Notification

Duet AI s'appelle désormais Gemini pour Google Workspace. En savoir plus

Afficher les rapports VirusTotal à partir du Centre d'alerte

Obtenir des renseignements supplémentaires concernant les alertes de sécurité

Pour que vous puissiez consulter les rapports VirusTotal à partir du centre d'alerte, un super-administrateur doit vous attribuer le droit Centre d'alerte > Accès complet > Afficher les rapports VirusTotal. Les administrateurs doivent également disposer de l'une des éditions Google Workspace suivantes: Business Plus, Enterprise Standard, Enterprise Plus, Education Standard ou Education Plus.

Désormais inclus dans Google Cloud, VirusTotal vous fournit des données sur la réputation et le contexte des menaces pour vous aider à analyser les fichiers, URL, domaines et adresses IP suspects afin de détecter les menaces de cybersécurité. Les rapports VirusTotal réunissent des informations issues de plusieurs sources qui expliquent pourquoi un domaine, une pièce jointe ou une adresse IP sont susceptibles de présenter un risque. (Pour en savoir plus, consultez le site Web VirusTotal.)

Vous pouvez accéder directement aux rapports VirusTotal sur la page "Détails de l'alerte" afin de consulter les données sur la réputation et le contexte des menaces pour une alerte donnée. Par exemple, un rapport VirusTotal peut vous indiquer que plusieurs fournisseurs de sécurité ont signalé un domaine comme étant malveillant.

Remarque :

  • VirusTotal ne permet pas de produire des alertes de sécurité ni de détecter des logiciels malveillants ou d'autres menaces pour la sécurité. VirusTotal enrichit les détails des alertes en apportant des renseignements complémentaires sur la sécurité et en vous aidant à prendre des décisions pour résoudre les problèmes détectés.
  • Les données (domaines, adresses IP ou hachage de pièces jointes) ne sont partagées avec VirusTotal que si votre administrateur choisit d'afficher les rapports VirusTotal. Dans le cas contraire, aucune donnée n'est partagée.
  • Les données VirusTotal sont partagées avec les équipes chargées de la sécurité dans leur ensemble. Cela permet aux fournisseurs de sécurité de collaborer, de partager des informations importantes et de prendre des mesures afin de neutraliser les menaces pour la sécurité.
  • Vous pouvez également consulter les rapports VirusTotal à partir de l'outil d'investigation afin d'obtenir des renseignements supplémentaires concernant les pièces jointes. Pour en savoir plus, consultez Consulter les rapports VirusTotal à partir de l'outil d'investigation.

Consulter les rapports VirusTotal

Pour consulter les rapports VirusTotal sur la page "Détails de l'alerte" :

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Dans la console d'administration, accédez à Menu  puis  Sécurité puis Centre d'alerte.
  3. Cliquez sur une alerte pour obtenir plus de détails et ouvrir la page d'informations correspondante.
  4. Dans Informations essentielles ou dans la section Messages, cliquez sur Afficher le rapport VirusTotal.
    Cette option est disponible pour les alertes contenant des domaines (en général dans l'adresse e-mail de l'acteur, les adresses IP ou les hachages de pièces jointes).

Le rapport VirusTotal inclut plusieurs sections comportant des détails sur des menaces potentielles pour la sécurité. Par exemple, vous pouvez afficher une liste de fournisseurs de sécurité qui ont signalé un fichier comme étant malveillant, et afficher les résultats d'analyse de fichier pour chacun de ces fournisseurs.

Versions standard et améliorée des rapports VirusTotal

Le rapport VirusTotal comporte deux versions : Standard et Améliorée. La version standard s'affiche pour les administrateurs disposant du droit d'accès au centre d'alerte et disposant de l'une des éditions Google Workspace requises. La version améliorée s'affiche automatiquement pour les personnes ayant souscrit un abonnement payant VirusTotal disposant d'une session de connexion virustotal.com active avec leur compte utilisateur VT Enterprise.

Pour en savoir plus sur VT Enterprise et demander une version d'essai, consultez la présentation des services sur le site Web VirusTotal. Pour vous inscrire à VT Enterprise, envoyez ce formulaire.

Fonctionnalités de la version standard

La version standard des rapports VirusTotal inclut les fonctionnalités suivantes :

  • Identification observable : identifiants et caractéristiques vous permettant de référencer la menace et de la partager avec d'autres analystes (par exemple, les hachages de fichiers)
  • Réputation de la menace : évaluations de malveillance provenant de plus de 70 fournisseurs de sécurité, y compris des solutions antivirus, des entreprises de sécurité, des listes de blocage réseau et plus encore
  • Propagation de la menace dans le temps : dates clés vous permettant de comprendre à quel moment une menace a été observée pour la première fois en circulation et depuis combien de temps elle est active
  • Recherche WHOIS pour le domaine/l'adresse IP : coordonnées du bureau d'enregistrement et du titulaire du domaine, ainsi que les informations sur la propriété et la plage réseau des adresses IP
  • Métadonnées du domaine et du serveur concernant la sécurité : certificats HTTPS pour les serveurs Web, enregistrements de résolution DNS et en-têtes HTTP de serveur Web
Fonctionnalités de la version améliorée

