Visualizzare i report di VirusTotal dal Centro avvisi

Ottenere ulteriori informazioni importanti sulla sicurezza relative agli avvisi

Per visualizzare i report di VirusTotal dal Centro avvisi, un super amministratore deve assegnarti il privilegio Centro avvisi > Accesso completo > Visualizza report di VirusTotal. Gli amministratori devono anche avere una delle seguenti versioni di Google Workspace: Frontline Plus; Business Plus, Enterprise Standard, Enterprise Plus, Education Standard o Education Plus.

VirusTotal, ora parte di Google Cloud, fornisce i dati sul contesto e la reputazione delle minacce per agevolare l'analisi di file, URL, domini e indirizzi IP sospetti al fine di rilevare le minacce alla cybersicurezza. I report di VirusTotal offrono molti dettagli raccolti con il crowdsourcing sul motivo per cui un dominio, un file allegato o un indirizzo IP potrebbe essere considerato a rischio. Per maggiori dettagli, visita il sito web di VirusTotal.

Puoi accedere ai report di VirusTotal direttamente dalla pagina Dettagli avviso del Centro avvisi. In questo modo potrai consultare i dati sul contesto e sulla reputazione della minaccia relativi a un avviso specifico. Ad esempio, un report di VirusTotal potrebbe avvisarti che un determinato dominio è stato segnalato come dannoso da diversi fornitori di prodotti per la sicurezza.

Nota:

  • VirusTotal non viene utilizzato per generare avvisi di sicurezza né per rilevare malware o altre minacce alla sicurezza. VirusTotal espande i dettagli dell'avviso e fornisce ulteriori insight sulla sicurezza, aiutandoti a prendere delle decisioni quando affronti dei problemi di sicurezza.
  • I dati (domini, indirizzi IP o hash di allegati file) vengono condivisi con VirusTotal solo dopo che l'amministratore seleziona la visualizzazione del report di VirusTotal. Nessun altro dato viene condiviso.
  • I dati di VirusTotal vengono condivisi con la più ampia community dedicata alla sicurezza. Questo consente ai fornitori di prodotti per la sicurezza di collaborare tra loro, condividere dettagli importanti e intervenire per combattere le minacce alla sicurezza.
  • Puoi anche visualizzare i report di VirusTotal dallo strumento di indagine sulla sicurezza per ottenere informazioni aggiuntive sulla sicurezza relative agli allegati email. Per maggiori dettagli, vedi Visualizzare i report di VirusTotal dallo strumento di indagine.

Visualizzare i report di VirusTotal

Per visualizzare i report di VirusTotal dalla pagina dei dettagli dell'avviso:

  1. Nella Console di amministrazione Google, vai al Menu e poi Sicurezzae poiCentro avvisi.

    Per questa attività, devi aver eseguito l'accesso come super amministratore.

  2. Per visualizzare ulteriori dettagli, fai clic su un avviso specifico per aprire la pagina dei dettagli dell'avviso.
  3. Nella sezione Dettagli chiave o messaggi, fai clic su Report di VirusTotal. Questa opzione è disponibile per gli avvisi che contengono domini (in genere sono parte dell'indirizzo email dell'attore, degli indirizzi IP o degli hash dei file allegati).

Il report di VirusTotal include più sezioni con dettagli sulle potenziali minacce alla sicurezza. Ad esempio, puoi visualizzare un elenco di fornitori di prodotti per la sicurezza che hanno contrassegnato un file come dannoso e visualizzare i risultati delle scansioni dei file per ognuno dei fornitori.

Versioni Standard ed Enhanced dei report di VirusTotal

Esistono due versioni del report di VirusTotal: Standard ed Enhanced. La versione Standard viene visualizzata per gli amministratori con il privilegio Centro avvisi che hanno una delle versioni richieste di Google Workspace. La versione Enhanced viene mostrata automaticamente agli utenti con abbonamento a pagamento a VirusTotal che hanno una sessione di accesso a virustotal.com attiva con il proprio account utente VT Enterprise.

Per ulteriori informazioni su VT Enterprise e per richiedere una versione di prova, vedi la panoramica dei servizi sul sito web di VirusTotal. Per registrarti a VT Enterprise, invia questo modulo.

Funzionalità incluse nella versione Standard

La versione Standard dei report di VirusTotal include quanto segue:

  • Identificazione osservabile: identificatori e caratteristiche che consentono di fare riferimento alla minaccia e di condividerla con altri analisti (ad esempio, hash di file).
  • Reputazione della minaccia : valutazioni del grado di pericolosità provenienti da più di 70 fornitori di prodotti per la sicurezza, ad esempio soluzioni antivirus, aziende del settore della sicurezza, liste bloccate di reti e altro ancora.
  • Diffusione della minaccia nel tempo : date chiave che consentono di capire quando una determinata minaccia è stata osservata in circolazione per la prima volta e da quanto tempo è attiva.
  • Ricerca WHOIS di dominio/IP: dettagli su registrar e registrante per i domini, nonché informazioni sulla proprietà e sull'intervallo di rete per gli indirizzi IP.
  • Metadati relativi alla sicurezza di domini e server: certificati HTTPS per i server web, record di risoluzione DNS e intestazioni HTTP di server web.

