Visa VirusTotal-rapporter från undersökningsverktyget

Få ytterligare säkerhetsinsikter relaterade till Gmail- och Chrome-logghändelser
Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus. Jämför din utgåva

VirusTotal, nu en del av Google Cloud, tillhandahåller data om hotkontext och rykte för att analysera misstänkta filer, webbadresser, domäner och IP-adresser för att upptäcka cybersäkerhetshot. VirusTotal-rapporter ger många crowdsourcade detaljer om varför en domän, filbilaga eller IP-adress kan anses vara riskabel. (För mer information, se VirusTotals webbplats .)

Från säkerhetsutredningsverktyget kan du direkt komma åt VirusTotal-rapporter relaterade till e-postbilagor som cirkulerar i din organisation, eller relaterade till Chrome-logghändelser. Detta gör att du kan få data om hotkontext och rykte som är relevanta för en utredning. Till exempel kan en VirusTotal-rapport visa att flera säkerhetsleverantörer har flaggat en specifik domän som skadlig.

Notera:

  • För att visa VirusTotal-rapporter från undersökningsverktyget behöver du Säkerhetscenter och sedan VirusTotal och sedan Visa rapportbehörighet .
  • VirusTotal används inte för att upptäcka skadlig kod eller andra säkerhetshot. VirusTotal utökar resultaten av en undersökning genom att ge ytterligare säkerhetsinsikter och genom att hjälpa dig i beslutsfattandet när du hanterar säkerhetsproblem.
  • Data (hashkoder för filbilagor) delas endast med VirusTotal efter att din administratör har valt att visa VirusTotal-rapporten. Inga data delas i övrigt.
  • VirusTotal-data delas med den bredare säkerhetsgemenskapen. Detta gör det möjligt för säkerhetsleverantörer att samarbeta med varandra, dela viktig information och vidta åtgärder för att bekämpa säkerhetshot.
  • Du kan också visa VirusTotal-rapporter från varningscentret för att få ytterligare säkerhetsinsikter relaterade till varningar. Mer information finns i Visa VirusTotal-rapporter från varningscentret .

  1. Logga in på Googles administratörskonsol på admin.google.com .

    Logga in med ditt administratörskonto (slutar inte på @gmail.com).

  2. Från vänsternavigeringsmenyn, gå till Säkerhet och sedan Säkerhetscenter och sedan Utredningsverktyg .

  3. Välj Gmail-meddelanden eller Gmail-logghändelser som datakälla för din sökning.

  4. Klicka på Lägg till villkor och välj Har bilaga .

  5. Klicka på Sök .

  6. Klicka på länken Meddelande-ID eller Ämne från ett av alternativen i sökresultaten längst ner på sidan.

  7. Klicka på fliken Meddelande eller fliken Tråd på sidopanelen.

  8. Klicka på Visa VirusTotal-rapport .

VirusTotal-rapporten innehåller flera avsnitt med information om potentiella säkerhetshot. Du kan till exempel visa en lista över säkerhetsleverantörer som har flaggat en fil som skadlig, och även visa resultat av filskanning för var och en av dessa leverantörer.

  1. Logga in på Googles administratörskonsol på admin.google.com .

    Logga in med ditt administratörskonto (slutar inte på @gmail.com).

  2. Från vänsternavigeringsmenyn, gå till Säkerhet och sedan Säkerhetscenter och sedan Utredningsverktyg .

  3. Välj Chrome-logghändelser som datakälla för din sökning.

  4. Klicka på Lägg till villkor och välj ett villkor för din sökning.

  5. Klicka på Sök .

  6. Från sökresultaten längst ner på sidan klickar du på en av länkarna i kolumnen Innehållshash .

  7. Klicka på Visa VirusTotal-rapport på sidopanelen.

VirusTotal-rapporten innehåller flera avsnitt med detaljer om potentiella säkerhetshot.

Standard- och förbättrade versioner av VirusTotal-rapporter

VirusTotal-rapporten finns i två versioner: Standard och Utökad. Standardversionen visas för administratörer som har säkerhetscentret. och sedan VirusTotal och sedan Behörighet att visa rapporter och som har en av de obligatoriska Google Workspace-utgåvorna. Den förbättrade versionen visas automatiskt för betalande VirusTotal-prenumeranter som har en aktiv virustotal.com-inloggningssession med sitt VT Enterprise-användarkonto .

För mer information om VT Enterprise och för att begära en provperiod, se tjänsteöversikten på VirusTotals webbplats. För att registrera dig för VT Enterprise, skicka in det här formuläret .