La version améliorée des rapports VirusTotal incluent les mêmes fonctionnalités que la version standard, plus les suivantes :

  • Détection multiangulaire : analyse supplémentaire de la menace utilisant plusieurs sources de correspondances avec des règles et de notation par la communauté (par exemple, règles YARA, Sigma et IDS)
  • Indicateurs de compromission associés : par exemple, une infrastructure réseau distribuant un logiciel malveillant, des serveurs utilisés pour commander et contrôler une menace, des URL malveillantes détectées sous un domaine donné, des domaines détectés derrière une certaine adresse IP, etc.
  • Graphique interactif de la menace : format graphique qui établit toutes les campagnes de la menace en représentant les relations entre les indicateurs de compromission
  • Métadonnées concernant la sécurité : par exemple, les informations sur l'éditeur de logiciel, l'identification de macros malveillantes dans des documents, les classements de popularité pour les domaines, la catégorisation du contenu d'un domaine, etc.
  • Informations sur les menaces en circulation : informations géographiques et temporelles sur les menaces, les techniques de tromperie courantes des pirates informatiques et plus encore, à l'aide des métadonnées des échantillons envoyés à VirusTotal
  • Attributs suspects dynamiques : informations cliquables dans les rapports VirusTotal vous permettant de découvrir l'ensemble de données mondial de VirusTotal pour les autres menaces partageant les mêmes propriétés

Avantages et cas d'utilisation de la version améliorée

  • Détection des menaces améliorée : grâce à des règles provenant de plusieurs sources, ciblez et déterminez le contexte des menaces avant même qu'il ne soit connu des fournisseurs de sécurité.
  • Investigations et prise de décision accélérées : augmentez l'efficacité de votre équipe de sécurité en complétant les observations internes par le contexte obtenu via plusieurs sources. Les antagonistes ciblent également d'autres organisations, et leurs empreintes apparaissent dans VirusTotal, ce qui permet de compléter les informations de votre équipe de sécurité. Grâce à la version améliorée de VirusTotal, il est plus rapide d'ignorer les faux positifs, ainsi que de confirmer et faire remonter les vrais positifs.
  • Gestion des menaces améliorée : à l'aide du graphique interactif de la menace et des artefacts associés permettant d'identifier les indicateurs de compromission liés à une alerte pertinente, comprenez toutes les implications d'une attaque sur votre organisation en effectuant des recherches dans votre télémétrie de sécurité. Par exemple : VirusTotal a-t-il constaté des logiciels malveillants téléchargés à partir d'un domaine indiqué dans l'une de vos alertes ? Si oui, ces hachages ont-ils été observés dans votre réseau ?
  • Stratégie de défense proactive : vous pouvez explorer les différentes options de VT Enterprise pour identifier l'infrastructure à l'origine de la menace, qui n'est peut-être pas indiquée dans vos journaux. Vous pouvez également identifier un autre logiciel malveillant opéré par le même acteur que votre menace, et le bloquer dans le périmètre et les points de terminaison de votre réseau avant qu'il n'affecte votre organisation. Par exemple : cliquez sur d'autres domaines enregistrés par le même acteur que votre menace qui n'auront pas encore été exploités dans une campagne, et bloquez ces domaines préventivement pour éviter qu'ils ne soient utilisés à l'encontre de votre entreprise.

Pour en savoir plus sur les fonctionnalités du rapport VirusTotal, consultez la présentation des services sur le site Web de VirusTotal. Consultez également Fonctionnement - VirusTotal, ou contactez notre équipe pour en savoir plus.

Souscrire un compte VT Enterprise

Comme vu précédemment, les rapports VirusTotal peuvent inclure des fonctionnalités avancées et des services de renseignement sur les menaces supplémentaires avec la version améliorée des rapports VirusTotal. Pour en savoir plus ou pour vous inscrire à VT Enterprise, contactez l'équipe VirusTotal.

Mentions légales

VirusTotal est un produit Alphabet qui analyse les fichiers, URL, adresses IP et domaines suspects afin de détecter les logiciels malveillants et les autres types de menaces, et qui les partage avec les équipes chargées de la sécurité.

Pour obtenir les rapports VirusTotal, vous enverrez des hachages de pièces jointes, des adresses IP ou des domaines à VirusTotal.

En utilisant VirusTotal, vous acceptez que les Conditions d'utilisation et les Règles de confidentialité de VirusTotal s'appliquent aux données que vous envoyez, et que VirusTotal les partage avec les équipes chargées de la sécurité.

Questions fréquentes

Faut-il payer des frais supplémentaires pour utiliser la version standard des rapports VirusTotal ?

