Xem báo cáo của VirusTotal trong công cụ điều tra

Thu thập thêm thông tin chi tiết về bảo mật liên quan đến các sự kiện trong nhật ký Gmail và Chrome
Các phiên bản có hỗ trợ tính năng này: Frontline Standard và Frontline Plus; Enterprise Plus; Education Standard và Education Plus; Enterprise Essentials Plus. So sánh phiên bản của bạn

VirusTotal (hiện là một phần của Google Cloud) cung cấp dữ liệu về uy tín và bối cảnh liên quan đến mối đe doạ để giúp phân tích các tệp, URL, miền và địa chỉ IP đáng ngờ nhằm phát hiện các mối đe doạ về an ninh mạng. Báo cáo của VirusTotal cung cấp nhiều thông tin chi tiết sử dụng nguồn lực cộng đồng về lý do một miền, tệp đính kèm hoặc địa chỉ IP có thể bị coi là rủi ro. (Để biết thêm thông tin chi tiết, hãy xem trang web của VirusTotal.)

Trong công cụ điều tra bảo mật, bạn có thể truy cập trực tiếp vào báo cáo của VirusTotal liên quan đến các tệp đính kèm trong email đang lưu hành trong tổ chức của bạn hoặc liên quan đến các sự kiện trong nhật ký Chrome. Nhờ đó, bạn có thể thu thập dữ liệu về uy tín và bối cảnh liên quan đến mối đe doạ cho một cuộc điều tra. Ví dụ: báo cáo của VirusTotal có thể cho bạn biết rằng nhiều nhà cung cấp dịch vụ bảo mật đã gắn cờ một miền cụ thể là độc hại.

Lưu ý:

  • Để xem báo cáo của VirusTotal trong công cụ điều tra, bạn cần có quyền Trung tâm bảo mật sau đó VirusTotal sau đó Xem báo cáo.
  • VirusTotal không được dùng để phát hiện phần mềm độc hại hoặc các mối đe doạ bảo mật khác. VirusTotal trình bày chi tiết hơn kết quả điều tra bằng cách cung cấp thêm thông tin chi tiết về bảo mật và hỗ trợ bạn đưa ra quyết định khi xử lý các mối lo ngại về bảo mật.
  • Dữ liệu (hàm băm của tệp đính kèm) chỉ được chia sẻ với VirusTotal sau khi quản trị viên chọn xem báo cáo của VirusTotal. Không có dữ liệu nào khác được chia sẻ.
  • Dữ liệu của VirusTotal được chia sẻ với cộng đồng bảo mật rộng hơn. Nhờ đó, các nhà cung cấp dịch vụ bảo mật có thể cộng tác với nhau, chia sẻ thông tin chi tiết quan trọng và hành động để chống lại các mối đe doạ bảo mật.
  • Bạn cũng có thể xem báo cáo của VirusTotal trong trung tâm thông báo để thu thập thêm thông tin chi tiết về bảo mật liên quan đến thông báo. Để biết thông tin chi tiết, hãy xem bài viết Xem báo cáo của VirusTotal trong trung tâm thông báo.

  1. Đăng nhập vào Bảng điều khiển dành cho quản trị viên của Google tại admin.google.com.

    Đăng nhập bằng tài khoản quản trị viên của bạn (tài khoản không có đuôi là @gmail.com).

  2. Trong trình đơn điều hướng bên trái, hãy chuyển đến phần Bảo mật sau đó Trung tâm bảo mật sau đó Công cụ điều tra.

  3. Chọn Thư Gmail hoặc Sự kiện trong nhật ký Gmail làm nguồn dữ liệu cho nội dung tìm kiếm.

  4. Nhấp vào Thêm điều kiện, rồi chọn Có tệp đính kèm.

  5. Nhấp vào phần Tìm kiếm.

  6. Trong một trong các mục trong kết quả tìm kiếm ở cuối trang, hãy nhấp vào đường liên kết Mã nhận dạng của thư hoặc đường liên kết Tiêu đề.

  7. Trong bảng điều khiển bên, hãy nhấp vào thẻ Thư hoặc thẻ Chuỗi thư.

  8. Nhấp vào Xem báo cáo của VirusTotal.

Báo cáo của VirusTotal có nhiều phần chứa thông tin chi tiết về các mối đe doạ bảo mật tiềm ẩn. Ví dụ: bạn có thể xem danh sách các nhà cung cấp dịch vụ bảo mật đã gắn cờ một tệp là độc hại, đồng thời xem kết quả quét tệp cho từng nhà cung cấp này.

  1. Đăng nhập vào Bảng điều khiển dành cho quản trị viên của Google tại admin.google.com.

    Đăng nhập bằng tài khoản quản trị viên của bạn (tài khoản không có đuôi là @gmail.com).