Funktioner som ingår i standardversionen

Standardversionen av VirusTotal-rapporter innehåller följande:

  • Hotrykte — Skadlighetsbedömningar från fler än 70 säkerhetsleverantörer.
  • Hotets tidsspridning — Viktiga datum som gör att du kan förstå när ett givet hot först observerades i det vilda och hur länge det har varit aktivt.
  • Filidentifiering — Identifierare och egenskaper som gör att du kan referera till hotet och dela det med andra analytiker (filhashar, filtyp, storlek etc.).

Funktioner som ingår i den förbättrade versionen

Den förbättrade versionen av VirusTotal-rapporter innehåller samma funktioner som i standardversionen plus följande :

  • Multivinkeldetektering — Ytterligare hotanalys från crowdsourcade regelmatchningar och community-poängsättning (till exempel: YARA-, Sigma- och IDS-regler).
  • Information om tillåtelselista – För Gmail-logghändelser, användbar information för att möjliggöra kassering av falska positiva resultat (National Software Reference Library, Software Distributors, Microsoft Clean Metadata Feed, etc.).
  • Relaterade indikatorer på kompromiss (IOC) – Exempel på IOC inkluderar en nätverksinfrastruktur som distribuerar en skadlig fil, servrar som fungerar som kommando- och kontrollfunktioner för ett givet hot, leveransvektorer i första steget för en fil som studeras, etc.
  • Interaktiv hotgraf — Grafiskt format som kartlägger hela hotkampanjer genom att visualisera relationerna mellan IOC:er.
  • Säkerhetsrelevanta metadata — Inkluderar information om programvaruutgivare, identifiering av skadliga makron i dokument, behörigheter för Android-applikationer etc.
  • Detaljer i omlopp – Geografiska och tidsmässiga detaljer för hot, vanliga bedrägeritekniker för angripare och mer, genom VirusTotal-inlämningsmetadata.
  • Misstänkt attributpivotering — Klickbara detaljer i VirusTotal-rapporter, så att du kan utforska den globala VirusTotal-datauppsättningen för andra hot som delar samma egenskaper.

Fördelar och användningsområden för den förbättrade versionen

  • Förbättrad hotdetektering – Använd crowdsourcingregler för att identifiera och få sammanhang kring hot även om de ännu inte är allmänt kända för säkerhetsleverantörer.
  • Snabbare utredningar och beslutsfattande – Öka säkerhetsteamets effektivitet genom att komplettera interna observationer med crowdsourcat kontext. Motståndare riktar sig även mot andra organisationer, och deras fotavtryck dyker upp i VirusTotal – vilket hjälper till att komplettera bilden för säkerhetsteamet. Med den förbättrade versionen av VirusTotal-rapporter går det betydligt snabbare att ignorera falska positiva resultat och bekräfta och eskalera verkliga positiva resultat.
  • Förbättrad hotsanering – Använd den interaktiva hotgrafen och relaterade artefakter för att identifiera IOC:er kopplade till en relevant varning och använd dem för att fullt ut förstå effekten av en attack på din organisation genom att söka igenom din säkerhetstelemetri. Till exempel: Vilka domäner levererar en hash som finns i en av dina varningar? Blockera var och en av dem i nätverksområdet, även om de inte ännu syns i min miljö.
  • Proaktiv försvarsstrategi — Du kan växla till VT Enterprise och identifiera hotinfrastruktur som kanske inte har dykt upp i dina loggar. Eller så kan du identifiera annan skadlig kod som drivs av samma hotaktör och blockera denna skadliga kod i ditt nätverks perimeter och dina slutpunkter innan den påverkar din organisation. Till exempel: om du ger en kommando- och kontrolldomän för en av de filer du studerar, växla till andra domäner registrerade av samma hotaktör som kanske inte har utnyttjats i en kampanj ännu, och sedan förebyggande blockera dessa domäner ifall de så småningom utnyttjas mot ditt företag.

För mer information om VirusTotal-rapportfunktionerna, se tjänsteöversikten på VirusTotals webbplats . Se även Så fungerar det - VirusTotal , eller kontakta oss för att få veta mer .

Registrera dig för ett VT Enterprise-konto

Som beskrivits ovan kan VirusTotal-rapporter inkludera ytterligare hotinformationstjänster och avancerade funktioner med den förbättrade versionen av VirusTotal-rapporter. För mer information och för att registrera dig för VT Enterprise, kontakta VirusTotal-teamet .

