Benachrichtigung

Duet AI heißt jetzt Gemini für Google Workspace. Weitere Informationen

VirusTotal-Berichte im Prüftool aufrufen

Zusätzliche Sicherheitsinformationen zu Gmail- und Chrome-Protokollereignissen erhalten
Unterstützte Versionen für diese Funktion: Frontline Standard; Enterprise Plus; Education Standard und Education Plus; Enterprise Essentials Plus.  G Suite-Versionen vergleichen

VirusTotal, jetzt Teil von Google Cloud, bietet Informationen zu Bedrohungen sowie Bewertungsdaten. Damit lassen sich verdächtige Dateien, URLs, Domains und IP-Adressen analysieren und Bedrohungen der Internetsicherheit leichter erkennen. VirusTotal-Berichte liefern viele per Crowdsourcing ermittelte Details darüber, warum eine Domain, ein Dateianhang oder eine IP-Adresse als riskant angesehen werden könnte. Weitere Informationen finden Sie auf der VirusTotal-Website.

Mit dem Sicherheits-Prüftool können Sie direkt auf VirusTotal-Berichte zu E-Mail-Anhängen in Ihrer Organisation oder in Bezug auf Chrome-Protokollereignisse zugreifen. Damit erhalten Sie Informationen zu Bedrohungen und Bewertungsdaten, die für eine Prüfung relevant sind. So kann beispielsweise ein VirusTotal-Bericht darüber informieren, dass mehrere Sicherheitsanbieter eine bestimmte Domain als schädlich gemeldet haben.

Hinweis:

  • Wenn Sie VirusTotal-Berichte im Prüftool aufrufen möchten, benötigen Sie die Berechtigung Sicherheitscenterund dann VirusTotalund dannBericht ansehen.
  • VirusTotal kann nicht zum Erkennen von Malware oder anderen Sicherheitsbedrohungen verwendet werden. VirusTotal ergänzt die Ergebnisse einer Prüfung und bietet weitere Sicherheitsinformationen sowie Unterstützung für Entscheidungen bei Sicherheitsproblemen.
  • Daten (Hashes von Dateianhängen) werden erst dann für VirusTotal freigegeben, wenn Ihr Administrator das Aufrufen des VirusTotal-Berichts auswählt. Andernfalls werden keine Daten gesendet.
  • VirusTotal-Daten werden einer größeren Sicherheitscommunity zur Verfügung gestellt. Sicherheitsanbieter können dadurch zusammenarbeiten und wichtige Details austauschen sowie Maßnahmen zur Bekämpfung von Sicherheitsbedrohungen ergreifen.
  • Sie können VirusTotal-Berichte auch über die Benachrichtigungszentrale aufrufen, um zusätzliche Sicherheitsinformationen zu Benachrichtigungen zu erhalten. Weitere Informationen finden Sie unter VirusTotal-Berichte über die Benachrichtigungszentrale aufrufen.

VirusTotal-Berichte für Gmail ansehen

  1. Melden Sie sich in der Admin-Konsole unter admin.google.com an.
    Melden Sie sich mit Ihrem Administratorkonto an (endet nicht auf @gmail.com).
  2. Klicken Sie links im Navigationsmenü auf Sicherheitund dannSicherheitscenterund dannPrüftool.
  3. Wählen Sie Gmail-Nachrichten oder Gmail-Protokollereignisse als Datenquelle für die Suche aus.
  4. Klicken Sie auf BEDINGUNG HINZUFÜGEN und wählen Sie Mit Anhang aus.
  5. Klicken Sie auf Suchen.
  6. Klicken Sie bei einem Element in den Suchergebnissen unten auf der Seite auf den Link Nachrichten-ID oder Betreff.
  7. Klicken Sie in der Seitenleiste auf den Tab Nachricht oder Thread.
  8. Klicken Sie auf VirusTotal-Bericht ansehen.

Der VirusTotal-Bericht besteht aus mehreren Abschnitten mit Details zu potenziellen Sicherheitsbedrohungen. Beispielsweise enthält er eine Liste von Sicherheitsanbietern, die eine Datei als schädlich gemeldet haben, sowie die Ergebnisse des Dateiscans für jeden dieser Anbieter.

VirusTotal-Berichte für Chrome ansehen

  1. Melden Sie sich in der Admin-Konsole unter admin.google.com an.
    Melden Sie sich mit Ihrem Administratorkonto an (endet nicht auf @gmail.com).
  2. Klicken Sie links im Navigationsmenü auf Sicherheitund dannSicherheitscenterund dannPrüftool.
  3. Wählen Sie Chrome-Protokollereignisse als Datenquelle für die Suche aus.
  4. Klicken Sie auf Bedingung hinzufügen und wählen Sie eine Bedingung für die Suche aus.
  5. Klicken Sie auf Suchen.
  6. Klicken Sie in den Suchergebnissen unten auf der Seite auf einen der Links in der Spalte Inhalts-Hash.
  7. Klicken Sie in der Seitenleiste auf VirusTotal-Bericht ansehen.

Der VirusTotal-Bericht besteht aus mehreren Abschnitten mit Details zu potenziellen Sicherheitsbedrohungen.

Zwei Versionen des VirusTotal-Berichts

Den VirusTotal-Bericht gibt es als Standard- und als erweiterte Version. Die Standardversion wird für Administratoren mit der Berechtigung Sicherheitscenterund dannVirusTotalund dann Bericht ansehen und einer der erforderlichen Google Workspace-Versionen angezeigt. Abonnenten der kostenpflichtigen Version von VirusTotal, die mit ihrem VT Enterprise-Nutzerkonto auf virustotal.com angemeldet sind, sehen automatisch die erweiterte Version.

