Если вы хотите видеть отчеты VirusTotal от Центра оповещений, суперадминистратор должен включить для вас права доступа: Центр оповещений > Полный доступ > Просмотр отчета VirusTotal. Доступно только в Google Workspace следующих версий: Business Plus, Enterprise Standard, Enterprise Plus, Education Standard и Education Plus.
Сервис VirusTotal, ставший частью Google Cloud, предоставляет сведения о репутации и контексте угроз, помогающие анализировать подозрительные файлы, URL, домены и IP-адреса для выявления киберугроз. Отчеты VirusTotal содержат большое количество краудсорсинговой информации о том, почему домен, прикрепленный файл или IP-адрес могут быть небезопасными. Больше сведений об этом сервисе можно найти на сайте VirusTotal.
Отчеты VirusTotal доступны в Центре оповещений. Вы можете перейти к отчету со страницы сведений об оповещении, чтобы получить связанную с ним информацию о репутации и контексте угрозы. Например, в отчете VirusTotal может быть указано, что несколько поставщиков услуг безопасности отметили определенный домен как вредоносный.
Примечания
- Сервис VirusTotal не создает оповещения системы безопасности и не обнаруживает вредоносное ПО или другие угрозы. Он дополняет сведения в оповещении и помогает вам принимать решения при устранении угроз.
- Данные (домены, IP-адреса или хеши прикрепленных файлов) передаются в VirusTotal только после того, как администратор решит посмотреть отчет. Никакие другие сведения при этом не пересылаются.
- Доступ к данным VirusTotal предоставляется сообществу специалистов по безопасности. Это позволяет поставщикам услуг безопасности сотрудничать друг с другом, делиться важными сведениями и совместно предпринимать меры по борьбе с киберугрозами.
- Вы также можете посмотреть отчеты VirusTotal в инструменте "Анализ безопасности", чтобы получить дополнительные сведения о безопасности, связанные с файлами, прикрепленными к электронным письмам. Подробнее о том, как просматривать отчеты VirusTotal в инструменте "Анализ безопасности"…
Как посмотреть отчет VirusTotal
Чтобы перейти к отчету VirusTotal со страницы сведений об оповещении:
-
Войдите в консоль администратора Google.
Войдите в аккаунт администратора (он не заканчивается на @gmail.com).
-
В консоли администратора нажмите на значок меню
Безопасность
Центр оповещений.
- Нажмите на оповещение, чтобы посмотреть подробные сведения.
- В разделе Основная информация или в разделе сообщений нажмите Отчет VirusTotal.
Это действие доступно для оповещений, которые содержат сведения о доменах (как правило, это часть адреса электронной почты злоумышленника, IP-адреса или хеши прикрепленных файлов).
В отчете VirusTotal есть несколько разделов со сведениями о возможных угрозах безопасности. Например, вы можете посмотреть список поставщиков услуг безопасности, отметивших файл как вредоносный, а также результаты сканирования файла каждым из этих поставщиков.
Версии отчета VirusTotal
Существует две версии отчета VirusTotal: Standard и Enhanced. Версию Standard могут посмотреть администраторы поддерживаемых пакетов Google Workspace, у которых есть доступ к Центру оповещений. Версия Enhanced доступна только по платной подписке на VirusTotal. Чтобы посмотреть такой отчет, нужно выполнить вход в аккаунт VT Enterprise на сайте virustotal.com.
Узнать больше о VT Enterprise и запросить пробный период можно на странице с информацией о сервисе VirusTotal. Чтобы оформить подписку на VT Enterprise, заполните и отправьте эту форму.
Сведения, доступные в версии StandardВ отчете VirusTotal версии Standard содержится следующая информация:
- Регистрируемые идентификаторы. Идентификаторы и свойства, с помощью которых вы можете обозначить угрозу и сообщить о ней другим аналитикам (например, хеши файлов).