VirusTotal är en produkt från Alphabet som analyserar misstänkta filer, URL:er, domäner och IP-adresser för att upptäcka skadlig programvara och andra typer av hot, och delar dem automatiskt med säkerhetsgemenskapen.

För att visa VirusTotal-rapporter skickar du in hashkoder för filbilagor, IP-adresser eller domäner till VirusTotal.

Genom att använda VirusTotal bekräftar du att VirusTotals användarvillkor och sekretesspolicy gäller för dina inskickade data och att VirusTotal kan komma att dela dina inskickade data med säkerhetsgemenskapen.

Vanliga frågor

Kostar det något extra att använda standardversionen av VirusTotal-rapporter?

Nej. Standardversionen av VirusTotal-rapporter är tillgänglig för administratörer som har säkerhetscentret. och sedan VirusTotal och sedan Visa rapportbehörighet .

Om du vill förbättra upplevelsen och förbättra dina beslutsfattande och utredningsmöjligheter genom avancerad hotkontext och rykte behöver du en betald VT Enterprise-prenumeration .

Är upplevelsen annorlunda för betalande VirusTotal-kunder?

Ja. Om du har en betald VirusTotal-prenumeration, även känd som VT Enterprise, ser du förbättrade resultat via undersökningsverktyget utan att din VirusTotal-kvot påverkas. Kvoten används endast när du öppnar virustotal.com -sidor.

Hur kan jag registrera mig för VT Enterprise så att jag kan dra nytta av den förbättrade versionen av VirusTotal-rapporter?

För mer information om VT Enterprise och för att begära en provperiod, se tjänsteöversikten på VirusTotals webbplats. För att registrera dig för VT Enterprise, skicka in det här formuläret .

Utöver den förbättrade versionen av VirusTotal-rapporter, finns det andra fördelar med en VT Enterprise-prenumeration?

Ja. Med VT Enterprise kan du implementera andra användningsområden som är särskilt relevanta för säkerhetscentraler, IT-kristeam, incidenthanteringsteam och hotinformationsenheter:

  • Automatiserad berikning av säkerhetstelemetri — Detta inkluderar prioritering av varningar, kassering av falskt positiva resultat, bekräftelse av sant positivt resultat och konfidens korrelation.
  • Incidentrespons och forensisk analys — Detta inkluderar prioritering av säkerhetsåtgärder, incidentanalys och kontext, upptäckt av artefakter och identifiering av IOC.
  • Hotinformation och avancerad jakt – Detta inkluderar upptäckt av okända hot, övervakning av hotkampanjer, spårning av motståndare, förebyggande IOC-identifiering, utforskning av hotlandskapet och situationsmedvetenhet.
  • Övervakning av nätfiske, bedrägeribekämpning, varumärken och företagsinfrastruktur – Detta inkluderar spårning av nätfiskekampanjer, dissektion av banktrojaner och informationsstölder, övervakning av varumärkesimitering, distribution av skadlig kod och identifiering av missbruk av företagsinfrastruktur.
  • Red teaming och etisk hacking – Detta inkluderar rekognoscering och passiv fingeravtryckstagning, simulering av intrång och attacker samt validering av säkerhetsstackar.
  • Prioritering av sårbarheter – Detta inkluderar smarta riskdrivna patchstrategier, praktisk övervakning av sårbarhetsvapen och kartläggning av hotaktörer mot sårbarhetsexploatering .

För mer information om hur VT Enterprise kan förbättra era säkerhetsåtgärder, se översikten över VirusTotal 360. Kontakta våra VirusTotal-specialister för att få veta mer.

Delas data med VirusTotal-rapporter utan administratörsåtgärder?

Nej. All funktionalitet baseras på att din administratör väljer att visa VirusTotal-rapporten. Först efter att din administratör har utfört denna åtgärd delas filhashen, domänen eller IP-adressen med VirusTotal för att begära riskbedömningsrapporten för den valda enheten.

Om jag är en VT Enterprise-kund, använder visning av VirusTotal-rapporter via undersökningsverktyget min kvot?

Nej. Att öppna VirusTotal-rapporter via undersökningsverktyget använder inte någon av din VT Enterprise-kvot. Om en administratör öppnar VirusTotal-webbplatsen för att göra mer research från undersökningsverktyget, räknas det mot standardkvotanvändningen på samma sätt som att besöka virustotal.com direkt.

Delas filer?

Nej. Endast filhashkoder skickas till VirusTotal.