Ver relatórios do VirusTotal na ferramenta de investigação

Acesse outros insights de segurança relacionados aos eventos de registro do Gmail e do Chrome.
Edições que têm esse recurso: Frontline Standard e Frontline Plus, Enterprise Plus, Education Standard e Education Plus, Enterprise Essentials Plus. Comparar sua edição

O VirusTotal, que agora faz parte do Google Cloud, fornece dados de reputação e contexto de ameaças para ajudar a analisar arquivos, URLs, domínios e endereços IP suspeitos e detectar riscos de segurança cibernética. Os relatórios do VirusTotal contêm muitos detalhes reunidos por crowdsourcing sobre por que um domínio, anexo de arquivo ou endereço IP pode ser considerado perigoso. Veja mais informações no site do VirusTotal.

Na ferramenta de investigação de segurança, é possível acessar diretamente os relatórios do VirusTotal relacionados aos anexos de e-mail que estão circulando na sua organização ou aos eventos de registro do Chrome. Assim, é possível acessar dados de reputação e contexto de ameaças relevantes para uma investigação. Por exemplo, um relatório do VirusTotal pode indicar que vários fornecedores de segurança sinalizaram um domínio específico como malicioso.

Observação:

  • Para ver os relatórios do VirusTotal na ferramenta de investigação, você precisa do privilégio Central de segurança e depois VirusTotal e depois Ver relatório.
  • O VirusTotal não é usado para detectar malware ou outras ameaças à segurança. Ele melhora os resultados de uma investigação porque mostra mais insights sobre segurança e ajuda você a tomar decisões enquanto resolve problemas de segurança.
  • Os dados (hashes de anexo de arquivo) só são compartilhados com o VirusTotal depois que o administrador seleciona a visualização do relatório desse produto. Outros dados não são compartilhados.
  • Os dados do VirusTotal são compartilhados com a comunidade de segurança em geral. Com isso, os fornecedores de segurança podem colaborar uns com os outros, compartilhar informações importantes e tomar medidas contra ameaças.
  • Você também pode consultar os relatórios do VirusTotal na Central de alertas para ter mais insights de segurança relacionados aos alertas. Para mais detalhes, consulte Ver relatórios do VirusTotal na Central de alertas.

  1. Faça login no Google Admin Console em admin.google.com.

    Faça login com sua conta de administrador (não termina em @gmail.com).

  2. No menu de navegação à esquerda, acesse Segurança e depois Central de segurança e depois Ferramenta de investigação.

  3. Escolha Mensagens do Gmail ou Eventos de registro do Gmail como a origem de dados da sua pesquisa.

  4. Clique em Adicionar condição e escolha Com anexo.

  5. Clique em Pesquisar.

  6. Em um dos itens nos resultados da pesquisa na parte de baixo da página, clique no link ID da mensagem ou Assunto.

  7. No painel lateral, clique na guia Mensagem ou Conversa.

  8. Clique em Ver relatório do VirusTotal.

O relatório do VirusTotal tem várias seções com detalhes sobre possíveis ameaças de segurança. Por exemplo, você pode ver uma lista de fornecedores de segurança que sinalizaram um arquivo como malicioso, além dos resultados da verificação de arquivos de cada um.

  1. Faça login no Google Admin Console em admin.google.com.

    Faça login com sua conta de administrador (não termina em @gmail.com).

  2. No menu de navegação à esquerda, acesse Segurança e depois Central de segurança e depois Ferramenta de investigação.

  3. Escolha Eventos de registro do Chrome como a fonte de dados da sua pesquisa.

  4. Clique em Adicionar condição e escolha uma condição para a pesquisa.

  5. Clique em Pesquisar.

  6. Nos resultados da pesquisa na parte de baixo da página, clique em um dos links na coluna Hash de conteúdo.

  7. No painel lateral, clique em Ver relatório do VirusTotal.

O relatório do VirusTotal tem várias seções com detalhes sobre possíveis ameaças de segurança.

Versões Standard e Enhanced dos relatórios do VirusTotal

O relatório do VirusTotal tem duas versões: Standard e Enhanced. A versão Standard é exibida para administradores que têm o privilégio Central de segurança e depois VirusTotal e depois Ver relatório e uma das edições necessárias do Google Workspace. A versão Enhanced é exibida automaticamente para os assinantes pagos do VirusTotal que têm uma sessão de login ativa no virustotal.com com a conta de usuário do VT Enterprise.

