Wyświetlanie raportów VirusTotal z Centrum alertów

Dodatkowe informacje na temat bezpieczeństwa związane z alertami

Aby wyświetlać raporty VirusTotal z Centrum alertów, superadministrator musi przypisać Ci uprawnienie Centrum alertów > Pełny dostęp > Wyświetlanie raportów VirusTotal. Administratorzy muszą też mieć jedną z tych wersji Google Workspace: Business Plus, Enterprise Standard, Enterprise Plus, Education Standard lub Education Plus.

VirusTotal, obecnie część Google Cloud, udostępnia dane o reputacji i kontekście zagrożeń, które pomagają analizować podejrzane pliki, adresy URL, domeny i adresy IP w celu wykrywania zagrożeń cyberbezpieczeństwa. Raporty VirusTotal zawierają wiele szczegółowych informacji pozyskanych od społeczności na temat powodów uznania domeny, załączonego pliku czy adresu IP za elementy potencjalnie niebezpieczne. Więcej informacji znajdziesz na stronie VirusTotal.

Raporty VirusTotal są dostępne bezpośrednio ze strony z informacjami w Centrum alertów. Dzięki temu możesz uzyskać dane o reputacji i kontekście zagrożeń dotyczące konkretnego alertu. W takim raporcie możesz znaleźć na przykład informacje o tym, że wielu dostawców zabezpieczeń oznaczyło określoną domenę jako złośliwą.

Uwaga:

  • VirusTotal nie służy do generowania alertów bezpieczeństwa ani wykrywania złośliwego oprogramowania czy innych zagrożeń bezpieczeństwa. VirusTotal zapewnia dodatkowe informacje na temat alertu, dostarczając więcej danych i pomagając w podjęciu decyzji w przypadku problemów związanych z bezpieczeństwem.
  • Dane (domeny, adresy IP czy hasze załączników) są udostępniane usłudze VirusTotal tylko wtedy, gdy administrator zdecyduje się wyświetlić raport VirusTotal. W przeciwnym wypadku dane nie są udostępniane.
  • Dane VirusTotal są udostępniane szerszej społeczności zajmującej się bezpieczeństwem. Dzięki temu dostawcy zabezpieczeń mogą współpracować ze sobą, dzielić się ważnymi informacjami i podejmować działania w celu zwalczania zagrożeń bezpieczeństwa.
  • Raporty z VirusTotal możesz wyświetlać też z narzędzia do analizy zagrożeń, aby zapoznać się z dodatkowymi informacjami dotyczącymi bezpieczeństwa związanymi z załącznikami do e-maili. Szczegółowe informacje znajdziesz w artykule Wyświetlanie raportów VirusTotal z narzędzia do analizy zagrożeń.

Wyświetlanie raportów VirusTotal

Aby wyświetlić raporty VirusTotal ze strony z informacjami w Centrum alertów:

  1. Zaloguj się w konsoli administracyjnej Google.

    Użyj swojego konta administratora (adres nie kończy się na @gmail.com).

  2. Na stronie głównej w konsoli administracyjnej kliknij Zabezpieczenia a potem Centrum alertów.
  3. Aby wyświetlić więcej informacji, kliknij konkretny alert. Spowoduje to otwarcie strony szczegółów alertu.
  4. W obszarze Najważniejsze informacje lub w sekcji wiadomości kliknij Wyświetlanie raportów VirusTotal.
    Ta opcja jest dostępna w przypadku alertów, które zawierają domeny (zwykle część adresu e-mail podmiotu, adresy IP lub hasze załączników).

Raport VirusTotal obejmuje wiele sekcji z informacjami na temat potencjalnych zagrożeń bezpieczeństwa. Można na przykład wyświetlić listę dostawców zabezpieczeń, którzy oznaczyli dany plik jako szkodliwy, a także zobaczyć wyniki skanowania tego pliku przez każdego z tych dostawców.