  2. Trong trình đơn điều hướng bên trái, hãy chuyển đến phần Bảo mật sau đó Trung tâm bảo mật sau đó Công cụ điều tra.

  3. Chọn Sự kiện trong nhật ký Chrome làm nguồn dữ liệu cho nội dung tìm kiếm.

  4. Nhấp vào Thêm điều kiện, rồi chọn một điều kiện cho nội dung tìm kiếm.

  5. Nhấp vào phần Tìm kiếm.

  6. Trong kết quả tìm kiếm ở cuối trang, hãy nhấp vào một trong các đường liên kết trong cột Hàm băm nội dung.

  7. Trong bảng điều khiển bên, hãy nhấp vào Xem báo cáo của VirusTotal.

Báo cáo của VirusTotal có nhiều phần chứa thông tin chi tiết về các mối đe doạ bảo mật tiềm ẩn.

Phiên bản Tiêu chuẩn và Nâng cao của báo cáo VirusTotal

Báo cáo của VirusTotal có 2 phiên bản: Tiêu chuẩnNâng cao. Phiên bản Tiêu chuẩn hiển thị cho những quản trị viên có quyền Trung tâm bảo mật sau đó VirusTotal sau đó Xem báo cáo và có một trong các phiên bản Google Workspace bắt buộc. Phiên bản Nâng cao sẽ tự động hiển thị cho những người đăng ký VirusTotal trả phí có phiên đăng nhập virustotal.com đang hoạt động bằng tài khoản người dùng VT Enterprise.

Để biết thêm thông tin về VT Enterprise và yêu cầu dùng thử, hãy xem thông tin tổng quan về các dịch vụ trên trang web của VirusTotal. Để đăng ký VT Enterprise, hãy gửi biểu mẫu này form.

Các tính năng có trong phiên bản Tiêu chuẩn

Phiên bản Tiêu chuẩn của báo cáo VirusTotal bao gồm những tính năng sau:

  • Uy tín về mối đe doạ—Các đánh giá về mức độ độc hại do hơn 70 nhà cung cấp dịch vụ bảo mật đưa ra.
  • Thời gian lan truyền mối đe doạ—Các ngày chính giúp bạn hiểu được thời điểm mối đe doạ cụ thể được quan sát lần đầu tiên trong thực tế và thời gian mối đe doạ đó hoạt động.
  • Nhận dạng tệp—Các mã nhận dạng và đặc điểm cho phép bạn tham khảo mối đe doạ và chia sẻ mối đe doạ đó với các nhà phân tích khác (hàm băm của tệp, loại tệp, kích thước, v.v.).

Các tính năng có trong phiên bản Nâng cao

Phiên bản Nâng cao của báo cáo VirusTotal bao gồm các tính năng tương tự như phiên bản Tiêu chuẩn cùng với những tính năng sau:

  • Phát hiện đa góc độ—Phân tích thêm về mối đe doạ dựa trên các quy tắc phù hợp sử dụng nguồn lực cộng đồng và điểm số của cộng đồng (ví dụ: quy tắc YARA, Sigma và IDS).
  • Thông tin về danh sách cho phép—Đối với các sự kiện trong nhật ký Gmail, thông tin chi tiết hữu ích để loại bỏ kết quả dương tính giả (Thư viện tham khảo phần mềm quốc gia, Nhà phân phối phần mềm, Nguồn cấp dữ liệu siêu dữ liệu sạch của Microsoft, v.v.).
  • Các chỉ số liên quan về hành vi xâm phạm (IOC)—Ví dụ về IOC bao gồm cơ sở hạ tầng mạng phân phối tệp phần mềm độc hại, các máy chủ đóng vai trò là lệnh và kiểm soát cho một mối đe doạ cụ thể, vectơ phân phối giai đoạn đầu cho một tệp đang được nghiên cứu, v.v.
  • Biểu đồ mối đe doạ tương tác—Định dạng đồ hoạ lập bản đồ toàn bộ các chiến dịch đe doạ bằng cách trực quan hoá mối quan hệ giữa các IOC.
  • Siêu dữ liệu liên quan đến bảo mật—Bao gồm thông tin về nhà phát hành phần mềm, xác định macro độc hại trong tài liệu, quyền của ứng dụng Android, v.v.
  • Thông tin chi tiết trong thực tế—Thông tin chi tiết về vị trí địa lý và thời gian lan truyền mối đe doạ, các kỹ thuật lừa đảo phổ biến của kẻ tấn công và nhiều thông tin khác thông qua siêu dữ liệu gửi của VirusTotal.
  • Xoay vòng thuộc tính đáng ngờ—Thông tin chi tiết có thể nhấp trong báo cáo của VirusTotal, cho phép bạn khám phá tập dữ liệu VirusTotal toàn cầu để tìm các mối đe doạ khác có cùng thuộc tính.

