Xem báo cáo của VirusTotal trong công cụ điều tra

Thu thập thêm thông tin chi tiết về bảo mật liên quan đến các sự kiện trong nhật ký Gmail và Chrome
Các phiên bản hỗ trợ tính năng này: Frontline Standard và Frontline Plus; Enterprise Plus; Education Standard và Education Plus; Enterprise Essentials Plus. So sánh phiên bản của bạn

VirusTotal (hiện là một phần của Google Cloud) cung cấp dữ liệu về uy tín và bối cảnh liên quan đến mối đe doạ để giúp phân tích các tệp, URL, miền và địa chỉ IP đáng ngờ nhằm phát hiện các mối đe doạ an ninh mạng. Báo cáo của VirusTotal cung cấp nhiều thông tin chi tiết sử dụng nguồn lực cộng đồng về lý do một miền, tệp đính kèm hoặc địa chỉ IP có thể được coi là tiềm ẩn rủi ro. (Để biết thêm thông tin chi tiết, hãy xem trang web của VirusTotal.)

Trong công cụ điều tra bảo mật, bạn có thể truy cập trực tiếp vào các báo cáo VirusTotal liên quan đến tệp đính kèm email đang lưu hành trong tổ chức của mình hoặc liên quan đến sự kiện trong nhật ký Chrome. Nhờ đó, bạn có thể thu thập dữ liệu về uy tín và bối cảnh liên quan đến mối đe doạ trong quá trình điều tra. Ví dụ: báo cáo VirusTotal có thể cho bạn biết rằng nhiều nhà cung cấp dịch vụ bảo mật đã gắn cờ một miền cụ thể là độc hại.

Lưu ý:

  • Để xem báo cáo của VirusTotal trong công cụ điều tra, bạn cần có đặc quyền Trung tâm bảo mật sau đó VirusTotal sau đó Xem báo cáo.
  • VirusTotal không được dùng để phát hiện phần mềm độc hại hoặc các mối đe doạ bảo mật khác. VirusTotal trình bày chi tiết hơn kết quả điều tra bằng cách cung cấp thêm thông tin chi tiết về bảo mật và hỗ trợ bạn đưa ra quyết định khi giải quyết các mối lo ngại về bảo mật.
  • Dữ liệu (băm tệp đính kèm) chỉ được chia sẻ với VirusTotal sau khi quản trị viên chọn xem báo cáo VirusTotal. Chúng tôi không chia sẻ dữ liệu theo cách khác.
  • Dữ liệu của VirusTotal được chia sẻ với cộng đồng bảo mật rộng lớn hơn. Điều này cho phép các nhà cung cấp dịch vụ bảo mật hợp tác với nhau, chia sẻ thông tin chi tiết quan trọng và hành động để chống lại các mối đe doạ bảo mật.
  • Bạn cũng có thể xem báo cáo của VirusTotal trong trung tâm thông báo để biết thêm thông tin chi tiết về bảo mật liên quan đến các thông báo. Để biết chi tiết, hãy xem bài viết Xem báo cáo của VirusTotal trong trung tâm thông báo.

  1. Đăng nhập vào Bảng điều khiển dành cho quản trị viên của Google tại admin.google.com.

    Đăng nhập bằng tài khoản quản trị viên của bạn (tài khoản không có đuôi là @gmail.com).

  2. Trên trình đơn điều hướng bên trái, hãy chuyển đến phần Bảo mật sau đó Trung tâm bảo mật sau đó Công cụ điều tra.

  3. Chọn Thư trong Gmail hoặc Sự kiện trong nhật ký Gmail làm nguồn dữ liệu cho nội dung bạn tìm kiếm.

  4. Nhấp vào Thêm điều kiện rồi chọn Có tệp đính kèm.

  5. Nhấp vào Tìm kiếm.

  6. Trong một trong các mục trong kết quả tìm kiếm ở cuối trang, hãy nhấp vào đường liên kết Mã nhận dạng của thư hoặc đường liên kết Tiêu đề.

  7. Trong bảng điều khiển bên, hãy nhấp vào thẻ Thư hoặc thẻ Chuỗi thư.

  8. Nhấp vào Xem báo cáo của VirusTotal.

Báo cáo VirusTotal có nhiều phần, trong đó có thông tin chi tiết về các mối đe doạ bảo mật tiềm ẩn. Ví dụ: bạn có thể xem danh sách các nhà cung cấp dịch vụ bảo mật đã gắn cờ một tệp là độc hại, đồng thời xem kết quả quét tệp của từng nhà cung cấp này.

  1. Đăng nhập vào Bảng điều khiển dành cho quản trị viên của Google tại admin.google.com.

    Đăng nhập bằng tài khoản quản trị viên của bạn (tài khoản không có đuôi là @gmail.com).

