צפייה בדוחות VirusTotal מכלי החקירה

קבלת תובנות נוספות לגבי אבטחה שקשורות לאירועים ביומן של Gmail ו-Chrome
התכונה הזו נתמכת במהדורות הבאות: Frontline Standard ו-Frontline Plus,‏ Enterprise Plus,‏ Education Standard ו-Education Plus,‏ Enterprise Essentials Plus. השוואה בין המהדורות

‫VirusTotal, ששייך עכשיו ל-Google Cloud, מספק נתונים על הקשר ומוניטין של איומים כדי לעזור לנתח קבצים, כתובות URL, דומיינים וכתובות IP חשודים ולזהות איומים על אבטחת הסייבר. דוחות VirusTotal מספקים פרטים רבים ממיקור המונים על הסיבות לכך שדומיין, קובץ מצורף או כתובת IP עשויים להיחשב מסוכנים. (פרטים נוספים זמינים באתר VirusTotal).

מתוך הכלי לחקירת אבטחה, אתם יכולים לגשת ישירות לדוחות של VirusTotal שקשורים לקבצים מצורפים לאימייל שמופצים בארגון, או שקשורים לאירועים ביומן של Chrome. כך תוכלו לקבל נתונים על הקשר ומוניטין של איומים שרלוונטיים לחקירה. לדוגמה, בדוח של VirusTotal יכול להיות שיוצג לכם שספקי אבטחה רבים סימנו דומיין מסוים כזדוני.

שימו לב:

  • כדי להציג דוחות של VirusTotal בכלי החקירה, צריכה להיות לכם ההרשאה View report (צפייה בדוח) של VirusTotal ואז מרכז האבטחה ואז.
  • ‫VirusTotal לא משמש לזיהוי תוכנות זדוניות או איומי אבטחה אחרים. ‫VirusTotal מרחיב את התוצאות של חקירה על ידי מתן תובנות נוספות בנושא אבטחה, ועוזר לכם לקבל החלטות כשאתם מטפלים בבעיות אבטחה.
  • הנתונים (גיבובים של קבצים מצורפים) משותפים עם VirusTotal רק אחרי שהאדמין בוחר להציג את הדוח של VirusTotal. לא מתבצע שיתוף של נתונים אחרים.
  • הנתונים של VirusTotal משותפים עם קהילת האבטחה הרחבה. כך ספקי אבטחה יכולים לשתף פעולה ביניהם, לשתף פרטים חשובים ולפעול כדי להתמודד עם איומי אבטחה.
  • אפשר גם לצפות בדוחות של VirusTotal ממרכז ההתראות כדי לקבל תובנות נוספות בנושא אבטחה שקשורות להתראות. פרטים נוספים מופיעים במאמר בנושא הצגת דוחות VirusTotal ממרכז ההתראות.

  1. נכנסים למסוף Google Admin בכתובת admin.google.com.

    נכנסים באמצעות חשבון האדמין (חשבון שלא מסתיים ב-‎ @gmail.com).

  2. בתפריט הניווט הימני, עוברים אל אבטחה ואז מרכז האבטחה ואז כלי החקירה.

  3. בוחרים באפשרות הודעות Gmail או אירועים ביומן של Gmail כמקור הנתונים לחיפוש.

  4. לוחצים על הוספת תנאי ובוחרים באפשרות יש קובץ מצורף.

  5. לוחצים על חיפוש.

  6. באחד הפריטים בתוצאות החיפוש בתחתית הדף, לוחצים על הקישור מזהה ההודעה או על הקישור נושא.

  7. בחלונית הצדדית, לוחצים על הכרטיסייה הודעה או על הכרטיסייה שרשור.

  8. לוחצים על צפייה בדוח VirusTotal.

הדוח של VirusTotal כולל כמה קטעים עם פרטים על איומי אבטחה פוטנציאליים. לדוגמה, אפשר לראות רשימה של ספקי אבטחה שסימנו קובץ כמזיק, וגם לראות את תוצאות הסריקה של הקובץ עבור כל אחד מהספקים האלה.

  1. נכנסים למסוף Google Admin בכתובת admin.google.com.

    נכנסים באמצעות חשבון האדמין (חשבון שלא מסתיים ב-‎ @gmail.com).