Raporty VirusTotal w wersji standardowej i rozszerzonej

Raport VirusTotal jest dostępny w 2 wersjach: standardowejrozszerzonej. Wersja standardowa jest wyświetlana administratorom, którzy mają uprawnienia dostępu do Centrum alertów i jedną z wymaganych wersji Google Workspace. Wersja rozszerzona jest wyświetlana automatycznie subskrybentom płatnej wersji usługi VirusTotal, którzy na swoim koncie użytkownika VT Enterprise mają aktywną sesję logowania virustotal.com.

Aby uzyskać więcej informacji o usłudze VT Enterprise i poprosić o wersję próbną, zapoznaj się z informacjami o usługach na stronie VirusTotal. Aby zarejestrować konto VT Enterprise, prześlij ten formularz.

Funkcje dostępne w wersji standardowej

Wersja standardowa raportów VirusTotal obejmuje te funkcje:

  • Dostrzegalna identyfikacja – identyfikatory i cechy charakterystyczne umożliwiające odniesienie się do zagrożenia i udostępnienie go innym analitykom (np. hasze plików).
  • Reputacja zagrożeń – oceny dotyczące szkodliwości pochodzące od ponad 70 dostawców zabezpieczeń, między innymi od firm udostępniających narzędzia antywirusowe i listy zablokowanych sieci oraz zajmujących się bezpieczeństwem.
  • Długość okresu zagrożenia – kluczowe daty, które pokazują, kiedy dane zagrożenie zostało zaobserwowane po raz pierwszy i od jak dawna jest aktywne.
  • Wyszukiwanie informacji Whois dla domeny / adresu IP – dane rejestratora i abonenta w przypadku domen, a także informacje o własności i zakresie sieci w przypadku adresów IP.
  • Metadane związane z bezpieczeństwem domeny i serwera – certyfikaty HTTPS w przypadku serwerów WWW, rekordy rozpoznawania nazw DNS i nagłówki HTTP serwera WWW.
Funkcje dostępne w wersji rozszerzonej

Rozszerzona wersja raportów VirusTotal obejmuje te same funkcje co wersja standardowa, a dodatkowo:

  • Wykrywanie wielokątowe – dodatkowa analiza zagrożeń pochodząca z dopasowań reguł utworzonych przez społeczność oraz ocen społeczności (na przykład YARA, Sigmareguły IDS).
  • Powiązane wskaźniki włamań (IOC) – przykłady IOC obejmują między innymi infrastrukturę sieciową dystrybuującą plik złośliwego oprogramowania, serwery działające jako system dowodzenia i kontroli dla danego zagrożenia, szkodliwe adresy URL widoczne w ramach danej domeny i domeny widoczne za danym adresem IP.
  • Interaktywny wykres zagrożeń – format graficzny, który odwzorowuje całe kampanie zagrożeń, przedstawiając relacje między wskaźnikami IOC.
  • Metadane związane z bezpieczeństwem – obejmują między innymi informacje o wydawcy oprogramowania, identyfikację złośliwych makr w dokumentach, rankingi popularności domen i kategoryzację zawartości domeny.
  • Dane typu in-the-wild – dane geograficzne i rozłożone w czasie dotyczące między innymi zagrożeń i popularnych technik oszustwa (pozyskiwane z metadanych zgłoszeń w VirusTotal).
  • Podejrzane zmiany atrybutów – klikalne elementy w raportach VirusTotal, umożliwiające przejrzenie globalnego zbioru danych VirusTotal pod kątem innych zagrożeń, które mają te same cechy.