Lợi ích và trường hợp sử dụng phiên bản Nâng cao

  • Cải thiện khả năng phát hiện mối đe doạ—Tận dụng các quy tắc sử dụng nguồn lực cộng đồng để xác định và thu thập thông tin về mối đe doạ ngay cả khi các nhà cung cấp dịch vụ bảo mật chưa biết rộng rãi về mối đe doạ đó.
  • Đẩy nhanh quá trình điều tra và đưa ra quyết định—Tăng hiệu quả của nhóm bảo mật bằng cách bổ sung thông tin chi tiết chỉ có trong nội bộ bằng thông tin chi tiết sử dụng nguồn lực cộng đồng. Kẻ thù cũng nhắm mục tiêu vào các tổ chức khác và dấu vết của chúng xuất hiện trong VirusTotal. Điều này giúp hoàn thiện bức tranh cho nhóm bảo mật của bạn. Với phiên bản Nâng cao của báo cáo VirusTotal, việc loại bỏ kết quả dương tính giả và xác nhận cũng như leo thang kết quả dương tính thật sẽ nhanh hơn đáng kể.
  • Cải thiện khả năng khắc phục mối đe doạ—Sử dụng biểu đồ mối đe doạ tương tác và các cấu phần phần mềm liên quan để xác định các IOC được liên kết với một thông báo thích hợp, đồng thời sử dụng các IOC đó để hiểu đầy đủ tác động của một cuộc tấn công đối với tổ chức của bạn bằng cách tìm kiếm thông qua dữ liệu đo từ xa về bảo mật. Ví dụ: Tất cả các miền đang phân phối một hàm băm có trong một trong các thông báo của bạn là gì? Đối với từng miền, ngay cả khi chưa thấy trong môi trường của tôi, hãy chặn các miền đó trong ranh giới mạng.
  • Chiến lược phòng thủ chủ động—Bạn có thể chuyển sang VT Enterprise và xác định cơ sở hạ tầng mối đe doạ có thể chưa xuất hiện trong nhật ký của bạn. Hoặc bạn có thể xác định phần mềm độc hại khác do cùng một tác nhân đe doạ vận hành và chặn phần mềm độc hại này trong ranh giới mạng và điểm cuối trước khi phần mềm độc hại đó tác động đến tổ chức của bạn. Ví dụ: cho một miền lệnh và kiểm soát cho một trong các tệp mà bạn đang nghiên cứu, hãy chuyển sang các miền khác do cùng một tác nhân đe doạ đăng ký mà có thể chưa được tận dụng trong một chiến dịch, sau đó chặn các miền đó một cách phòng ngừa trong trường hợp cuối cùng các miền đó được tận dụng để chống lại công ty của bạn.

Để biết thêm thông tin chi tiết về các tính năng của báo cáo VirusTotal, hãy xem thông tin tổng quan về các dịch vụ trên trang web của VirusTotal. Bạn cũng có thể xem bài viết Cách hoạt động – VirusTotal hoặc liên hệ với chúng tôi để tìm hiểu thêm.

Đăng ký tài khoản doanh nghiệp VT

Như mô tả ở trên, báo cáo của VirusTotal có thể bao gồm các dịch vụ thông tin tình báo bổ sung về mối đe doạ và các tính năng nâng cao với phiên bản Nâng cao của báo cáo VirusTotal. Để biết thêm thông tin chi tiết và đăng ký VT Enterprise, hãy liên hệ với nhóm VirusTotal team.

VirusTotal là một sản phẩm của Alphabet giúp phân tích các tệp, URL, miền và địa chỉ IP đáng ngờ để phát hiện phần mềm độc hại và các loại mối đe doạ khác, sau đó tự động chia sẻ các mối đe doạ đó với cộng đồng bảo mật.

Để xem báo cáo của VirusTotal, bạn cần gửi các hàm băm của tệp đính kèm, địa chỉ IP hoặc miền cho VirusTotal.

Bằng cách sử dụng VirusTotal, bạn xác nhận rằng dữ liệu mà mình gửi tuân thủ Điều khoản dịch vụChính sách quyền riêng tư của VirusTotal và rằng VirusTotal có thể chia sẻ những dữ liệu đó với cộng đồng bảo mật.

Câu hỏi thường gặp

Tôi có phải trả thêm phí khi sử dụng phiên bản Tiêu chuẩn của báo cáo VirusTotal không?

Không. Phiên bản Tiêu chuẩn của báo cáo VirusTotal dành cho những quản trị viên có quyền Trung tâm bảo mật sau đó VirusTotal sau đó Xem báo cáo.

