如要透過快訊中心查看 VirusTotal 報告,超級管理員必須指派「快訊中心」>「完整權限」>「查看 VirusTotal 報告」權限給您。管理員也必須擁有下列任一 Google Workspace 版本:Business Plus、Enterprise Standard、Enterprise Plus、Education Standard 或 Education Plus。
VirusTotal 現已納入 Google Cloud,可提供威脅情境和信譽資料,以協助分析可疑檔案、網址、網域和 IP 位址,進而偵網路安全威脅。VirusTotal 報告可就網域、檔案附件或 IP 位址被判定為具有風險的原因,提供多種群眾外包詳細資訊 (詳情請參閱 VirusTotal 網站)。
透過快訊中心的快訊詳細資料頁面,您可以直接存取 VirusTotal 報告,輕鬆取得與特定快訊相關的威脅情境和信譽資料。舉例來說,VirusTotal 報告可能會顯示多家安全服務供應商已將特定網域標記為含有惡意內容。
注意:
- VirusTotal 的用途不是「產生」安全性快訊,也不是偵測惡意軟體或其他安全性威脅。藉由提供進一步的安全性深入分析,並協助您在處理安全性疑慮時做出決策,VirusTotal 可以讓您清楚瞭解快訊詳細資料。
- 只有在管理員選擇查看 VirusTotal 報告後,我們才會將資料 (網域、IP 位址或檔案附件雜湊) 分享給 VirusTotal。除此之外,我們不會分享任何資料。
- 我們會將 VirusTotal 資料與廣大的安全性社群分享,藉此讓安全服務供應商互相協作、分享重要詳細資料,並因應安全性威脅採取適當行動。
- 您也可以透過安全調查工具查看 VirusTotal 報告,取得與電子郵件附件相關的其他安全性深入分析。詳情請參閱透過調查工具查看 VirusTotal 報告。
查看 VirusTotal 報告
如何在快訊詳細資料頁面中查看 VirusTotal 報告:
-
-
在管理控制台中,依序點選「選單」圖示
「安全性」
「快訊中心」。
- 如要查看更多詳細資料,只要點選特定快訊即可開啟快訊詳細資料頁面。
- 在「重要詳細資訊」或「訊息」部分中,按一下「查看 VirusTotal 報告」。
這個選項適用於內含網域 (通常是執行者電子郵件地址、IP 位址或檔案附件雜湊的一部分) 的快訊。
VirusTotal 報告包含多個部分,提供潛在安全性威脅的詳細資料。舉例來說,您可以查看已將檔案標記為惡意內容的安全服務供應商清單,也能查看這些供應商個別的檔案掃描結果。
VirusTotal 報告 Standard 版和 Enhanced 版
VirusTotal 報告分為兩種版本:「Standard」版和「Enhanced」版。如果您是具備快訊中心權限及採用其中一個規定 Google Workspace 版本的管理員,系統會顯示 Standard 版;如果您是 VirusTotal 付費版訂閱者,只要「透過 VT Enterprise 使用者帳戶登入 virustotal.com 並保持登入工作階段」,系統就會自動顯示 Enhanced 版。
如要進一步瞭解 VT Enterprise 並申請試用,請參閱 VirusTotal 網站上的服務總覽。如要註冊 VT Enterprise,,請提交這份表單。
Standard 版內含功能VirusTotal 報告 Standard 版包含下列功能:
- 可識別編號:檔案雜湊這類 ID 和特性,可讓您參照威脅內容,方便與其他分析師分享。
- 威脅信譽:來自 70 餘家安全服務供應商的惡意內容評估資料,包含防毒解決方案、安全防護公司、網路封鎖清單等等。
- 威脅運作時間:某個威脅的相關重要日期,可讓您掌握該威脅初次在網路環境中被發現的時間點,以及持續運作時間。
- 網域/IP WHOIS 查詢:網域的註冊商和註冊者詳細資料,以及 IP 位址的擁有權和網路範圍資訊。
- 網域和伺服器的安全性相關中繼資料:網路伺服器的 HTTPS 憑證、DNS 解析記錄和網路伺服器 HTTP 標頭。
除了具備與 Standard 版相同的功能外,VirusTotal 報告 Enhanced 版「還」提供下列功能:
- 多面向偵測功能:透過群眾外包規則比對功能和社群評分 (例如 YARA、Sigma 和 IDS 規則) 取得其他威脅分析資料。
- 相關入侵指標 (IOC):入侵指標的範例包含發布惡意軟體檔案的網路基礎架構、用來命令與控制特定威脅的伺服器、特定網域下的惡意網址、隱藏在特定 IP 位址背後的網域等等。
- 互動式威脅資訊圖表:一種圖形格式,能以視覺化的方式顯示入侵指標間的關聯性,方便您掌握整個威脅活動。
- 安全性相關中繼資料:包含軟體發布商資訊、文件中惡意巨集的識別資訊、網域熱門程度排名、網域內容類別等等。
- 網路環境詳細資料:透過 VirusTotal 提交內容中繼資料,所取得的威脅地理位置和運作時間詳細資料、常見攻擊者詐騙技術等內容。
- 可疑屬性洞察功能:VirusTotal 報告中可供點選的詳細資料,讓您針對具有相同屬性的其他威脅探索 VirusTotal 全域資料集。
Enhanced 版的優勢與用途
- 強化的威脅偵測功能:即使安全服務供應商尚未廣泛掌握某項威脅,也能運用群眾外包規則精準找出並取得威脅情境資訊。
- 快速調查與決策流程:運用群眾外包的情境資訊,搭配內部限定的觀察資料,藉此提升安全團隊的工作效率。由於敵人也會攻擊其他機構,因此您可以透過 VirusTotal 查看這些記錄,為您的安全團隊補足所需資訊。只要使用 VirusTotal 報告 Enhanced 版,就能大幅加快汰除誤判情形以及確認並向上呈報真實錯誤的流程。
- 更完善的威脅修復功能:使用互動式威脅資訊圖表和相關成果,對您的安全性遙測資訊進行搜尋,藉此找出與相關快訊相關聯的入侵指標,並透過這些資料徹底瞭解攻擊事件對貴機構的影響。例如思考:VirusTotal 是否在任一快訊中發現任何從網域下載的惡意軟體檔案?如果是的話,您在網路中是否看到任何相關雜湊?
