה, גיבוב קבצים).
  • מוניטין של איומים – הערכות של תוכנות זדוניות שמגיעות מ-70 ספקי אבטחה ומעלה, כולל פתרונות אנטי-וירוס, חברות אבטחה, רשימות חסימה של רשתות ועוד.
  • התפשטות האיום בזמן – תאריכים חשובים שמאפשרים להבין מתי נצפה איום מסוים לראשונה בטבע וכמה זמן הוא פעיל.
  • חיפוש ב-WHOIS של דומיין או כתובת IP – פרטים של רשם הדומיין ושל רושם הדומיין, וגם פרטים על הבעלות ועל טווח הרשת של כתובות IP.
  • מטא-נתונים שרלוונטיים לאבטחת דומיין ושרת – אישורי HTTPS לשרתי אינטרנט, רשומות של פתרון DNS וכותרות HTTP של שרתי אינטרנט.

תכונות שכלולות בגרסה המשופרת

הגרסה המשופרת של דוחות VirusTotal כוללת את אותן תכונות שזמינות בגרסה הרגילה, בנוסף לתכונות הבאות:

  • זיהוי רב-זוויתי – ניתוח איומים נוסף שמגיע מהתאמות לכללים שמקורם במיקור המונים ומהניקוד של הקהילה (לדוגמה, YARA,‏ Sigma וכללי IDS).
  • אינדיקטורים קשורים לפריצה (IOC) – דוגמאות לאינדיקטורים לפריצה כוללות תשתית רשת שמפיצה קובץ תוכנה זדונית, שרתים שפועלים כמרכז שליטה לאיום מסוים, כתובות URL זדוניות שמופיעות בדומיין מסוים, דומיינים שמופיעים מאחורי כתובת IP מסוימת ועוד.
  • תרשים אינטראקטיבי של איומים – פורמט גרפי שממפה קמפיינים שלמים של איומים על ידי הצגת הקשרים בין IOC.
  • מטא-נתונים שקשורים לאבטחה – כולל מידע על מפרסם התוכנה, זיהוי של פקודות מאקרו זדוניות במסמכים, דירוגים של פופולריות של דומיינים, סיווג של תוכן דומיין ועוד.
  • פרטים על איומים פעילים – פרטים על איומים שמתפשטים בזמן ובמרחב, טכניקות נפוצות להונאה של תוקפים ועוד, באמצעות מטא-נתונים של שליחת קבצים ל-VirusTotal.
  • הצגת נתונים על סמך מאפיינים חשודים – פרטים קליקביליים בדוחות של VirusTotal, שמאפשרים לכם לחפש במערך הנתונים הגלובלי של VirusTotal איומים אחרים שכוללים את אותם מאפיינים.

יתרונות ודוגמאות לשימוש בגרסה המשופרת

  • זיהוי איומים משופר – שימוש בכללים שמבוססים על מיקור המונים כדי לאתר איומים ולקבל הקשר לגביהם, גם אם הם עדיין לא מוכרים לספקי אבטחה.
  • חקירות מזורזות וקבלת החלטות מהירה – שיפור היעילות של צוות האבטחה על ידי הוספת הקשר שמגיע ממקורות המונים לזיהויים פנימיים בלבד. גורמים עוינים מכוונים גם לארגונים אחרים, והפעילות שלהם מופיעה ב-VirusTotal. כך צוות האבטחה שלכם יכול לקבל תמונה מלאה יותר. הגרסה המשופרת של דוחות VirusTotal מאפשרת לבטל תוצאות חיוביות כוזבות, לאשר תוצאות חיוביות אמיתיות ולהעביר אותן לטיפול ברמה גבוהה יותר, והכול במהירות רבה יותר.
  • שיפור הטיפול באיומים – אפשר להשתמש בתרשים האיומים האינטראקטיבי ובארטיפקטים קשורים כדי לזהות אינדיקטורים של פריצה (IOC) שקשורים להתראה רלוונטית, ולהשתמש בהם כדי להבין באופן מלא את ההשפעה של מתקפה על הארגון על ידי חיפוש בטלמטריית האבטחה. לדוגמה: האם VirusTotal זיהה קבצים של תוכנות זדוניות שהורדו מדומיין באחת מההתראות שלכם? אם כן, האם אחד מהגיבובים האלה נראה ברשת שלך?
  • אסטרטגיית הגנה פרואקטיבית – אתם יכולים לעבור ל-VT Enterprise ולזהות תשתית איומים שאולי לא הופיעה ביומנים שלכם. או שתוכלו לזהות תוכנות זדוניות אחרות שמופעלות על ידי אותו גורם איומים, ולחסום את התוכנות הזדוניות האלה בפריפריה של הרשת ובנקודות הקצה לפני שהן ישפיעו על הארגון שלכם. לדוגמה: מעבר לדומיינים אחרים שנרשמו על ידי אותו גורם מאיים, שאולי עדיין לא נעשה בהם שימוש בקמפיין, ואז חסימה מונעת של הדומיינים האלה למקרה שבסופו של דבר ייעשה בהם שימוש נגד החברה שלכם.

פרטים נוספים על התכונות של דוח VirusTotal זמינים בסקירה הכללית של השירות באתר VirusTotal. אפשר גם לעיין במאמר איך זה עובד – VirusTotal או לפנות אלינו לקבלת מידע נוסף.

הרשמה לחשבון VT Enterprise

כפי שמתואר למעלה, דוחות של VirusTotal יכולים לכלול שירותים נוספים של מודיעין איומים ותכונות מתקדמות בגרסה המשופרת של דוחות VirusTotal. כדי לקבל פרטים נוספים ולהירשם ל-VT Enterprise, אפשר לפנות לצוות של VirusTotal.

