Просматривайте отчеты VirusTotal из центра оповещений.

Получите дополнительную информацию о безопасности, связанную с оповещениями.

Для просмотра отчетов VirusTotal из центра оповещений вам необходимо, чтобы суперадминистратор предоставил вам привилегию « Центр оповещений > Полный доступ > Просмотр отчетов VirusTotal» . Администраторы также должны иметь одну из следующих версий Google Workspace: Frontline Plus; Business Plus, Enterprise Standard, Enterprise Plus, Education Standard или Education Plus.

VirusTotal, теперь входящий в состав Google Cloud, предоставляет данные о контексте угроз и репутации, помогая анализировать подозрительные файлы, URL-адреса, домены и IP-адреса для выявления угроз кибербезопасности. Отчеты VirusTotal содержат множество подробностей, полученных от пользователей, о том, почему домен, вложенный файл или IP-адрес могут считаться опасными. (Более подробную информацию можно найти на веб-сайте VirusTotal .)

Вы можете получить прямой доступ к отчетам VirusTotal со страницы сведений об оповещении в центре оповещений. Это позволяет получить контекст угрозы и данные о репутации, относящиеся к конкретному оповещению. Например, отчет VirusTotal может показать, что несколько поставщиков решений в области безопасности пометили определенный домен как вредоносный.

Примечание:

  • VirusTotal не используется для формирования оповещений о безопасности, а также для обнаружения вредоносных программ или других угроз безопасности. VirusTotal дополняет информацию об оповещениях, предоставляя дополнительные сведения о безопасности и помогая вам принимать решения при решении проблем, связанных с безопасностью.
  • Данные (домены, IP-адреса или хеши вложенных файлов) передаются в VirusTotal только после того, как ваш администратор выберет просмотр отчета VirusTotal. В противном случае данные не передаются.
  • Данные VirusTotal доступны широкому сообществу специалистов по безопасности. Это позволяет поставщикам решений в области безопасности сотрудничать друг с другом, обмениваться важной информацией и принимать меры по борьбе с угрозами безопасности.
  • Вы также можете просматривать отчеты VirusTotal из инструмента расследования инцидентов безопасности, чтобы получить дополнительную информацию о безопасности, связанной с вложениями в электронные письма. Подробнее см. раздел «Просмотр отчетов VirusTotal из инструмента расследования инцидентов» .

Просмотреть отчеты VirusTotal

Чтобы просмотреть отчеты VirusTotal на странице с подробными сведениями о предупреждениях:

  1. В консоли администратора Google перейдите в меню. а потом Безопасность а потом Центр оповещений .

    Для выполнения этой задачи необходимо войти в систему как суперадминистратор .

  2. Для просмотра более подробной информации щелкните по конкретному оповещению, чтобы открыть страницу с подробными сведениями.
  3. В разделе «Ключевые сведения или сообщения» нажмите «Просмотреть отчет VirusTotal» . Эта опция доступна для оповещений, содержащих домены (обычно это часть адреса электронной почты злоумышленника, IP-адреса или хеши вложенных файлов).

Отчет VirusTotal содержит несколько разделов с подробной информацией о потенциальных угрозах безопасности. Например, вы можете просмотреть список поставщиков решений в области безопасности, которые пометили файл как вредоносный, а также результаты сканирования файлов для каждого из этих поставщиков.

Стандартная и расширенная версии отчетов VirusTotal

Отчет VirusTotal имеет две версии: Standard и Enhanced. Стандартная версия отображается для администраторов, имеющих права доступа к центру оповещений и использующих одну из необходимых версий Google Workspace. Расширенная версия автоматически отображается для платных подписчиков VirusTotal , имеющих активную сессию входа на virustotal.com с использованием своей учетной записи VT Enterprise .

Для получения дополнительной информации о VT Enterprise и запроса пробной версии ознакомьтесь с обзором услуг на веб-сайте VirusTotal. Чтобы зарегистрироваться в VT Enterprise, заполните эту форму .

Функции, включенные в стандартную версию

В стандартную версию отчетов VirusTotal входят следующие данные:

  • Наблюдаемая идентификация — идентификаторы и характеристики, позволяющие идентифицировать угрозу и поделиться ими с другими аналитиками (например, хеши файлов).
  • Репутация угрозы — оценки уровня вредоносности, полученные от более чем 70 поставщиков решений в области безопасности, включая антивирусные программы, компании, занимающиеся информационной безопасностью, списки блокировки сетей и многое другое.
  • Временной интервал угрозы — ключевые даты, позволяющие понять, когда та или иная угроза была впервые обнаружена в дикой природе и как долго она оставалась активной.
  • Поиск информации о домене/IP-адресе через Whois — данные регистратора и владельца домена, а также информация о владельце и диапазоне IP-адресов.
  • Метаданные, имеющие отношение к безопасности домена и сервера — HTTPS-сертификаты для веб-серверов, записи разрешения DNS и заголовки HTTP веб-серверов.