  2. בתפריט הניווט הימני, עוברים אל אבטחה ואז מרכז האבטחה ואז כלי החקירה.

  3. בוחרים באפשרות אירועים ביומן של Chrome כמקור הנתונים לחיפוש.

  4. לוחצים על הוספת תנאי ובוחרים תנאי לחיפוש.

  5. לוחצים על חיפוש.

  6. בתוצאות החיפוש בחלק התחתון של הדף, לוחצים על אחד הקישורים בעמודה Content hash.

  7. בחלונית הצדדית, לוחצים על צפייה בדוח VirusTotal.

הדוח של VirusTotal כולל כמה קטעים עם פרטים על איומי אבטחה פוטנציאליים.

גרסאות רגילות ומשופרות של דוחות VirusTotal

יש שתי גרסאות של דוח VirusTotal: רגילה ומשופרת. הגרסה הרגילה מוצגת לאדמינים שיש להם הרשאה לצפייה בדוח של VirusTotal ואז במרכז האבטחה ואז, ושיש להם אחת מהמהדורות הנדרשות של Google Workspace. הגרסה המתקדמת מוצגת באופן אוטומטי למנויים בתשלום של VirusTotal שיש להם סשן פעיל של כניסה ל-virustotal.com עם חשבון המשתמש שלהם ב-VT Enterprise.

מידע נוסף על VT Enterprise ובקשה לניסיון חינם זמינים בסקירה הכללית על השירותים באתר VirusTotal. כדי להירשם ל-VT Enterprise, צריך לשלוח את הטופס הזה.

תכונות שכלולות בגרסה רגילה

הגרסה הרגילה של דוחות VirusTotal כוללת את הפרטים הבאים:

  • מוניטין של איומים – הערכות של תוכנות זדוניות מ-70 ספקי אבטחה ומעלה.
  • התפשטות האיום בזמן – תאריכים חשובים שמאפשרים להבין מתי נצפה איום מסוים לראשונה בטבע וכמה זמן הוא פעיל.
  • זיהוי קובץ – מזהים ומאפיינים שמאפשרים לכם להתייחס לאיום ולשתף אותו עם אנליסטים אחרים (גיבוב קבצים, סוג קובץ, גודל וכו').

תכונות שכלולות בגרסה מתקדמת

הגרסה המתקדמת של דוחות VirusTotal כוללת את אותן תכונות שזמינות בגרסה הרגילה, בנוסף לתכונות הבאות:

  • זיהוי רב-זוויתי – ניתוח איומים נוסף שמגיע מהתאמות לכללים שמקורם במיקור המונים ומהערכות של הקהילה (לדוגמה: כללי YARA,‏ Sigma ו-IDS).
  • מידע על רשימת ההיתרים – לגבי אירועים ביומן של Gmail, פרטים שימושיים לביטול תוצאות חיוביות שגויות (National Software Reference Library,‏ Software Distributors,‏ Microsoft Clean Metadata Feed וכו').
  • אינדיקטורים קשורים לפריצה (IOC) – דוגמאות לאינדיקטורים לפריצה כוללות תשתית רשת שמפיצה קובץ תוכנה זדונית, שרתים שפועלים כמרכזי שליטה לאיום נתון, וקטורים של מסירת קובץ שנמצא בבדיקה בשלב הראשון וכו'.
  • גרף אינטראקטיבי של איומים – פורמט גרפי שממפה קמפיינים שלמים של איומים על ידי הצגת הקשרים בין IOC.
  • מטא-נתונים שקשורים לאבטחה – כוללים מידע על מפיץ התוכנה, זיהוי של פקודות מאקרו זדוניות במסמכים, הרשאות של אפליקציות ל-Android וכו'.
  • פרטים על איומים פעילים – פרטים גיאוגרפיים ופרטים על התפשטות האיומים בזמן, טכניקות נפוצות להונאה של תוקפים ועוד, באמצעות מטא-נתונים של שליחת קבצים ל-VirusTotal.
  • מעבר בין מאפיינים חשודים – פרטים קליקביליים בדוחות של VirusTotal, שמאפשרים לכם לחקור את מערך הנתונים הגלובלי של VirusTotal כדי למצוא איומים אחרים שחולקים את אותם מאפיינים.