‫VirusTotal הוא מוצר של Alphabet שמנתח קבצים, כתובות URL, דומיינים וכתובות IP חשודים כדי לזהות תוכנות זדוניות וסוגים אחרים של איומים, ומשתף אותם באופן אוטומטי עם קהילת האבטחה.

כדי לראות את הדוחות של VirusTotal, תצטרכו לשלוח ל-VirusTotal גיבובים של קבצים מצורפים, כתובות IP או דומיינים.

השימוש ב-VirusTotal מעיד על כך שאתם מאשרים שהתנאים וההגבלות ומדיניות הפרטיות של VirusTotal חלים על הנתונים ששלחתם, ו-VirusTotal עשוי לשתף את הנתונים ששלחתם עם קהילת האבטחה.

שאלות נפוצות

האם השימוש בגרסה הרגילה של דוחות VirusTotal כרוך בעלות נוספת?

לא. גרסת Standard של דוחות VirusTotal זמינה לאדמינים שיש להם הרשאה למרכז ההתראות, ושמשתמשים באחת מהמהדורות הבאות: Frontline Plus, ‏ Business Plus, ‏ Enterprise Standard, ‏ Enterprise Plus, ‏ Education Standard ו-Education Plus.

אם אתם רוצים לשפר את חוויית השימוש, את יכולת קבלת ההחלטות ואת יכולות החקירה באמצעות הקשר ומוניטין מתקדמים של איומים, אתם צריכים מינוי בתשלום ל-VT Enterprise.

האם חוויית השימוש שונה עבור לקוחות VirusTotal בתשלום?

כן. אם יש לכם מינוי בתשלום ל-VirusTotal, שנקרא גם VT Enterprise, תוכלו לראות תוצאות משופרות במרכז ההתראות בלי שהדבר ישפיע על המכסה שלכם ב-VirusTotal. המיכסה משמשת רק כשפותחים דפים בכתובת virustotal.com.

איך אפשר להירשם ל-VT Enterprise כדי ליהנות מהגרסה המשופרת של דוחות VirusTotal?

מידע נוסף על VT Enterprise ובקשה לניסיון ללא תשלום זמינים בסקירה הכללית על השירותים באתר VirusTotal. כדי להירשם ל-VT Enterprise, צריך לשלוח את הטופס הזה.

בנוסף לגרסה המשופרת של דוחות VirusTotal, האם יש עוד יתרונות למינוי VT Enterprise?

כן. בעזרת VT Enterprise, אפשר ליישם תרחישי שימוש אחרים שרלוונטיים במיוחד למרכזי פעולות אבטחה, לצוותי תגובה למקרי חירום במחשבים, לצוותי תגובה לאירועים וליחידות מודיעין איומים:

  • העשרה אוטומטית של טלמטריית אבטחה – כולל תעדוף התראות, ביטול תוצאות חיוביות שגויות, אישור תוצאות חיוביות אמיתיות ומתאם של רמת הוודאות.
  • תגובה לאירועים וניתוח פורנזי – כולל תעדוף של התראות על פעולות אבטחה, ניתוח אירועים והקשר, גילוי ארטיפקטים וזיהוי של אינדיקטורים של פריצה (IOC).
  • מודיעין איומים וחיפוש מתקדם – כולל גילוי איומים לא מוכרים, מעקב אחרי קמפיינים של איומים, מעקב אחרי תוקפים, זיהוי מונע של אינדיקטורים של פריצה (IOC), חקר סביבת האיומים ומודעות למצב.
  • מעקב אחרי פישינג, הונאות, מותגים וניטור של תשתית ארגונית – כולל מעקב אחרי קמפיינים של פישינג, ניתוח של סוס טרויאני בנקאי וגניבת מידע, מעקב אחרי התחזות למותג, הפצה של תוכנות זדוניות וזיהוי של ניצול לרעה של תשתית ארגונית.
  • בדיקות חדירה ופריצה אתית – כולל סיור ואיסוף מידע, טביעת אצבע פסיבית, סימולציה של פריצה והתקפה ואימות של מערך האבטחה.
  • תעדוף פגיעויות – כולל אסטרטגיות חכמות לתיקון חולשות שמבוססות על סיכונים, מעקב אחר ניצול פגיעויות בטבע ומיפוי של שחקני איומים לניצול פגיעויות.

לפרטים נוספים על האופן שבו VT Enterprise יכול לשפר את פעולות האבטחה, אפשר לעיין בסקירה הכללית של VirusTotal 360. לקבלת מידע נוסף, אפשר לפנות למומחים שלנו ב-VirusTotal.

האם הנתונים משותפים לדוחות של VirusTotal ללא פעולות של אדמין?

לא. כל הפונקציונליות מבוססת על בחירה של האדמין להציג את הדוח של VirusTotal. רק אחרי שהאדמין מבצע את הפעולה הזו, הגיבוב של הקובץ, הדומיין או כתובת ה-IP משותפים עם VirusTotal כדי לבקש את דוח הערכת הסיכון לגבי הישות שנבחרה.

אם יש לי מינוי ל-VT Enterprise, האם הצפייה בדוחות של VirusTotal במרכז ההתראות תנכה מהמכסה שלי?

לא. פתיחת דוחות של VirusTotal במרכז ההתראות לא צורכת מהמכסה של VT Enterprise. אם אדמין יפתח את האתר של VirusTotal כדי לבצע מחקר נוסף ממרכז ההתראות, הפעולה הזו תיחשב לשימוש במכסת הנתונים הרגילה, בדיוק כמו כניסה ישירה לכתובת virustotal.com.

האם הקבצים משותפים?

לא. רק גיבובים של קבצים נשלחים אל VirusTotal.

האם כתובות האימייל משותפות?

לא. רק החלק של הדומיין בכתובת האימייל נשלח אל VirusTotal.