Funzionalità incluse nella versione Enhanced

La versione Enhanced dei report di VirusTotal include le stesse funzionalità fornite nella versione Standard più gli elementi seguenti:

  • Rilevamento multiangolare: analisi delle minacce aggiuntiva derivante da corrispondenze di regole raccolte in crowdsourcing e punteggi di community (ad esempio, regole YARA, Sigma e IDS).
  • Indicatori di compromissione correlati (IOC): alcuni esempi di IOC sono un'infrastruttura di rete che distribuisce un file di malware, server che agiscono da centro di comando e controllo per una minaccia specifica, URL dannosi visti in un dato dominio, domini rilevati dietro un determinato indirizzo IP e altro ancora.
  • Grafico interattivo delle minacce: formato grafico che offre una mappa di intere campagne di minacce mostrando le relazioni tra gli IOC.
  • Metadati relativi alla sicurezza: include le informazioni sui publisher del software, l'identificazione delle macro dannose nei documenti, il ranking della popolarità per i domini, la categorizzazione dei contenuti dei domini e altro ancora.
  • Dettagli sulla circolazione : dettagli relativi alla diffusione geografica e temporale di minacce, tecniche fraudolente comuni degli utenti malintenzionati e altro ancora, attraverso i metadati di invio di VirusTotal.
  • Pivoting degli attributi sospetti: dettagli selezionabili nei report di VirusTotal, che consentono di esplorare il set di dati globale di VirusTotal alla ricerca di altre minacce che condividono le stesse proprietà.

Vantaggi e casi d'uso per la versione Enhanced

  • Rilevamento ottimizzato delle minacce: sfrutta le regole raccolte in crowdsourcing per identificare e ottenere il contesto per le minacce anche quando non sono ampiamente note tra i fornitori di prodotti per la sicurezza.
  • Maggiore velocità di indagini e processi decisionali: puoi ottimizzare l'efficienza del team addetto alla sicurezza integrando i rilevamenti fatti internamente con il contesto in crowdsourcing. Gli avversari prendono di mira anche le altre organizzazioni e le tracce di questi attacchi risultano in VirusTotal, completando il quadro per il team addetto alla sicurezza. Con la versione Enhanced dei report di VirusTotal, eliminare i falsi positivi e confermare e riassegnare i veri positivi richiede molto meno tempo.
  • Miglioramento del rimedio alle minacce: utilizza il grafico interattivo delle minacce e gli elementi correlati per identificare gli IOC relativi a un avviso pertinente e per comprendere a fondo l'impatto di un attacco sulla tua organizzazione, eseguendo una ricerca nei dati di telemetria della sicurezza. Ad esempio: VirusTotal ha rilevato file di malware scaricati da un dominio in uno dei tuoi avvisi? Se sì, qualcuno di quegli hash è stato individuato nella rete?
  • Strategia di difesa proattiva: puoi passare a VT Enterprise e identificare l'infrastruttura della minaccia che potrebbe non essere stata messa in evidenza nei log. In alternativa, puoi identificare altro malware attivato dallo stesso attore della minaccia e bloccarlo nel perimetro e negli endpoint della rete prima che abbia un impatto sull'organizzazione. Ad esempio: passa agli altri domini registrati dallo stesso attore della minaccia che potrebbero non essere stati ancora utilizzati in una campagna e bloccali preventivamente nel caso in cui possano essere utilizzati ai danni della tua azienda.

Per maggiori dettagli sulle funzionalità dei report di VirusTotal, vedi la panoramica dei servizi sul sito web di VirusTotal. Vedi anche How it works - VirusTotal (Come funziona - VirusTotal) o contattaci per saperne di più.

Registrarsi per un account VT Enterprise

Come descritto sopra, i report di VirusTotal possono includere servizi di intelligence aggiuntivi e funzionalità avanzate per la gestione delle minacce con la versione Enhanced dei report di VirusTotal. Per ulteriori dettagli e per registrarti per VT Enterprise, rivolgiti al team di VirusTotal.

VirusTotal è un prodotto Alphabet che analizza file, URL, domini e indirizzi IP sospetti per rilevare malware e altri tipi di minacce e li condivide automaticamente con la community per la sicurezza informatica.

Per visualizzare i report di VirusTotal, sarà necessario inviare gli hash di allegati file, gli indirizzi IP o i domini a VirusTotal.