Non. La version standard des rapports VirusTotal est disponible pour les administrateurs disposant du droit d'accès au centre d'alerte et utilisant l'une des éditions suivantes : Business Plus, Enterprise Standard, Enterprise Plus, Education Standard et Education Plus.

Si vous souhaitez améliorer l'expérience et bénéficier de meilleures capacités d'investigation et de prise de décision grâce à des données avancées sur le contexte et la réputation des menaces, vous devez souscrire un abonnement VT Enterprise payant.

Les clients payants de VirusTotal bénéficient-ils d'une expérience différente ?

Oui. Si vous avez souscrit un abonnement à VirusTotal, aussi appelé VT Enterprise, vous bénéficiez de résultats enrichis dans le centre d'alerte sans que cela n'affecte votre quota VirusTotal. Le quota est décompté à l'ouverture des pages virustotal.com.

Comment m'abonner à VT Enterprise pour bénéficier de la version améliorée des rapports VirusTotal ?

Pour en savoir plus sur VT Enterprise et demander une version d'essai, consultez la présentation des services sur le site Web VirusTotal. Pour vous inscrire à VT Enterprise, envoyez ce formulaire.

L'abonnement à VT Enterprise apporte-t-il d'autres avantages que la version améliorée des rapports VirusTotal ?

Oui. VT Enterprise vous permet d'implémenter d'autres cas d'utilisation particulièrement pertinents pour les centres d'opérations de sécurité, les équipes de services d'urgence pour ordinateur, les équipes de gestion des incidents et les unités de renseignements sur les menaces : 

  • Télémétrie de sécurité automatisée enrichie : comprend le tri des alertes, la suppression des faux positifs, la confirmation des vrais positifs et la corrélation de confiance.
  • Gestion des incidents et analyses judiciaires : comprend le tri des alertes sur les opérations de sécurité, l'analyse et la contextualisation des incidents, la détection d'artefacts et l'identification IOC.
  • Renseignements sur les menaces et traque avancée : comprend la détection des menaces inconnues, la surveillance des campagnes de menaces, le suivi des antagonistes, l'exploration du paysage des menaces et la conscience situationnelle.
  • Surveillance antihameçonnage, antifraude, de marque et d'infrastructure d'entreprise : comprend le suivi des campagnes d'hameçonnage, l'analyse en profondeur de chevaux de Troie bancaires ou de vol d'informations, la surveillance des usurpations de marques, la distribution des logiciels malveillants et l'identification des abus des infrastructures d'entreprise.
  • Red teaming et piratage éthique : comprend l'étude de terrain et la simulation passive de fingerprinting, de violation et d'attaque, ainsi que la validation des couches de sécurité.
  • Priorisation des vulnérabilités : comprend des stratégies correctives intelligentes axées sur les risques, la surveillance de l'instrumentalisation des vulnérabilités en circulation et la mise en correspondance des acteurs de menaces avec l'exploitation des vulnérabilités.

Pour en savoir plus sur la façon dont VT Enterprise peut améliorer vos opérations de sécurité, consultez la vue d'ensemble de VirusTotal. Pour en savoir plus, contactez nos spécialistes VirusTotal.

Les données sont-elles partagées avec les rapports VirusTotal sans action des administrateurs ?

Non. Votre administrateur doit forcément choisir d'afficher le rapport VirusTotal. C'est seulement lorsque cette action est effectuée que le hachage de fichier, le domaine ou l'adresse IP sont partagés avec VirusTotal pour obtenir le rapport d'évaluation des risques pour l'entité sélectionnée.

Si je suis un client VT Enterprise, utiliserai-je mon quota lorsque j'afficherai des rapports VirusTotal dans le centre d'alerte ?

Non. L'ouverture de rapports VirusTotal dans le centre d'alerte n'est pas décomptée de votre quota VT Enterprise. En revanche, si un administrateur ouvre le site Web VirusTotal à partir du centre d'alerte pour effectuer plus de recherches, cette action est décomptée du quota de la même façon qu'une consultation directe du site virustotal.com.

Les fichiers sont-ils partagés ?

Non. Seuls les hachages de fichiers sont envoyés à VirusTotal.

Les adresses e-mail sont-elles partagées ?

Non. Seul le domaine indiqué dans l'adresse e-mail est envoyé à VirusTotal.

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Essayez les solutions ci-dessous :

Publier dans la communauté d'aide Obtenez des réponses de membres de la communauté
Contactez-nous Donnez-nous plus de détails pour que nous puissions vous aider
true
Démarrez dès aujourd'hui votre essai gratuit de 14 jours.

Messagerie professionnelle, stockage en ligne, agendas partagés, visioconférences et bien plus. Démarrez dès aujourd'hui votre essai gratuit de G Suite.

Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
4116373504487489977
true
Rechercher dans le centre d'aide
true
true
true
true
true
73010
false
false