Para saber mais sobre o VT Enterprise e solicitar um teste, consulte a visão geral dos serviços no site do VirusTotal. Para assinar o VT Enterprise, preencha este formulário.

Recursos incluídos na versão Standard

A versão Standard dos relatórios do VirusTotal inclui o seguinte:

  • Reputação da ameaça: avaliações de mais de 70 fornecedores de soluções de segurança.
  • Propagação da ameaça: datas importantes para entender quando uma ameaça específica apareceu pela primeira vez e por quanto tempo está ativa.
  • Identificação de arquivos: indicadores e características para você consultar e compartilhar a ameaça com outros analistas (por hash, tipo e tamanho de arquivo etc.)

Recursos incluídos na versão Enhanced

A versão Enhanced dos relatórios do VirusTotal inclui os mesmos recursos da versão Standard, além dos seguintes:

  • Detecção multiangular: análises extras de ameaças resultantes das avaliações da comunidade e correspondências de regras reunidas por crowdsourcing (por exemplo, regras YARA, Sigma e IDS)
  • Informações para a lista de permissões: nos eventos de registros do Gmail, detalhes úteis para melhorar o descarte de falso positivos (Biblioteca Nacional de Referência de Software, distribuidores de software, feed de metadados limpos da Microsoft etc.)
  • Indicadores de comprometimento (IOCs) relacionados: exemplos de IOCs incluem uma infraestrutura de rede que distribua um arquivo de malware, servidores que funcionem como um comando e controle de uma ameaça, vetores de entrega de primeiro estágio de um arquivo que está sendo estudado, entre outras opções
  • Gráfico interativo de ameaças: mapeamento de campanhas inteiras de ameaças que mostra as relações entre IOCs
  • Metadados relevantes para a segurança: informações sobre o editor do software, a identificação de macros maliciosas em documentos, permissões de apps Android e muito mais
  • Detalhes disponíveis para o público: metadados de envio do VirusTotal com informações geográficas e sobre propagação das ameaças, técnicas enganosas comuns dos invasores e muito mais.
  • Análise dinâmica de atributos suspeitos: detalhes clicáveis nos relatórios que mostram o conjunto global de dados do VirusTotal sobre outras ameaças com as mesmas propriedades

Benefícios e casos de uso da versão Enhanced

  • Detecção aprimorada de ameaças: aproveite as regras reunidas por crowdsourcing para detalhar e contextualizar ameaças, mesmo quando elas ainda não são amplamente conhecidas pelos fornecedores de segurança.
  • Investigações e tomada de decisões mais rápidas: aumente a eficiência da sua equipe de segurança complementando a visão exclusivamente interna com contexto reunido por crowdsourcing. As ameaças que outras organizações também sofrem aparecem no VirusTotal, o que ajuda sua equipe de segurança a ter uma visão geral. Com a versão Enhanced dos relatórios do VirusTotal, você descarta os falsos positivos e confirma e encaminha os verdadeiros positivos para um supervisor com muito mais rapidez.
  • Defesa aprimorada contra ameaças: use o gráfico interativo de ameaças e os artefatos relacionados para identificar IOCs vinculados a um alerta relevante e entender todo o impacto de um ataque na sua organização ao pesquisar a telemetria de segurança. Por exemplo: quais são os domínios que geram um hash em um dos alertas? Bloquear cada um desses domínios no perímetro da rede, mesmo que ainda não estejam visíveis no meu ambiente.
  • Estratégia de defesa proativa: você pode fazer análises dinâmicas no VT Enterprise e identificar infraestruturas de ameaças que talvez não tenham aparecido nos registros. Também é possível identificar outro malware do mesmo invasor e fazer o bloqueio nos endpoints e no perímetro da rede antes que ele ataque a organização. Por exemplo, dado um domínio de comando e controle de um dos arquivos que você está estudando, faça uma análise dinâmica de outros domínios registrados pelo mesmo invasor que talvez ainda não tenham sido usados em uma campanha e bloqueie preventivamente todos eles para que não sejam usados contra sua empresa.

Para saber mais sobre os recursos de relatórios do VirusTotal, consulte a visão geral dos serviços no site do VirusTotal. Consulte também Como funciona - VirusTotal ou entre em contato para saber mais.

Assinar uma conta corporativa do VT Enterprise

Conforme descrito acima, os relatórios do VirusTotal podem incluir serviços extras de inteligência sobre ameaças e recursos avançados na versão Enhanced. Para saber mais e assinar o VT Enterprise, fale com a equipe do VirusTotal.