- Репутация угрозы. Оценки вредоносности от более чем 70 поставщиков услуг безопасности, в том числе разработчиков антивирусных решений, компаний, работающих в сфере безопасности, и составителей списков небезопасных IP-адресов.
- Время существования угрозы. Ключевые даты, которые позволяют понять, когда угроза была обнаружена впервые и как долго она остается актуальной.
- Результаты поиска WHOIS по доменному имени или IP-адресу. Сведения о регистраторе, регистранте и владельце домена, а также диапазоне IP-адресов.
- Метаданные доменов и серверов, связанные с безопасностью. Сертификаты HTTPS для веб-серверов, записи DNS-преобразования и заголовки HTTP серверов.
Помимо всех сведений из отчета версии Standard, в отчете версии Enhanced содержится следующая информация:
- Многовекторное обнаружение угроз. Дополнительный анализ угроз на основе краудсорсинговых правил и оценок сообщества (например, правил YARA, Sigma и IDS).
- Связанные индикаторы компрометации (IOC). Примерами IOC являются сетевая инфраструктура, распространяющая вредоносный файл, серверы, используемые для управления атакой, вредоносные URL в определенном домене и IP-адрес определенных доменов.
- Интерактивный график угрозы. Графическое представление всех аспектов угрозы на основе взаимосвязей между индикаторами компрометации.
- Метаданные, связанные с безопасностью. Информация об издателе ПО, идентификаторы вредоносных макросов в документах, рейтинги популярности доменов, категории контента в домене и другие сведения.
- Сведения в глобальном контексте. Информация о географии и времени распространении угроз, часто используемые злоумышленниками методы обмана, а также другая информация, полученная на основе присланных пользователями VirusTotal метаданных.
- Информация о похожих угрозах. Ссылки на сведения о других угрозах с такими же свойствами из глобального набора данных VirusTotal.
Сценарии и преимущества использования версии Enhanced
- Улучшенное обнаружение угроз. Выработанные профессиональным сообществом правила помогут вам обнаружить определенные угрозы и получить контекстные сведения о них, даже когда эти угрозы ещё плохо изучены поставщиками услуг безопасности.
- Ускоренный анализ и оперативные решения. Информация, полученная от профессионального сообщества, повысит результативность работы специалистов по безопасности в вашей организации. Злоумышленники атакуют разные организации, а VirusTotal собирает данные об этом, помогая вашим специалистам составить полную картину. Отчеты VirusTotal версии Enhanced помогут значительно быстрее определять мнимые и реальные угрозы и предпринимать необходимые действия.
- Оперативное устранение угроз. Интерактивный график угроз и связанные объекты помогут определить индикаторы компрометации для оповещения и с их помощью всесторонне оценить последствия атаки на организацию, выполнив поиск по данным телеметрии безопасности. Например, обнаружил ли VirusTotal в одном из оповещений, что из домена были скачаны вредоносные файлы? Если да, были ли замечены их хеши в сети?
- Стратегия профилактики угроз. Вы можете проанализировать сведения из отчета и определить инфраструктуру угроз, которая не была зафиксирована в ваших журналах, или выявить другое вредоносное программное обеспечение под управлением того же злоумышленника и заблокировать это ПО в периметре сети и конечных точках до того, как оно нанесет ущерб вашей организации. Например, вы можете определить домены, зарегистрированные тем же злоумышленником, которые могли ещё не использоваться в атаке, и заранее заблокировать их.
Подробные сведения об отчетах VirusTotal и общая информация о сервисе приведены на сайте VirusTotal. Узнайте о принципе работы VirusTotal или уточните у нас интересующую информацию.
Как зарегистрировать аккаунт VT Enterprise
Как описано выше, в отчетах VirusTotal версии Enhanced содержатся дополнительные сведения для анализа угроз. Больше узнать об этих отчетах и зарегистрировать аккаунт VT Enterprise можно с помощью этой формы для связи с командой VirusTotal.