  2. Trên trình đơn điều hướng bên trái, hãy chuyển đến phần Bảo mật sau đó Trung tâm bảo mật sau đó Công cụ điều tra.

  3. Chọn Sự kiện trong nhật ký Chrome làm nguồn dữ liệu cho nội dung bạn tìm kiếm.

  4. Nhấp vào Thêm điều kiện rồi chọn một điều kiện cho cụm từ tìm kiếm.

  5. Nhấp vào Tìm kiếm.

  6. Trong phần kết quả tìm kiếm ở cuối trang, hãy nhấp vào một trong các đường liên kết trong cột Băm nội dung.

  7. Trong bảng điều khiển bên, hãy nhấp vào Xem báo cáo VirusTotal.

Báo cáo VirusTotal có nhiều phần, trong đó có thông tin chi tiết về các mối đe doạ bảo mật tiềm ẩn.

Phiên bản tiêu chuẩn và phiên bản nâng cao của báo cáo VirusTotal

Báo cáo VirusTotal có 2 phiên bản: Tiêu chuẩnNâng cao. Phiên bản Chuẩn sẽ xuất hiện đối với những quản trị viên có đặc quyền Trung tâm bảo mật sau đó VirusTotal sau đó Xem báo cáo và có một trong các phiên bản Google Workspace bắt buộc. Phiên bản Nâng cao sẽ tự động hiển thị cho những người đăng ký VirusTotal có trả phí đang có phiên đăng nhập virustotal.com bằng tài khoản người dùng VT Enterprise.

Để biết thêm thông tin về VT Enterprise và yêu cầu dùng thử, hãy xem phần tổng quan về các dịch vụ trên trang web VirusTotal. Để đăng ký VT Enterprise, hãy gửi biểu mẫu này.

Các tính năng có trong phiên bản chuẩn

Phiên bản chuẩn của báo cáo VirusTotal bao gồm những nội dung sau:

  • Uy tín của mối đe doạ – Đánh giá mức độ độc hại của hơn 70 nhà cung cấp dịch vụ bảo mật.
  • Khoảng thời gian xuất hiện mối đe doạ – Những ngày quan trọng giúp bạn biết được thời điểm một mối đe doạ cụ thể lần đầu tiên xuất hiện trong thực tế và thời gian hoạt động của mối đe doạ đó.
  • Nhận dạng tệp – Các giá trị nhận dạng và đặc điểm cho phép bạn tham chiếu mối đe doạ và chia sẻ mối đe doạ đó với các nhà phân tích khác (hàm băm tệp, loại tệp, kích thước, v.v.).

Các tính năng có trong phiên bản Nâng cao

Phiên bản nâng cao của báo cáo VirusTotal có các tính năng tương tự như trong phiên bản chuẩn, cộng thêm những tính năng sau:

  • Phát hiện đa góc độ – Phân tích thêm về mối đe doạ dựa trên các kết quả đối sánh quy tắc từ nguồn cộng đồng và điểm số cộng đồng (ví dụ: quy tắc YARA, Sigma và IDS).
  • Thông tin về danh sách cho phép – Đối với sự kiện trong nhật ký Gmail, thông tin chi tiết hữu ích để loại bỏ kết quả dương tính giả (Thư viện tham chiếu phần mềm quốc gia, Nhà phân phối phần mềm, Nguồn cấp dữ liệu siêu dữ liệu sạch của Microsoft, v.v.).
  • Các chỉ báo liên quan về hành vi xâm phạm (IOC) – Ví dụ về IOC bao gồm cơ sở hạ tầng mạng phân phối tệp phần mềm độc hại, máy chủ đóng vai trò là lệnh và kiểm soát đối với một mối đe doạ nhất định, vectơ phân phối giai đoạn đầu cho một tệp đang được nghiên cứu, v.v.
  • Biểu đồ mối đe doạ tương tác – Định dạng đồ hoạ lập bản đồ toàn bộ chiến dịch đe doạ bằng cách trực quan hoá mối quan hệ giữa các chỉ báo xâm phạm (IOC).
  • Siêu dữ liệu liên quan đến bảo mật – Bao gồm thông tin về nhà xuất bản phần mềm, thông tin nhận dạng macro độc hại trong tài liệu, quyền của ứng dụng Android, v.v.
  • Thông tin chi tiết về các mối đe doạ thực tế – Thông tin chi tiết về phạm vi địa lý và thời gian của các mối đe doạ, các kỹ thuật lừa đảo thường gặp của kẻ tấn công và nhiều thông tin khác thông qua siêu dữ liệu về nội dung được gửi đến VirusTotal.
  • Phân tích thuộc tính đáng ngờ – Thông tin chi tiết có thể nhấp vào trong báo cáo VirusTotal, cho phép bạn khám phá tập dữ liệu VirusTotal toàn cầu để tìm các mối đe doạ khác có cùng thuộc tính.