הטבות ותרחישי שימוש בגרסה המתקדמת

  • זיהוי איומים משופר: שימוש בכללים שמבוססים על מיקור המונים כדי לזהות איומים ולקבל עליהם מידע, גם אם ספקי האבטחה עדיין לא מכירים אותם.
  • חקירות מזורזות וקבלת החלטות מהירה – שיפור היעילות של צוות האבטחה על ידי הוספת הקשר שמגיע ממקורות המונים לזיהויים פנימיים בלבד. גורמים עוינים מכוונים גם לארגונים אחרים, והפעילות שלהם מופיעה ב-VirusTotal – כך צוות האבטחה שלכם יכול לקבל תמונה מלאה. הגרסה המתקדמת של דוחות VirusTotal מאפשרת לבטל תוצאות חיוביות כוזבות ולאשר ולהעביר לטיפול תוצאות חיוביות אמיתיות במהירות רבה יותר.
  • שיפור הטיפול באיומים – אפשר להשתמש בתרשים האיומים האינטראקטיבי ובארטיפקטים קשורים כדי לזהות אינדיקטורים של פריצה (IOC) שקשורים להתראה רלוונטית, ולחפש בטלמטריית האבטחה כדי להבין באופן מלא את ההשפעה של מתקפה על הארגון. לדוגמה: מהם כל הדומיינים ששולחים גיבוב שמופיע באחד מההתראות שלך? לכל אחד מהם, גם אם הוא עדיין לא נראה בסביבה שלי, צריך לחסום אותו בהיקף הרשת.
  • אסטרטגיית הגנה פרואקטיבית – אתם יכולים לעבור ל-VT Enterprise ולזהות תשתית איומים שאולי לא מופיעה ביומנים שלכם. או שתוכלו לזהות תוכנות זדוניות אחרות שמופעלות על ידי אותו גורם איומים, ולחסום את התוכנות הזדוניות האלה בהיקף הרשת ובנקודות הקצה לפני שהן ישפיעו על הארגון. לדוגמה: אם יש לכם דומיין של שליטה ובקרה לאחד מהקבצים שאתם בודקים, אתם יכולים לעבור לדומיינים אחרים שנרשמו על ידי אותו גורם מאיים, שאולי עדיין לא נעשה בהם שימוש בקמפיין, ואז לחסום את הדומיינים האלה מראש למקרה שבסופו של דבר יעשה בהם שימוש נגד החברה שלכם.

פרטים נוספים על התכונות של דוח VirusTotal זמינים בסקירה הכללית על השירותים באתר VirusTotal. אפשר גם לעיין במאמר איך זה עובד – VirusTotal או לפנות אלינו לקבלת מידע נוסף.

הרשמה לחשבון VT Enterprise

כפי שמתואר למעלה, דוחות VirusTotal יכולים לכלול שירותים נוספים של מודיעין איומים ותכונות מתקדמות בגרסה מתקדמת של דוחות VirusTotal. לפרטים נוספים ולהרשמה ל-VT Enterprise, אפשר לפנות לצוות VirusTotal.

‫VirusTotal הוא מוצר של Alphabet שמנתח קבצים, כתובות URL, דומיינים וכתובות IP חשודים כדי לזהות תוכנות זדוניות וסוגים אחרים של איומים, ומשתף אותם באופן אוטומטי עם קהילת האבטחה.

כדי לצפות בדוחות של VirusTotal, תצטרכו לשלוח ל-VirusTotal גיבובים של קבצים מצורפים, כתובות IP או דומיינים.

השימוש ב-VirusTotal מעיד על כך שאתם מאשרים שהתנאים וההגבלות ומדיניות הפרטיות של VirusTotal חלים על הנתונים ששלחתם, ו-VirusTotal עשוי לשתף את הנתונים ששלחתם עם קהילת האבטחה.

שאלות נפוצות

האם יש עלות נוספת לשימוש בגרסה הרגילה של דוחות VirusTotal?

לא. הגרסה הרגילה של דוחות VirusTotal זמינה לאדמינים שיש להם הרשאת צפייה בדוח במרכז האבטחה ואז VirusTotal ואז.

אם אתם רוצים לשפר את החוויה, את יכולת קבלת ההחלטות ואת יכולות החקירה באמצעות הקשר ומוניטין מתקדמים של איומים, אתם צריכים מינוי בתשלום ל-VT Enterprise.