O VirusTotal é um produto da Alphabet que analisa arquivos, URLs, domínios e endereços IP suspeitos para detectar malware e outros tipos de ameaças e os compartilha automaticamente com a comunidade de segurança.

Para ver os relatórios do VirusTotal, você envia ao serviço os hashes de anexos dos arquivos, os endereços IP ou os domínios.

Ao usar o VirusTotal, você confirma que os Termos de Serviço e a Política de Privacidade do VirusTotal se aplicam aos dados enviados e que o VirusTotal pode compartilhá-los com a comunidade de segurança.

Dúvidas comuns

A versão Standard dos relatórios do VirusTotal tem algum custo extra?

Não. A versão Standard dos relatórios do VirusTotal está disponível para os administradores que têm o privilégio Central de segurança e depois VirusTotal e depois Ver relatório.

Se você quiser melhorar sua experiência e os recursos de investigação e tomada de decisão com dados avançados de reputação e contexto de ameaças, precisará de uma assinatura do VT Enterprise.

Os clientes pagos do VirusTotal têm uma experiência diferente?

Sim. Se você tiver uma assinatura paga do VirusTotal, também conhecida como VT Enterprise, verá resultados aprimorados com a ferramenta de investigação, sem qualquer impacto na sua cota do VirusTotal. A cota só é usada quando você abre as páginas de virustotal.com.

Como posso assinar o VT Enterprise para ter os benefícios da versão Enhanced dos relatórios do VirusTotal?

Para saber mais sobre o VT Enterprise e solicitar um teste, consulte a visão geral dos serviços no site do VirusTotal. Para assinar o VT Enterprise, preencha este formulário.

Além da versão Enhanced dos relatórios do VirusTotal, há outras vantagens na assinatura do VT Enterprise?

Sim. Com o VT Enterprise, você pode implementar outros casos de uso particularmente relevantes para os centros de operações de segurança, as equipes de emergência de computação, as equipes de resposta a incidentes e as unidades de inteligência contra ameaças:

  • Aprimoramento automatizado da telemetria de segurança: inclui a seleção de alertas, o descarte de falsos positivos, a confirmação de verdadeiros positivos e a correlação de confiança.
  • Resposta a incidentes e análise forense: inclui a seleção de alertas de operações de segurança, a análise e a contextualização de incidentes, a descoberta de artefatos e a identificação de IOCs.
  • Inteligência contra ameaças e detecção avançada: inclui a descoberta de ameaças desconhecidas, o monitoramento de campanhas de ameaças, o rastreamento de adversários, a identificação preventiva de IOCs, a exploração dos cenários de ameaças e a consciência situacional.
  • Monitoramento antiphishing, antifraude, de marca e infraestrutura corporativa: inclui o rastreamento de campanhas de phishing, a análise detalhada de roubos de informações e cavalos de troia em bancos, o monitoramento da falsificação de identidade de marcas e a identificação de abuso da infraestrutura corporativa.
  • Red teaming e hacking ético: inclui técnicas de reconhecimento e impressão digital passiva, a simulação de violações e ataques e a validação da pilha de segurança.
  • Priorização de vulnerabilidades: inclui estratégias inteligentes de uso de patches em situações de risco, o monitoramento defensivo das vulnerabilidades conhecidas e o mapeamento da exploração das vulnerabilidades por invasores.

Para mais detalhes sobre como o VT Enterprise pode melhorar suas operações de segurança, consulte a visão geral de 360º do VirusTotal. Para saber mais, fale com nossos especialistas.

Os dados são compartilhados nos relatórios do VirusTotal sem autorização do administrador?

Não. Toda a funcionalidade é baseada na autorização do administrador para ver o relatório do VirusTotal. Só depois que ele autoriza é que o hash de arquivo, o domínio ou o endereço IP é compartilhado com o VirusTotal para gerar o relatório de avaliação de risco da entidade selecionada.

Se eu for cliente do VT Enterprise, abrir os relatórios do VirusTotal na ferramenta de investigação vai usar minha cota?

Não. A abertura de relatórios do VirusTotal por meio da ferramenta de investigação não usa nenhuma cota do VT Enterprise. Se um administrador abrir o site do VirusTotal para fazer mais pesquisas na ferramenta de investigação, a cota da versão Standard será usada da mesma forma que ao acessar virustotal.com.

Os arquivos são compartilhados?

Não. Apenas os hashes dos arquivos são enviados para o VirusTotal.