Lợi ích và trường hợp sử dụng của phiên bản Nâng cao

  • Cải thiện khả năng phát hiện mối đe doạ – Tận dụng các quy tắc dựa trên nguồn dữ liệu từ cộng đồng để xác định chính xác và nắm được bối cảnh của các mối đe doạ ngay cả khi các nhà cung cấp dịch vụ bảo mật chưa biết đến rộng rãi.
  • Đẩy nhanh quá trình điều tra và ra quyết định – Nâng cao hiệu quả của nhóm bảo mật bằng cách bổ sung thông tin chỉ dành cho nội bộ bằng thông tin do cộng đồng cung cấp. Các đối tượng xấu cũng nhắm đến những tổ chức khác và dấu vết của chúng xuất hiện trong VirusTotal. Điều này giúp nhóm bảo mật của bạn có được thông tin đầy đủ. Với phiên bản Nâng cao của báo cáo VirusTotal, việc loại bỏ kết quả dương tính giả cũng như xác nhận và chuyển tiếp kết quả dương tính thật sẽ diễn ra nhanh hơn đáng kể.
  • Cải thiện khả năng khắc phục mối đe doạ – Sử dụng biểu đồ mối đe doạ tương tác và các cấu phần phần mềm liên quan để xác định IOC được liên kết với một cảnh báo thích hợp, đồng thời sử dụng chúng để hiểu đầy đủ mức độ ảnh hưởng của một cuộc tấn công đối với tổ chức của bạn bằng cách tìm kiếm trong số liệu đo từ xa về bảo mật. Ví dụ: Những miền nào đang phân phối một hàm băm có trong một trong các cảnh báo của bạn? Đối với từng thiết bị, ngay cả khi chưa thấy trong môi trường của tôi, hãy chặn chúng trong chu vi mạng.
  • Chiến lược phòng thủ chủ động – Bạn có thể chuyển sang VT Enterprise và xác định cơ sở hạ tầng mối đe doạ có thể chưa xuất hiện trong nhật ký của bạn. Hoặc bạn có thể xác định các phần mềm độc hại khác do cùng một tác nhân đe doạ điều khiển và chặn phần mềm độc hại này trong phạm vi mạng và các điểm cuối của bạn trước khi nó ảnh hưởng đến tổ chức của bạn. Ví dụ: cho một miền chỉ huy và kiểm soát của một trong những tệp mà bạn đang nghiên cứu, hãy chuyển sang các miền khác do cùng một tác nhân đe doạ đăng ký mà có thể chưa được tận dụng trong một chiến dịch, sau đó chặn các miền đó một cách phòng ngừa trong trường hợp chúng cuối cùng được tận dụng để chống lại công ty của bạn.

Để biết thêm thông tin chi tiết về các tính năng báo cáo của VirusTotal, hãy xem phần tổng quan về dịch vụ trên trang web của VirusTotal. Bạn cũng có thể xem Cách thức hoạt động – VirusTotal hoặc liên hệ với chúng tôi để tìm hiểu thêm.

Đăng ký tài khoản doanh nghiệp VT Enterprise

Như mô tả ở trên, báo cáo VirusTotal có thể bao gồm các dịch vụ thông tin tình báo bổ sung về mối đe doạ và các tính năng nâng cao trong phiên bản Nâng cao của báo cáo VirusTotal. Để biết thêm thông tin chi tiết và đăng ký VT Enterprise, hãy liên hệ với nhóm VirusTotal.

VirusTotal là một sản phẩm của Alphabet, chuyên phân tích các tệp, URL, miền và địa chỉ IP đáng ngờ để phát hiện phần mềm độc hại và các loại mối đe doạ khác, đồng thời tự động chia sẻ những mối đe doạ này với cộng đồng bảo mật.

Để xem báo cáo của VirusTotal, bạn sẽ gửi hàm băm của tệp đính kèm, địa chỉ IP hoặc miền đến VirusTotal.

Bằng việc sử dụng VirusTotal, bạn xác nhận rằng Điều khoản dịch vụChính sách quyền riêng tư của VirusTotal sẽ áp dụng cho dữ liệu mà bạn gửi, đồng thời VirusTotal có thể chia sẻ dữ liệu mà bạn gửi với cộng đồng bảo mật.

Câu hỏi thường gặp

Tôi có phải trả thêm phí khi sử dụng phiên bản Báo cáo VirusTotal tiêu chuẩn không?

Không. Phiên bản chuẩn của báo cáo VirusTotal chỉ dành cho những quản trị viên có đặc quyền Trung tâm bảo mật sau đó VirusTotal sau đó Xem báo cáo.