Функции, включенные в расширенную версию

Расширенная версия отчетов VirusTotal включает в себя те же функции, что и стандартная версия, а также следующие возможности :

  • Многоугловое обнаружение — дополнительный анализ угроз, основанный на сопоставлении правил, полученных методом краудсорсинга, и оценке сообществом (например, правила YARA , Sigma и IDS ).
  • Связанные индикаторы компрометации (IOC) — Примерами IOC являются сетевая инфраструктура, распространяющая вредоносный файл, серверы, выступающие в качестве командного пункта для определенной угрозы, вредоносные URL-адреса, обнаруженные в определенном домене, домены, обнаруженные за определенным IP-адресом, и многое другое.
  • Интерактивный граф угроз — графический формат, отображающий целые кампании угроз путем визуализации взаимосвязей между индикаторами компрометации.
  • Метаданные, имеющие отношение к безопасности , включают информацию об издателе программного обеспечения, идентификацию вредоносных макросов в документах, рейтинги популярности доменов, категоризацию контента домена и многое другое.
  • Подробная информация о реальных угрозах — географические и временные данные об угрозах, распространенных методах обмана злоумышленников и многое другое, полученные из метаданных, предоставленных VirusTotal.
  • Подозрительное изменение атрибутов — интерактивные детали в отчетах VirusTotal, позволяющие изучить глобальный набор данных VirusTotal на предмет других угроз, имеющих схожие свойства.

Преимущества и варианты использования расширенной версии

  • Улучшенное обнаружение угроз — используйте правила, созданные с помощью краудсорсинга, для точного определения угроз и получения контекста о них, даже если они еще не широко известны поставщикам решений в области безопасности.
  • Ускоренное расследование и принятие решений — повысьте эффективность работы вашей команды безопасности, дополняя внутренние сообщения о подозрительных угрозах контекстом, полученным от пользователей. Злоумышленники также атакуют другие организации, и их следы отображаются в VirusTotal — это помогает вашей команде безопасности составить полную картину. В расширенной версии отчетов VirusTotal отбрасывание ложных срабатываний, а также подтверждение и передача истинных срабатываний происходит значительно быстрее.
  • Улучшенное устранение угроз — Используйте интерактивный график угроз и связанные с ним артефакты для выявления индикаторов компрометации (IOC), связанных с соответствующим оповещением, и используйте их для полного понимания влияния атаки на вашу организацию, просматривая данные телеметрии безопасности. Например: Обнаружил ли VirusTotal какие-либо вредоносные файлы, загруженные с домена, указанного в одном из ваших оповещений? Если да, то были ли обнаружены какие-либо из этих хешей в вашей сети?
  • Стратегия проактивной защиты — Вы можете переключиться на VT Enterprise и выявить инфраструктуру угроз, которая могла не отобразиться в ваших журналах. Или вы можете выявить другое вредоносное ПО, используемое тем же злоумышленником, и заблокировать его в периметре вашей сети и на конечных устройствах, прежде чем оно нанесет ущерб вашей организации. Например: переключитесь на другие домены, зарегистрированные тем же злоумышленником, которые, возможно, еще не использовались в кампаниях, и затем превентивно заблокируйте эти домены на случай, если они в конечном итоге будут использованы против вашей компании.

Для получения более подробной информации о функциях отчета VirusTotal см. обзор услуг на веб-сайте VirusTotal . См. также раздел «Как это работает — VirusTotal » или свяжитесь с нами, чтобы узнать больше .

Зарегистрируйте корпоративный аккаунт VT Enterprise

Как описано выше, отчеты VirusTotal могут включать дополнительные сервисы анализа угроз и расширенные функции в расширенной версии отчетов VirusTotal. Для получения более подробной информации и регистрации в VT Enterprise свяжитесь с командой VirusTotal .

VirusTotal — это продукт компании Alphabet, который анализирует подозрительные файлы, URL-адреса, домены и IP-адреса для обнаружения вредоносных программ и других типов угроз, а также автоматически передает результаты в сообщество специалистов по безопасности.

Для просмотра отчетов VirusTotal вам потребуется отправить в VirusTotal хеши вложенных файлов, IP-адреса или домены.

