Просматривайте отчеты VirusTotal, полученные с помощью инструмента расследования.

Получите дополнительную информацию о безопасности, связанную с событиями в журналах Gmail и Chrome.
Поддерживаемые версии для этой функции: Frontline Standard и Frontline Plus; Enterprise Plus; Education Standard и Education Plus; Enterprise Essentials Plus. Сравните вашу версию.

VirusTotal, теперь входящий в состав Google Cloud, предоставляет данные о контексте угроз и репутации, помогая анализировать подозрительные файлы, URL-адреса, домены и IP-адреса для выявления угроз кибербезопасности. Отчеты VirusTotal содержат множество подробностей, полученных от пользователей, о том, почему домен, вложенный файл или IP-адрес могут считаться опасными. (Более подробную информацию можно найти на веб-сайте VirusTotal .)

С помощью инструмента для проведения расследований в сфере безопасности вы можете напрямую получить доступ к отчетам VirusTotal, касающимся вложений в электронных письмах, распространяемых в вашей организации, или событий в журналах Chrome. Это позволяет получить контекст угроз и данные о репутации, имеющие значение для расследования. Например, отчет VirusTotal может показать, что несколько поставщиков решений в области безопасности пометили определенный домен как вредоносный.

Примечание:

  • Для просмотра отчетов VirusTotal из инструмента проверки вам потребуется Центр безопасности . а потом VirusTotal а потом Права доступа к отчету .
  • VirusTotal не используется для обнаружения вредоносных программ или других угроз безопасности. VirusTotal расширяет результаты расследования, предоставляя дополнительную информацию о безопасности и помогая вам принимать решения при решении проблем безопасности.
  • Данные (хеши вложенных файлов) передаются в VirusTotal только после того, как ваш администратор выберет просмотр отчета VirusTotal. В противном случае данные не передаются.
  • Данные VirusTotal доступны широкому сообществу специалистов по безопасности. Это позволяет поставщикам решений в области безопасности сотрудничать друг с другом, обмениваться важной информацией и принимать меры по борьбе с угрозами безопасности.
  • Вы также можете просматривать отчеты VirusTotal в центре оповещений, чтобы получить дополнительную информацию о безопасности, связанную с оповещениями. Подробнее см. раздел «Просмотр отчетов VirusTotal в центре оповещений» .

  1. Войдите в консоль администратора Google по адресу admin.google.com .

    Войдите в систему, используя свою учетную запись администратора (адрес не заканчивается на @gmail.com).

  2. В левом навигационном меню перейдите в раздел «Безопасность» . а потом Центр безопасности а потом Инструмент расследования .

  3. В качестве источника данных для поиска выберите сообщения Gmail или события журнала Gmail .

  4. Нажмите «Добавить условие» и выберите «Есть вложение» .

  5. Нажмите «Поиск» .

  6. В нижней части страницы в результатах поиска выберите один из пунктов, нажав на ссылку «Идентификатор сообщения» или «Тема» .

  7. На боковой панели щелкните вкладку «Сообщения» или «Обсуждения» .

  8. Нажмите «Просмотреть отчет VirusTotal» .

Отчет VirusTotal содержит несколько разделов с подробной информацией о потенциальных угрозах безопасности. Например, вы можете просмотреть список поставщиков решений в области безопасности, которые пометили файл как вредоносный, а также результаты сканирования файлов для каждого из этих поставщиков.

  1. Войдите в консоль администратора Google по адресу admin.google.com .

    Войдите в систему, используя свою учетную запись администратора (адрес не заканчивается на @gmail.com).

  2. В левом навигационном меню перейдите в раздел «Безопасность» . а потом Центр безопасности а потом Инструмент расследования .

  3. В качестве источника данных для поиска выберите события журнала Chrome .

  4. Нажмите «Добавить условие» и выберите условие для поиска.

  5. Нажмите «Поиск» .

  6. В результатах поиска внизу страницы щелкните одну из ссылок в столбце «Хэш контента» .

  7. На боковой панели нажмите «Просмотреть отчет VirusTotal» .

Отчет VirusTotal содержит несколько разделов с подробной информацией о потенциальных угрозах безопасности.

Стандартная и расширенная версии отчетов VirusTotal

Отчет VirusTotal имеет две версии: Standard и Enhanced. Стандартная версия отображается для администраторов, имеющих доступ к Центру безопасности. а потом VirusTotal а потом Для пользователей с правами доступа к отчетам и имеющих одну из необходимых версий Google Workspace, расширенная версия отображается автоматически. Для платных подписчиков VirusTotal , имеющих активную сессию входа на virustotal.com с использованием своей учетной записи VT Enterprise , автоматически отображается расширенная версия.