Nếu muốn nâng cao trải nghiệm, cải thiện khả năng đưa ra quyết định và điều tra thông qua bối cảnh và danh tiếng nâng cao về mối đe doạ, bạn cần có gói thuê bao VT Enterprise trả phí.

Trải nghiệm của khách hàng trả phí của VirusTotal có khác không?

Có. Nếu có gói thuê bao VirusTotal trả phí (còn gọi là VT Enterprise), bạn sẽ thấy kết quả nâng cao thông qua công cụ điều tra mà không ảnh hưởng đến hạn mức VirusTotal. Bạn chỉ sử dụng hạn mức khi mở các trang virustotal.com.

Làm cách nào để đăng ký VT Enterprise để có thể hưởng lợi từ phiên bản nâng cao của báo cáo VirusTotal?

Để biết thêm thông tin về VT Enterprise và yêu cầu dùng thử, hãy xem phần tổng quan về dịch vụ trên trang web VirusTotal. Để đăng ký VT Enterprise, hãy gửi biểu mẫu này.

Ngoài phiên bản Nâng cao của báo cáo VirusTotal, gói thuê bao VT Enterprise còn mang lại những lợi ích nào khác không?

Có. Với VT Enterprise, bạn có thể triển khai các trường hợp sử dụng khác, đặc biệt là những trường hợp liên quan đến trung tâm điều hành an ninh, nhóm ứng phó sự cố máy tính, nhóm ứng phó sự cố và đơn vị thông tin tình báo về mối đe doạ:

  • Tự động làm phong phú dữ liệu đo từ xa về bảo mật – Bao gồm việc phân loại cảnh báo, loại bỏ cảnh báo dương tính giả, xác nhận cảnh báo dương tính thực và tương quan độ tin cậy.
  • Ứng phó sự cố và phân tích pháp y – Bao gồm việc phân loại thông báo hoạt động bảo mật, phân tích sự cố và bối cảnh, phát hiện hiện vật và xác định IOC.
  • Thông tin tình báo về mối đe doạ và hoạt động truy tìm nâng cao – Bao gồm việc phát hiện mối đe doạ không xác định, giám sát chiến dịch đe doạ, theo dõi đối thủ, xác định IOC phòng ngừa, khám phá bối cảnh mối đe doạ và nhận biết tình huống.
  • Giám sát hoạt động chống lừa đảo, chống gian lận, thương hiệu và cơ sở hạ tầng của doanh nghiệp – Hoạt động này bao gồm việc theo dõi chiến dịch lừa đảo, phân tích trojan ngân hàng và phần mềm đánh cắp thông tin, giám sát hành vi mạo danh thương hiệu, phân phối phần mềm độc hại và xác định hành vi sử dụng sai mục đích cơ sở hạ tầng của doanh nghiệp.
  • Kiểm thử xâm nhập và xâm nhập có đạo đức – Bao gồm hoạt động trinh sát và thu thập thông tin nhận dạng thụ động, mô phỏng hành vi xâm nhập và tấn công, cũng như xác thực ngăn xếp bảo mật.
  • Ưu tiên lỗ hổng bảo mật – Bao gồm các chiến lược vá lỗi thông minh dựa trên rủi ro, giám sát việc khai thác lỗ hổng bảo mật trong thực tế và ánh xạ tác nhân gây ra mối đe doạ với việc khai thác lỗ hổng bảo mật.

Để biết thêm thông tin về cách VT Enterprise có thể nâng cao hoạt động bảo mật của bạn, hãy xem Tổng quan về VirusTotal 360. Để tìm hiểu thêm, hãy liên hệ với các chuyên gia của VirusTotal.

Dữ liệu có được chia sẻ với báo cáo VirusTotal mà không cần có hành động của quản trị viên không?

Không. Tất cả chức năng đều dựa trên việc quản trị viên chọn xem báo cáo VirusTotal. Chỉ sau khi quản trị viên thực hiện thao tác này, hàm băm tệp, miền hoặc địa chỉ IP mới được chia sẻ với VirusTotal để yêu cầu báo cáo đánh giá rủi ro về thực thể đã chọn.

Nếu tôi là khách hàng của VT Enterprise, thì việc xem báo cáo của VirusTotal thông qua công cụ điều tra có làm tiêu hao hạn mức của tôi không?

Không. Việc mở báo cáo của VirusTotal thông qua công cụ điều tra không sử dụng hạn mức VT Enterprise của bạn. Nếu quản trị viên mở trang web VirusTotal để nghiên cứu thêm bằng công cụ điều tra, thì thao tác đó sẽ được tính vào hạn mức sử dụng tiêu chuẩn giống như khi truy cập trực tiếp vào virustotal.com.

Có tệp nào được chia sẻ không?

Không. Chỉ có hàm băm tệp được gửi đến VirusTotal.