- 主動式防護策略:您可以透過 VT Enterprise 洞察資料,找出記錄中可能還未顯示的威脅基礎架構。或者,您也可以找出其他由相同威脅執行者操控的惡意軟體,並在該惡意軟體對貴機構造成影響之前,於網路範圍和端點中加以封鎖。例如:深入尋找由相同威脅執行者註冊且尚未用於攻擊活動的其他網域,然後採取防範措施封鎖這些網域,以免這些網域最終用來對貴公司發動攻擊。
如要進一步瞭解 VirusTotal 報告功能,請參閱 VirusTotal 網站上的服務總覽。另請參閱運作方式:VirusTotal,或向我們洽詢相關深入資訊。
註冊 VT Enterprise 帳戶
如上所述,VirusTotal 報告 Enhanced 版可提供其他威脅情報服務和進階功能。如要取得詳細資訊,並註冊 VT Enterprise,請與 VirusTotal 團隊聯絡。
法律聲明
VirusTotal 這款 Alphabet 產品會分析可疑檔案、網址、網域和 IP 位址,藉此偵測惡意軟體和其他類型的威脅,並將相關資訊自動提供給安全性社群。
如要查看 VirusTotal 報告,您必須將檔案附件雜湊、IP 位址或網域提交給 VirusTotal。
使用 VirusTotal,即表示您瞭解您提交的資料適用 VirusTotal 的《服務條款》和《隱私權政策》,而且 VirusTotal 可能會將您的資料提交內容與安全性社群分享。
常見問題
如要使用 VirusTotal 報告 Standard 版,是否有任何其他費用?否,VirusTotal 報告 Standard 版適用於具備快訊中心權限及採用下列其中一個版本的管理員:Business Plus、Enterprise Standard、Enterprise Plus、Education Standard 和 Education Plus。
如果您想要運用進階威脅情境和信譽資料提升使用體驗,並改善決策與調查能力,則必須付費訂閱 VT Enterprise。
是的。如果您使用付費版 VirusTotal 訂閱服務 (也就是 VT Enterprise),就能透過快訊中心查看更完善的資料結果,而且不會影響 VirusTotal 配額。只有在您開啟 virustotal.com 網頁時才會占用配額。
是的。您可以透過 VT Enterprise 實作與安全作業中心、電腦緊急應變團隊、事件應變團隊和威脅情報單位特別相關的其他用途:
- 自動擴充安全性遙測功能:包含快訊分類、誤判情形汰除、真實錯誤確認和信賴關聯性。
- 事件應變和鑑識分析:包含安全作業快訊分類、事件分析與情境、成果探索以及入侵指標識別。
- 威脅情報和進階搜捕功能:包含探索未知威脅、監控威脅活動、追蹤敵人、預防性識別入侵指標、探索威脅範圍,以及察覺狀況變化。
- 防網路詐騙、防詐欺、品牌與公司基礎架構監控功能:包含追蹤網路詐騙活動、分析金融木馬程式和資訊竊取行為、監控品牌冒用行為,以及識別惡意軟體發布和公司基礎架構濫用行為。
- 紅隊演練和道德駭客:包含偵察與被動式數位指紋採集、侵害與攻擊模擬,以及安全性堆疊驗證。
- 排定處理安全漏洞的優先順序:包含以風險為準觸發智慧型修補策略、監控可能在網路上被利用的安全漏洞,以及「將威脅執行者與安全漏洞利用行為進行比對」。
如要進一步瞭解如何運用 VT Enterprise 強化您的安全作業,請參閱 VirusTotal 全方位總覽說明文件。如要瞭解詳情,請與 VirusTotal 專員聯絡。
不會。所有功能取決於管理員是否要查看 VirusTotal 報告。只有在管理員執行這項操作時,我們才會將檔案雜湊、網域或 IP 位址分享給 VirusTotal,以要求所選實體的風險評估報告。
不會。在快訊中心中開啟 VirusTotal 報告並不會占用任何 VT Enterprise 配額。如果管理員開啟 VirusTotal 網站,並透過快訊中心進行其他研究,那麼就會計入標準配額使用量,這與直接造訪 virustotal.com 的計算方式相同。
不會。我們只會將檔案雜湊傳送給 VirusTotal。
不會。我們只會將電子郵件地址的網域部分傳送給 VirusTotal。