Utilizzando VirusTotal, riconosci e accetti che i Termini di servizio e le Norme sulla privacy di VirusTotal vengano applicati ai dati che invii e che VirusTotal possa condividere i dati da te inviati con la community per la sicurezza informatica.

Domande comuni

È previsto un costo aggiuntivo per l'utilizzo della versione Standard dei report di VirusTotal?

No. La versione Standard dei report di VirusTotal è disponibile per gli amministratori con il privilegio Centro avvisi che utilizzano una delle versioni seguenti: Frontline Plus, Business Plus, Enterprise Standard, Enterprise Plus, Education Standard ed Education Plus.

Se vuoi ottimizzare l'esperienza e migliorare i processi decisionali e le competenze di indagine tramite dati avanzati sul contesto e la reputazione delle minacce, devi avere un abbonamento a VT Enterprise a pagamento.

L'esperienza è diversa per i clienti di VirusTotal a pagamento?

Sì. Se hai un abbonamento a pagamento a VirusTotal, noto anche come VT Enterprise, usufruirai di una visualizzazione avanzata dei risultati nel Centro avvisi senza alcun impatto sulla tua quota di VirusTotal. La quota viene usata solo se apri le pagine di virustotal.com.

Come faccio a registrarmi per VT Enterprise per poter usufruire della versione Enhanced dei report di VirusTotal?

Per ulteriori informazioni su VT Enterprise e per richiedere una versione di prova, vedi la panoramica dei servizi sul sito web di VirusTotal. Per registrarti a VT Enterprise, invia questo modulo.

Oltre alla versione Enhanced dei report di VirusTotal, esistono altri vantaggi offerti dall'abbonamento a VT Enterprise?

Sì. Con VT Enterprise, puoi implementare altri casi d'uso particolarmente pertinenti per i centri operativi per la sicurezza, i team dei servizi di emergenza informatica, i team addetti alla risposta agli incidenti e le unità di intelligence contro le minacce informatiche:

  • Arricchimento automatizzato dei dati di telemetria sulla sicurezza: include l'assegnazione della priorità agli avvisi, l'eliminazione dei falsi positivi, la conferma dei veri positivi e la correlazione della confidenza.
  • Risposta agli incidenti e analisi forense: include l'assegnazione di priorità agli avvisi di operazioni per la sicurezza, l'analisi e il contesto degli incidenti, il rilevamento di elementi e l'identificazione degli IOC.
  • Intelligence e ricerca avanzata delle minacce: include il rilevamento di minacce sconosciute, il monitoraggio delle campagne per le minacce, il monitoraggio degli avversari, l'identificazione preventiva degli IOC, l'esplorazione del panorama delle minacce e la consapevolezza della situazione.
  • Monitoraggio anti-phishing, di attività fraudolente, brand e infrastruttura aziendale: include il monitoraggio delle campagne per il phishing, l'analisi di banking trojan e infostealer, il monitoraggio dei furti di identità dei brand, la distribuzione di malware e l'identificazione dell'uso illegittimo dell'infrastruttura aziendale.
  • Red teaming ed ethical hacking: include il riconoscimento e il fingerprinting passivo, la simulazione di violazioni e attacchi, la convalida degli stack di sicurezza.
  • Priorità delle vulnerabilità: include le strategie correttive intelligenti basate sul rischio, il monitoraggio della trasformazione offensiva delle vulnerabilità in circolazione e la mappatura tra attori delle minacce e sfruttamento delle vulnerabilità.

Per maggiori dettagli sul modo in cui VT Enterprise può ottimizzare le operazioni per la sicurezza, vedi la panoramica a 360 gradi di VirusTotal. Per saperne di più, contatta i nostri specialisti di VirusTotal.

I dati vengono condivisi nei report di VirusTotal senza azioni amministrative?

No. Tutte le funzioni si basano sulla selezione da parte dell'amministratore della visualizzazione del report di VirusTotal. Solo dopo che l'amministratore esegue questa azione, l'hash del file, il dominio o l'indirizzo IP vengono condivisi con VirusTotal per richiedere il report sull'analisi del rischio in relazione all'entità selezionata.

Se sono un cliente di VT Enterprise, la visualizzazione dei report di VirusTotal nel Centro avvisi usa la mia quota?

No. Se apri i report di VirusTotal nel Centro avvisi, la tua quota di VT Enterprise non viene utilizzata. Se un amministratore apre il sito web di VirusTotal per effettuare altre ricerche dal Centro avvisi, questa azione verrà calcolata a carico della quota standard esattamente come se visitasse direttamente il sito virustotal.com.

I file vengono condivisi?

No. Solo gli hash dei file vengono inviati a VirusTotal.

Gli indirizzi email vengono condivisi?

No. Solo la porzione del dominio dell'indirizzo email viene inviata a VirusTotal.