האם חוויית השימוש שונה עבור לקוחות VirusTotal בתשלום?

כן. אם יש לכם מינוי בתשלום ל-VirusTotal, שנקרא גם VT Enterprise, תוכלו לראות תוצאות משופרות באמצעות כלי החקירה, בלי שתהיה לכך השפעה על המכסה שלכם ב-VirusTotal. המיכסה משמשת רק כשפותחים דפים בכתובת virustotal.com.

איך אפשר להירשם ל-VT Enterprise כדי ליהנות מהגרסה המתקדמת של דוחות VirusTotal?

מידע נוסף על VT Enterprise ובקשה לניסיון ללא תשלום זמינים בסקירה הכללית על השירותים באתר VirusTotal. כדי להירשם ל-VT Enterprise, צריך למלא את הטופס הזה.

בנוסף לגרסה המתקדמת של דוחות VirusTotal, האם יש עוד יתרונות למינוי VT Enterprise?

כן. בעזרת VT Enterprise, אפשר להטמיע תרחישי שימוש אחרים שרלוונטיים במיוחד למרכזי תפעול אבטחה (SOC), לצוותי תגובה למקרי חירום במחשבים, לצוותי תגובה לאירועים וליחידות מודיעין איומי סייבר:

  • העשרה אוטומטית של טלמטריית אבטחה – כולל תעדוף התראות, ביטול תוצאות חיוביות שגויות, אישור תוצאות חיוביות אמיתיות ומתאם של רמת הביטחון.
  • תגובה לאירועים ופורנזיקה דיגיטלית – כולל תעדוף התראות על תפעול אבטחה, ניתוח אירועים והקשר שלהם, גילוי ארטיפקטים וזיהוי של אינדיקטורים של פריצה (IOC).
  • מודיעין איומי סייבר וחיפוש מתקדם – כולל גילוי איומים לא מוכרים, מעקב אחרי קמפיינים של איומים, מעקב אחרי תוקפים, זיהוי מניעתי של אינדיקטורים של פריצה (IOC), חקר סביבת האיומים ומודעות למצב.
  • מעקב אחרי פישינג, הונאות, מותגים ותשתית ארגונית – כולל מעקב אחרי קמפיינים של פישינג, ניתוח של סוס טרויאני בנקאי וגניבת מידע, מעקב אחרי התחזות למותג, הפצה של תוכנות זדוניות וזיהוי של ניצול לרעה של תשתית ארגונית.
  • צוותים אדומים ופריצה אתית – כולל סיור וטביעת אצבע פסיבית, הדמיה של פריצה והתקפה ואימות של מערך האבטחה.
  • תעדוף פגיעויות – כולל אסטרטגיות חכמות לתיקון חולשות שמבוססות על סיכונים, מעקב אחר ניצול פגיעויות בטבע ומיפוי של שחקני איומים לניצול פגיעויות.

לפרטים נוספים על האופן שבו VT Enterprise יכול לשפר את פעולות האבטחה, אפשר לעיין בסקירה הכללית של VirusTotal 360. לקבלת מידע נוסף, פנו למומחים שלנו ב-VirusTotal.

האם הנתונים משותפים לדוחות של VirusTotal ללא פעולות של אדמין?

לא. כל הפונקציונליות מבוססת על בחירה של האדמין להציג את הדוח של VirusTotal. רק אחרי שהאדמין מבצע את הפעולה הזו, הגיבוב של הקובץ, הדומיין או כתובת ה-IP משותפים עם VirusTotal כדי לבקש את דוח הערכת הסיכון לגבי הישות שנבחרה.

אם אני לקוח של VT Enterprise, האם צפייה בדוחות VirusTotal באמצעות כלי החקירה צורכת מהמכסה שלי?

לא. פתיחת דוחות VirusTotal דרך כלי החקירה לא משתמשת במכסת VT Enterprise שלכם. אם אדמין פותח את האתר VirusTotal כדי לבצע מחקר נוסף באמצעות כלי החקירה, הפעולה הזו תיחשב לשימוש במכסת הנפח הרגילה, בדיוק כמו ביקור ישיר באתר virustotal.com.

האם הקבצים משותפים?

לא. רק גיבוב קבצים נשלח אל VirusTotal.