Для получения дополнительной информации о VT Enterprise и запроса пробной версии ознакомьтесь с обзором услуг на веб-сайте VirusTotal. Чтобы зарегистрироваться в VT Enterprise, заполните эту форму .

Функции, включенные в стандартную версию

В стандартную версию отчетов VirusTotal входят следующие данные:

  • Репутация угрозы — оценки уровня вредоносности, полученные от более чем 70 поставщиков решений в области безопасности.
  • Временной интервал угрозы — ключевые даты, позволяющие понять, когда та или иная угроза была впервые обнаружена в дикой природе и как долго она оставалась активной.
  • Идентификация файла — идентификаторы и характеристики, позволяющие идентифицировать угрозу и поделиться ими с другими аналитиками (хеши файлов, тип файла, размер и т. д.).

Функции, включенные в расширенную версию

Расширенная версия отчетов VirusTotal включает в себя те же функции, что и стандартная версия, а также следующие возможности :

  • Многоугловое обнаружение — дополнительный анализ угроз, основанный на результатах сопоставления правил, полученных методом краудсорсинга, и оценке сообщества (например, правила YARA, Sigma и IDS).
  • Информация из списка разрешенных адресов — для событий журнала Gmail, полезные сведения для отбрасывания ложных срабатываний (Национальная библиотека программного обеспечения, дистрибьюторы программного обеспечения, канал чистых метаданных Microsoft и т. д.).
  • Связанные индикаторы компрометации (IOC) — Примерами IOC являются сетевая инфраструктура, распространяющая вредоносный файл, серверы, выступающие в качестве командно-контрольного пункта для данной угрозы, векторы доставки изучаемого файла на первом этапе и т. д.
  • Интерактивный граф угроз — графический формат, отображающий целые кампании угроз путем визуализации взаимосвязей между индикаторами компрометации.
  • Метаданные, имеющие отношение к безопасности , включают информацию об издателе программного обеспечения, идентификацию вредоносных макросов в документах, разрешения приложений Android и т. д.
  • Подробная информация о реальных угрозах — географические и временные данные об угрозах, распространенных методах обмана злоумышленников и многое другое, полученные из метаданных, предоставленных VirusTotal.
  • Подозрительное изменение атрибутов — интерактивные детали в отчетах VirusTotal, позволяющие изучить глобальный набор данных VirusTotal на предмет других угроз, имеющих схожие свойства.

Преимущества и варианты использования расширенной версии

  • Улучшенное обнаружение угроз — используйте правила, созданные с помощью краудсорсинга, для точного определения угроз и получения контекста о них, даже если они еще не широко известны поставщикам решений в области безопасности.
  • Ускоренное расследование и принятие решений — повысьте эффективность работы вашей команды безопасности, дополняя внутренние сообщения о подозрительных угрозах контекстом, полученным от пользователей. Злоумышленники также атакуют другие организации, и их следы отображаются в VirusTotal — это помогает вашей команде безопасности составить полную картину. В расширенной версии отчетов VirusTotal отбрасывание ложных срабатываний, а также подтверждение и передача истинных срабатываний происходит значительно быстрее.
  • Улучшенное устранение угроз — Используйте интерактивный граф угроз и связанные с ним артефакты для выявления индикаторов компрометации (IOC), связанных с соответствующим оповещением, и используйте их для полного понимания влияния атаки на вашу организацию, просматривая телеметрию безопасности. Например: Какие домены передают хэш, содержащийся в одном из ваших оповещений? Для каждого из них, даже если он еще не обнаружен в вашей среде, заблокируйте его в сетевом периметре.
  • Стратегия проактивной защиты — Вы можете использовать VT Enterprise для выявления угроз инфраструктуры, которые могли не отобразиться в ваших журналах. Или вы можете выявить другое вредоносное ПО, используемое тем же злоумышленником, и заблокировать его в периметре вашей сети и на конечных устройствах, прежде чем оно нанесет ущерб вашей организации. Например: имея домен управления для одного из изучаемых вами файлов, переключитесь на другие домены, зарегистрированные тем же злоумышленником, которые, возможно, еще не использовались в кампании, и затем превентивно заблокируйте эти домены на случай, если они в конечном итоге будут использованы против вашей компании.

Для получения более подробной информации о функциях отчета VirusTotal см. обзор услуг на веб-сайте VirusTotal . См. также раздел «Как это работает — VirusTotal » или свяжитесь с нами, чтобы узнать больше .

Зарегистрируйте корпоративный аккаунт VT Enterprise

Как описано выше, отчеты VirusTotal могут включать дополнительные сервисы анализа угроз и расширенные функции в расширенной версии отчетов VirusTotal. Для получения более подробной информации и регистрации в VT Enterprise свяжитесь с командой VirusTotal .