Nếu muốn nâng cao trải nghiệm và cải thiện khả năng đưa ra quyết định cũng như khả năng điều tra thông qua thông tin tình báo nâng cao về mối đe doạ và uy tín, bạn cần đăng ký VT Enterprise trả phí.

Trải nghiệm của khách hàng VirusTotal trả phí có khác không?

Có. Nếu có gói đăng ký VirusTotal trả phí (còn gọi là VT Enterprise), bạn sẽ thấy kết quả nâng cao thông qua công cụ điều tra mà không ảnh hưởng đến hạn mức VirusTotal. Hạn mức chỉ được sử dụng khi mở các trang virustotal.com.

Làm cách nào để đăng ký VT Enterprise để có thể hưởng lợi từ phiên bản Nâng cao của báo cáo VirusTotal?

Để biết thêm thông tin về VT Enterprise và yêu cầu thời gian dùng thử, hãy xem thông tin tổng quan về các dịch vụ trên trang web của VirusTotal. Để đăng ký VT Enterprise, hãy gửi biểu mẫu này.

Ngoài phiên bản Nâng cao của báo cáo VirusTotal, gói đăng ký VT Enterprise còn có những lợi ích nào khác không?

Có. Với VT Enterprise, bạn có thể triển khai các trường hợp sử dụng khác đặc biệt phù hợp với trung tâm điều hành bảo mật, nhóm ứng phó khẩn cấp với sự cố máy tính, nhóm ứng phó sự cố và đơn vị thông tin tình báo về mối đe doạ:

  • Tự động làm phong phú dữ liệu đo từ xa về bảo mật—Bao gồm phân loại thông báo, loại bỏ kết quả dương tính giả, xác nhận kết quả dương tính thật và tương quan độ tin cậy.
  • Ứng phó sự cố và phân tích pháp y—Bao gồm phân loại thông báo về hoạt động bảo mật, phân tích sự cố và bối cảnh, phát hiện cấu phần phần mềm và xác định IOC.
  • Thông tin tình báo về mối đe doạ và săn tìm nâng cao—Bao gồm phát hiện mối đe doạ không xác định, giám sát chiến dịch đe doạ, theo dõi đối thủ, xác định IOC phòng ngừa, khám phá bối cảnh mối đe doạ và nhận biết tình huống.
  • Giám sát cơ sở hạ tầng chống lừa đảo, chống gian lận, thương hiệu và doanh nghiệp—Bao gồm theo dõi chiến dịch lừa đảo, phân tích trojan ngân hàng và phần mềm đánh cắp thông tin, giám sát hành vi mạo danh thương hiệu, phân phối phần mềm độc hại và xác định hành vi sử dụng sai mục đích cơ sở hạ tầng doanh nghiệp.
  • Đội đỏ và tấn công có đạo đức—Bao gồm trinh sát và nhận dạng thụ động, mô phỏng hành vi xâm phạm và tấn công, đồng thời xác thực ngăn xếp bảo mật.
  • Ưu tiên lỗ hổng—Bao gồm các chiến lược vá lỗi thông minh dựa trên rủi ro, giám sát việc vũ khí hoá lỗ hổng trong thực tế và ánh xạ tác nhân đe doạ để khai thác lỗ hổng.

Để biết thêm thông tin chi tiết về cách VT Enterprise có thể nâng cao hoạt động bảo mật của bạn, hãy xem thông tin tổng quan về VirusTotal 360. Để tìm hiểu thêm, hãy liên hệ với các chuyên gia VirusTotal của chúng tôi.

Dữ liệu có được chia sẻ với báo cáo VirusTotal mà không cần hành động của quản trị viên không?

Không. Tất cả chức năng đều dựa trên việc quản trị viên chọn xem báo cáo của VirusTotal. Chỉ sau khi quản trị viên thực hiện hành động này, hàm băm của tệp, miền hoặc địa chỉ IP mới được chia sẻ với VirusTotal để yêu cầu báo cáo đánh giá rủi ro về thực thể đã chọn.

Nếu là khách hàng VT Enterprise, việc xem báo cáo của VirusTotal thông qua công cụ điều tra có sử dụng hạn mức của tôi không?

Không. Việc mở báo cáo của VirusTotal thông qua công cụ điều tra không sử dụng bất kỳ hạn mức nào của VT Enterprise. Nếu quản trị viên mở trang web của VirusTotal để nghiên cứu thêm trong công cụ điều tra, thì thao tác đó sẽ được tính vào mức sử dụng hạn mức tiêu chuẩn giống như khi truy cập trực tiếp vào virustotal.com.

Tệp có được chia sẻ không?

Không. Chỉ hàm băm của tệp được gửi đến VirusTotal.