Юридическая информация
VirusTotal – это продукт конгломерата Alphabet, который анализирует подозрительные файлы, URL, домены и IP-адреса для выявления вредоносного ПО и других видов угроз и автоматически делится сведениями о них с сообществом специалистов по безопасности.
Чтобы посмотреть отчеты VirusTotal, необходимо разрешить отправку в этот сервис хешей прикрепленных файлов, IP-адресов или доменных имен.
Используя VirusTotal, вы соглашаетесь с тем, что к отправленным вами данным применяются Условия использования и Политика конфиденциальности VirusTotal, и разрешаете VirusTotal делиться этими данными с сообществом специалистов по безопасности.
Часто задаваемые вопросы
Взимается ли дополнительная плата за просмотр отчетов VirusTotal версии Standard?Нет. Эти отчеты могут просматривать администраторы версий Business Plus, Enterprise Standard, Enterprise Plus, Education Standard и Education Plus, имеющие доступ к Центру оповещений.
Если вы хотите получать дополнительные сведения о репутации и контексте угроз для анализа и выработки ответных мер, вам понадобится платная подписка VT Enterprise.
Да. Если вы оформите платную подписку на VirusTotal (VT Enterprise), в Центре оповещений вам будут доступны дополнительные результаты анализа безопасности. Их просмотр не влияет на квоту VirusTotal. В квоте учитываются только переходы по страницам на сайте virustotal.com.
Узнать больше о VT Enterprise и запросить пробный период можно на странице с информацией о сервисе VirusTotal. Чтобы оформить подписку на VT Enterprise, заполните и отправьте эту форму.
Да. Подписка VT Enterprise позволяет реализовать другие сценарии использования, в частности для центров по обеспечению безопасности, специалистов по анализу угроз и групп быстрого реагирования на киберугрозы и инциденты.
- Автоматизированное обогащение данных телеметрии безопасности – сортировка оповещений, исключение ложноположительных результатов, подтверждение фактических угроз и оценка уровня достоверности.
- Реагирование на инциденты и ретроспективный анализ – сортировка оповещений системы безопасности, анализ инцидентов и контекста, обнаружение объектов и выявление индикаторов компрометации.
- Анализ угроз и расширенные возможности их выявления – обнаружение неизвестных угроз, мониторинг атак, отслеживание злоумышленников, профилактическое выявление индикаторов компрометации, изучение общей картины угроз и ситуационная осведомленность.
- Защита от фишинга и мошенничества, мониторинг бренда и корпоративной инфраструктуры – отслеживание фишинговых кампаний, анализ банковских троянов и средств для кражи данных, мониторинг выдачи злоумышленником себя за бренд, выявление вредоносного ПО и нарушений корпоративной инфраструктуры.
- Использование "красных команд" и этичный хакинг – разведка и пассивный сбор информации о системе, моделирование проникновений и атак, проверка стека безопасности.
- Приоритизация уязвимостей – умные стратегии исправлений на основе рисков, мониторинг уязвимостей в глобальном контексте и сопоставление злоумышленников с эксплуатацией уязвимостей.
Подробные сведения о том, как VT Enterprise помогает повысить безопасность, приведены в этом обзоре. Интересующую вас информацию вы можете уточнить у специалистов VirusTotal.
Нет. Данные передаются только в том случае, если администратор откроет отчет VirusTotal. После этого в VirusTotal пересылаются хеши файлов, сведения о доменах или IP-адресах, чтобы произвести оценку рисков для выбранного объекта.
Нет. Просмотр отчетов VirusTotal в Центре безопасности не влияет на квоту VT Enterprise. Если администратор перейдет из Центра оповещений на сайт VirusTotal для получения дополнительных сведений, тогда квота будет учитываться, как и при непосредственном посещении сайта virustotal.com.
Нет. В VirusTotal пересылаются только хеши файлов.
Нет. В VirusTotal отправляется только та часть адреса, которая содержит доменное имя.