Korzyści i przypadki użycia wersji rozszerzonej

  • Zwiększenie wykrywalności zagrożeń – wykorzystuj reguły zebrane od społeczności do wskazywania i uzyskiwania kontekstu zagrożeń, nawet jeśli nie są jeszcze powszechnie znane dostawcom zabezpieczeń.
  • Usprawnienie analizy zagrożeń i podejmowania decyzji – zwiększ wydajność zespołu ds. bezpieczeństwa, uzupełniając informacje do użytku wewnętrznego o kontekst od społeczności. Inne organizacje także są celem ataków, których ślady pojawiają się w VirusTotal. Dzięki temu Twój zespół ds. bezpieczeństwa ma pełniejszy obraz sytuacji. W wersji rozszerzonej raportów VirusTotal odrzucanie fałszywych alarmów oraz potwierdzanie i eskalowanie prawdziwych jest znacznie szybsze.
  • Ulepszone usuwanie zagrożeń – za pomocą interaktywnego wykresu zagrożeń i powiązanych artefaktów możesz identyfikować wskaźniki włamań (IOC) odpowiadające konkretnym alertom. Użycie tych wskaźników w połączeniu z przeszukiwaniem danych telemetrycznych dotyczących bezpieczeństwa pozwala w pełni zrozumieć wpływ ataku na organizację. Na przykład: czy narzędzie VirusTotal rozpoznało w jednym z Twoich alertów pliki złośliwego oprogramowania pobrane z domeny? Jeśli tak, czy w Twojej sieci pojawił się któryś z tych haszów?
  • Strategia proaktywnej obrony – możesz przejść do VT Enterprise i zidentyfikować infrastrukturę zagrożeń, które mogły nie pojawić się w Twoich dziennikach. Możesz też rozpoznać inne złośliwe oprogramowanie obsługiwane przez ten sam podmiot i zablokować je na obrzeżach sieci i w punktach końcowych, zanim będzie ono miało wpływ na organizację. Na przykład: przejdź do innych domen zarejestrowanych przez ten sam podmiot, które mogły jeszcze nie zostać wykorzystane w kampanii, a następnie zapobiegawczo zablokuj te domeny na wypadek, gdyby zostały one ostatecznie wykorzystane przeciwko Twojej firmie.

Aby dowiedzieć się więcej o funkcjach raportu VirusTotal, zapoznaj się z opisem usług na stronie VirusTotal. Zapoznaj się także z opisem działania VirusTotal lub skontaktuj się z nami, aby dowiedzieć się więcej.

Rejestrowanie konta VT Enterprise

Jak opisano powyżej, raporty VirusTotal w wersji rozszerzonej mogą zawierać dodatkowe usługi analizy zagrożeń i zaawansowane funkcje. Aby dowiedzieć się więcej i zarejestrować konto VT Enterprise, skontaktuj się z zespołem VirusTotal.

Informacje prawne

VirusTotal to usługa firmy Alphabet, która analizuje podejrzane pliki, adresy URL, domeny i adresy IP w celu wykrycia złośliwego oprogramowania i innych rodzajów zagrożeń oraz automatycznie udostępnia je społeczności zajmującej się bezpieczeństwem.

Aby wyświetlić raporty VirusTotal, należy przesłać hasze plików załączników, adresy IP lub domeny do VirusTotal.

Korzystając z VirusTotal, potwierdzasz, że przesłane dane podlegają warunkom usługi oraz polityce prywatności VirusTotal i mogą być udostępniane przez tę usługę społeczności zajmującej się bezpieczeństwem.

Częste pytania

Czy korzystanie ze standardowej wersji raportów VirusTotal wiąże się z dodatkowymi kosztami?

Nie. Wersja standardowa raportów VirusTotal jest dostępna dla administratorów, którzy mają uprawnienia dostępu do Centrum alertów i korzystają z jednej z następujących wersji: Business Plus, Enterprise Standard, Enterprise Plus, Education Standard lub Education Plus.

Jeśli chcesz uzyskać lepsze efekty i poprawić możliwości podejmowania decyzji oraz analizy zagrożeń dzięki zaawansowanemu kontekstowi zagrożeń i reputacji, skorzystaj z płatnej subskrypcji VT Enterprise.

Czy płatna wersja VirusTotal różni się od bezpłatnej?

Tak. Jeśli masz płatną subskrypcję VirusTotal, znaną również jako VT Enterprise, możesz wyświetlać rozszerzone wyniki w Centrum alertów bez wpływu na Twój limit VirusTotal. Limit jest wykorzystywany tylko podczas otwierania stron virustotal.com.

Jak mogę zarejestrować konto VT Enterprise, aby móc korzystać z rozszerzonej wersji raportów VirusTotal?