VirusTotal — это продукт компании Alphabet, который анализирует подозрительные файлы, URL-адреса, домены и IP-адреса для обнаружения вредоносных программ и других типов угроз, а также автоматически передает результаты в сообщество специалистов по безопасности.

Для просмотра отчетов VirusTotal вам потребуется отправить в VirusTotal хеши вложенных файлов, IP-адреса или домены.

Используя VirusTotal, вы подтверждаете, что к предоставленным вами данным применяются Условия предоставления услуг и Политика конфиденциальности VirusTotal, и VirusTotal может передавать предоставленные вами данные сообществу специалистов по безопасности.

Часто задаваемые вопросы

Взимается ли дополнительная плата за использование стандартной версии отчетов VirusTotal?

Нет. Стандартная версия отчетов VirusTotal доступна администраторам, имеющим доступ к Центру безопасности. а потом VirusTotal а потом Права доступа к отчету .

Если вы хотите улучшить пользовательский опыт, повысить эффективность принятия решений и расширить возможности проведения расследований за счет анализа контекста угроз и репутации, вам необходима платная подписка VT Enterprise .

Отличается ли пользовательский опыт для платных подписчиков VirusTotal?

Да. Если у вас есть платная подписка на VirusTotal, также известная как VT Enterprise, вы увидите улучшенные результаты проверки с помощью инструмента расследования без какого-либо влияния на вашу квоту VirusTotal. Квота используется только при открытии страниц virustotal.com .

Как мне зарегистрироваться в VT Enterprise, чтобы воспользоваться расширенной версией отчетов VirusTotal?

Для получения дополнительной информации о VT Enterprise и запроса пробной версии ознакомьтесь с обзором услуг на веб-сайте VirusTotal. Чтобы зарегистрироваться в VT Enterprise, заполните эту форму .

Помимо расширенной версии отчетов VirusTotal, есть ли еще какие-либо преимущества у подписки VT Enterprise?

Да. С помощью VT Enterprise вы можете реализовать и другие сценарии использования, особенно актуальные для центров оперативного управления безопасностью, групп реагирования на компьютерные чрезвычайные ситуации, групп реагирования на инциденты и подразделений анализа угроз:

  • Автоматизированное обогащение телеметрии безопасности — это включает в себя сортировку оповещений, отбрасывание ложноположительных результатов, подтверждение истинноположительных результатов и корреляцию достоверности.
  • Реагирование на инциденты и криминалистический анализ — это включает в себя сортировку оповещений в рамках операций по обеспечению безопасности, анализ инцидентов и контекста, поиск артефактов и идентификацию индикаторов компрометации.
  • Анализ угроз и расширенный поиск угроз — это включает в себя обнаружение неизвестных угроз, мониторинг кампаний угроз, отслеживание противников, превентивное выявление индикаторов компрометации, изучение ландшафта угроз и ситуационную осведомленность.
  • Мониторинг фишинга, мошенничества, бренда и корпоративной инфраструктуры — это включает отслеживание фишинговых кампаний, анализ банковских троянов и программ для кражи информации, мониторинг подделки брендов, распространение вредоносного ПО и выявление злоупотреблений в корпоративной инфраструктуре.
  • «Красная команда» и этичный хакинг — это включает в себя разведку и пассивную идентификацию, моделирование взломов и атак, а также проверку надежности стека безопасности.
  • Приоритизация уязвимостей — это включает в себя продуманные стратегии обновления программного обеспечения, основанные на оценке рисков, мониторинг использования уязвимостей в реальных условиях и сопоставление действий злоумышленников с эксплуатацией уязвимостей .

Для получения более подробной информации о том, как VT Enterprise может повысить безопасность ваших операций, ознакомьтесь с обзором VirusTotal 360. Чтобы узнать больше, свяжитесь со специалистами VirusTotal .

Передаются ли данные в отчеты VirusTotal без участия администратора?

Нет. Весь функционал основан на выборе администратором просмотра отчета VirusTotal. Только после выполнения администратором этого действия хэш файла, домен или IP-адрес передаются в VirusTotal для запроса отчета об оценке риска для выбранного объекта.

Если я являюсь клиентом VT Enterprise, будет ли просмотр отчетов VirusTotal через инструмент расследования расходовать мою квоту?

Нет. Открытие отчетов VirusTotal через инструмент расследования не расходует вашу квоту VT Enterprise. Если администратор открывает веб-сайт VirusTotal для проведения дополнительных исследований с помощью инструмента расследования, это будет учитываться в рамках стандартного использования квоты так же, как и прямой переход на virustotal.com .

Файлы передаются между пользователями?

Нет. В VirusTotal отправляются только хеши файлов.