Используя VirusTotal, вы подтверждаете, что к предоставленным вами данным применяются Условия предоставления услуг и Политика конфиденциальности VirusTotal, и VirusTotal может передавать предоставленные вами данные сообществу специалистов по безопасности.

Часто задаваемые вопросы

Взимается ли дополнительная плата за использование стандартной версии отчетов VirusTotal?

Нет. Стандартная версия отчетов VirusTotal доступна администраторам, имеющим права доступа к центру оповещений и использующим одну из следующих версий: Frontline Plus, Business Plus, Enterprise Standard, Enterprise Plus, Education Standard и Education Plus.

Если вы хотите улучшить пользовательский опыт, повысить эффективность принятия решений и расширить возможности проведения расследований за счет анализа контекста угроз и репутации, вам необходима платная подписка VT Enterprise .

Отличается ли пользовательский опыт для платных подписчиков VirusTotal?

Да. Если у вас есть платная подписка на VirusTotal, также известная как VT Enterprise, вы увидите улучшенные результаты в центре оповещений без какого-либо влияния на вашу квоту VirusTotal. Квота используется только при открытии страниц virustotal.com .

Как мне зарегистрироваться в VT Enterprise, чтобы воспользоваться расширенной версией отчетов VirusTotal?

Для получения дополнительной информации о VT Enterprise и запроса пробной версии ознакомьтесь с обзором услуг на веб-сайте VirusTotal. Чтобы зарегистрироваться в VT Enterprise, заполните эту форму .

Помимо расширенной версии отчетов VirusTotal, есть ли еще какие-либо преимущества у подписки VT Enterprise?

Да. С помощью VT Enterprise вы можете реализовать и другие сценарии использования, особенно актуальные для центров оперативного управления безопасностью, групп реагирования на компьютерные чрезвычайные ситуации, групп реагирования на инциденты и подразделений анализа угроз:

  • Автоматизированное обогащение телеметрии безопасности — это включает в себя сортировку оповещений, отбрасывание ложноположительных результатов, подтверждение истинноположительных результатов и корреляцию достоверности.
  • Реагирование на инциденты и криминалистический анализ — это включает в себя сортировку оповещений в рамках операций по обеспечению безопасности, анализ инцидентов и контекста, поиск артефактов и идентификацию индикаторов компрометации.
  • Анализ угроз и расширенный поиск угроз — это включает в себя обнаружение неизвестных угроз, мониторинг кампаний угроз, отслеживание противников, превентивное выявление индикаторов компрометации, изучение ландшафта угроз и ситуационную осведомленность.
  • Мониторинг фишинга, мошенничества, бренда и корпоративной инфраструктуры — это включает отслеживание фишинговых кампаний, анализ банковских троянов и программ для кражи информации, мониторинг подделки брендов, распространение вредоносного ПО и выявление злоупотреблений в корпоративной инфраструктуре.
  • «Красная команда» и этичный хакинг — это включает в себя разведку и пассивную идентификацию, моделирование взломов и атак, а также проверку надежности стека безопасности.
  • Приоритизация уязвимостей — это включает в себя продуманные стратегии обновления программного обеспечения, основанные на оценке рисков, мониторинг использования уязвимостей в реальных условиях и сопоставление действий злоумышленников с эксплуатацией уязвимостей .

Для получения более подробной информации о том, как VT Enterprise может повысить безопасность ваших операций, ознакомьтесь с обзором VirusTotal 360. Чтобы узнать больше, свяжитесь со специалистами VirusTotal .

Передаются ли данные в отчеты VirusTotal без участия администратора?

Нет. Весь функционал основан на выборе администратором просмотра отчета VirusTotal. Только после выполнения администратором этого действия хэш файла, домен или IP-адрес передаются в VirusTotal для запроса отчета об оценке риска для выбранного объекта.

Если я являюсь клиентом VT Enterprise, будет ли просмотр отчетов VirusTotal в центре оповещений расходовать мою квоту?

Нет. Открытие отчетов VirusTotal в центре оповещений не расходует вашу квоту VT Enterprise. Если администратор открывает веб-сайт VirusTotal для проведения дополнительных исследований из центра оповещений, это будет учитываться в рамках стандартного использования квоты так же, как и прямой переход на virustotal.com .

Файлы передаются между пользователями?

Нет. В VirusTotal отправляются только хеши файлов.

Передаются ли адреса электронной почты третьим лицам?

Нет. В VirusTotal отправляется только доменная часть адреса электронной почты.