Aby uzyskać więcej informacji o usłudze VT Enterprise i poprosić o wersję próbną, zapoznaj się z informacjami o usługach na stronie VirusTotal. Aby zarejestrować konto VT Enterprise, prześlij ten formularz.

Czy oprócz rozszerzonej wersji raportów VirusTotal istnieją inne zalety subskrypcji VT Enterprise?

Tak. Dzięki VT Enterprise możesz wdrożyć inne przypadki użycia szczególnie istotne dla centrów operacji bezpieczeństwa, zespołów ds. bezpieczeństwa komputerowego, zespołów reagowania na incydenty i jednostek analizy zagrożeń:

  • Zautomatyzowane wzbogacanie danych telemetrycznych dotyczących bezpieczeństwa – obejmuje segregację alertów, odrzucanie fałszywych i potwierdzanie prawdziwych alarmów oraz korelację zaufania.
  • Reakcja na incydenty i analiza śledcza – obejmuje selekcję alertów dotyczących operacji bezpieczeństwa, analizę i kontekst incydentów, wykrywanie artefaktów oraz identyfikację IOC.
  • Analiza i wykrywanie zaawansowanych zagrożeń – obejmuje wykrywanie nieznanych zagrożeń, monitorowanie kampanii zagrożeń, śledzenie jednostek podejmujących ataki, prewencyjną identyfikację IOC, eksplorację krajobrazu zagrożeń i świadomość sytuacyjną.
  • Ochrona przed wyłudzaniem informacji i oszustwami, monitorowanie marki i infrastruktury korporacyjnej – obejmuje śledzenie kampanii wyłudzających informacje, analizę trojanów bankowych i złodziei informacji, monitorowanie prób podszywania się pod markę i dystrybucji złośliwego oprogramowania oraz identyfikację nadużyć w infrastrukturze korporacyjnej.
  • Red teaming i etyczne hakowanie – obejmuje rozpoznawcze i pasywne pobieranie odcisków cyfrowych, symulację włamań i ataków oraz weryfikację zaplecza zabezpieczeń.
  • Priorytetyzacja luk w zabezpieczeniach – obejmuje inteligentne strategie wprowadzania poprawek oparte na ryzyku, monitorowanie możliwości użycia luk w systemie do przeprowadzenia ataku w środowisku naturalnym oraz mapowanie wykorzystania podatności przez podmioty stanowiące zagrożenie.

Aby dowiedzieć się więcej na temat tego, jak VT Enterprise może ulepszyć operacje związane z bezpieczeństwem, zapoznaj się z pełnym omówieniem usługi VirusTotal. Aby dowiedzieć się więcej, skontaktuj się z naszymi specjalistami VirusTotal.

Czy dane do raportów VirusTotal są udostępniane bez działania ze strony administratora?

Nie. Działanie usługi jest determinowane decyzją administratora o wyświetleniu raportu VirusTotal. Dopiero po wykonaniu tej czynności przez administratora hasz pliku, domena lub adres IP są udostępniane usłudze VirusTotal w celu zażądania raportu oceny ryzyka dla wybranego podmiotu.

Jeśli korzystam z VT Enterprise, czy przeglądanie raportów VirusTotal w Centrum alertów powoduje wykorzystywanie mojego limitu?

Nie. Otwarcie raportów VirusTotal w Centrum alertów nie powoduje wykorzystywania limitu VT Enterprise. Jeśli administrator otworzy z Centrum alertów witrynę VirusTotal, aby przeprowadzić więcej badań, zostanie to wliczone do standardowego wykorzystania limitu w taki sam sposób, jak bezpośrednie odwiedzenie strony virustotal.com.

Czy pliki są udostępniane?

Nie. Do VirusTotal wysyłane są tylko hasze plików.

Czy adresy e-mail są udostępniane?

Nie. Do VirusTotal wysyłana jest tylko część adresu e-mail z domeną.

Czy to było pomocne?
Jak możemy ją poprawić?

Potrzebujesz dodatkowej pomocy?

Zaloguj się i uzyskaj dodatkowe informacje, by szybko rozwiązać problem

Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Aplikacje Google
Menu główne
Wyszukaj w Centrum pomocy
true
73010
false