In der Übersicht zu den Diensten auf der VirusTotal-Website finden Sie weitere Informationen zu VT Enterprise und können ein Probeabo anfordern. Wenn Sie sich für VT Enterprise registrieren möchten, füllen Sie dieses Formular aus.

Funktionen der Standardversion

Die Standardversion der VirusTotal-Berichte umfasst Folgendes:

  • Bewertung der Bedrohung: Schädlichkeitsbewertung von mehr als 70 Sicherheitsanbietern
  • Zeitspanne der Bedrohung: wichtige Daten, mit denen Sie erkennen können, wann eine bestimmte Bedrohung zuerst beobachtet wurde und wie lange sie schon aktiv ist
  • Dateiidentifikation: Kennungen und Merkmale, mit denen Sie auf die Bedrohung verweisen und sie mit anderen Analysten teilen können, z. B. Datei-Hashes, Dateityp oder Größe.
Funktionen der erweiterten Version

Die erweiterte Version der VirusTotal-Berichte enthält die gleichen Funktionen wie die Standardversion und zusätzlich Folgendes:

  • Mehrstufige Erkennung: zusätzliche Bedrohungsanalyse aus per Crowdsourcing ermittelten Regelübereinstimmungen und Communitybewertungen, z. B. YARA-, Sigma- und IDS-Regeln
  • Informationen für die Zulassungsliste: Für Gmail-Protokollereignisse sind nützliche Informationen zum Verwerfen falsch-positiver Ergebnisse (National Software Reference Library, Software Distributors, Microsoft Clean Metadata Feed usw.) vorhanden. 
  • Zugehörige Kompromittierungsindikatoren: Kompromittierungsindikatoren (Indicators of Compromise, IOCs), z. B. Netzwerkinfrastrukturen, über die eine Malwaredatei verteilt wird, ein Command-and-Control-Server für eine bestimmte Bedrohung oder Bereitstellungsvektoren der ersten Stufe für eine geprüfte Datei.
  • Interaktives Bedrohungsdiagramm: Grafik, in der die Beziehungen zwischen IOCs visualisiert und so komplette Bedrohungskampagnen abgebildet werden
  • Sicherheitsrelevante Metadaten: unter anderem Informationen zu Softwareherstellern, die Ermittlung schädlicher Makros in Dokumenten, Berechtigungen für Android-Anwendungen usw.
  • Kursierende Bedrohungen: Informationen zur geografischen und zeitlichen Verbreitung von Bedrohungen, gängige Täuschungsverfahren von Angreifern und weitere Einblicke aus eingereichten VirusTotal-Metadaten
  • Verdächtige Attribute analysieren: anklickbare Details in VirusTotal-Berichten, mit denen Sie im globalen VirusTotal-Datenbestand nach anderen Bedrohungen mit denselben Eigenschaften suchen können

Vorteile und Anwendungsfälle der erweiterten Version

  • Verbesserte Erkennung von Bedrohungen: Mit Regeln, die auf Crowdsourcing basieren, lassen sich Bedrohungen auch dann erkennen und in einen Kontext setzen, wenn sie den Sicherheitsanbietern noch nicht bekannt sind.
  • Beschleunigte Prüfungen und Entscheidungsfindung: Sie erweitern rein interne Prüfungen durch Crowdsourcing-Kontext und steigern so die Effizienz Ihres Sicherheitsteams. Angreifer haben es auch auf andere Organisationen abgesehen und in VirusTotal werden ihre Spuren sichtbar. So kann sich Ihr Sicherheitsteam ein vollständiges Bild machen. Mit der erweiterten Version der VirusTotal-Berichte lassen sich deutlich schneller falsch-positive Ergebnisse aussortieren und echt-positive bestätigen und eskalieren.
  • Verbesserte Behebung von Bedrohungen: Mit dem interaktiven Bedrohungsdiagramm und den zugehörigen Artefakten können Sie IOCs identifizieren, die mit einer relevanten Benachrichtigung verbunden sind. Mit einer entsprechenden Suche in Ihrer Sicherheitstelemetrie verschaffen Sie sich ein umfassendes Bild der Auswirkungen eines Angriffs auf Ihre Organisation. Beispiel: Auf welchen Domains ist ein Hash in einer Ihrer Benachrichtigungen enthalten? Blockieren Sie sie im Netzwerkperimeter, schon bevor sie in Ihrer Umgebung sichtbar sind.
  • Proaktive Verteidigungsstrategie: Sie können Daten in VT Enterprise noch genauer analysieren und Bedrohungsinfrastrukturen ermitteln, die in Ihren Protokollen vielleicht nicht aufgetaucht wären. Andere Malware desselben Angreifers lässt sich ebenfalls identifizieren und in Ihrem Netzwerk sowie auf Endpunkten blockieren, bevor sie sich auf Ihre Organisation auswirkt. Wenn Sie zum Beispiel neben der Command-and-Control-Domain für eine der Dateien, die Sie prüfen möchten, eine andere Domain entdecken, die vom selben Bedrohungsakteur registriert wurde und bisher eventuell noch nicht in einer Kampagne genutzt wurde, können Sie solche Domains vorbeugend blockieren, um Ihr Unternehmen zu schützen.

In der Übersicht zu den Diensten auf der VirusTotal-Website erhalten Sie weitere Informationen zu den Funktionen von VirusTotal-Berichten. Hier finden Sie Informationen zur Funktionsweise von VirusTotal (in englischer Sprache). Gern können Sie sich bei Fragen auch an uns wenden.

Für ein VT Enterprise-Konto registrieren

Wie oben beschrieben, umfassen erweiterte VirusTotal-Berichte zusätzliche Dienste für Bedrohungsinformationen und erweiterte Funktionen. Wenden Sie sich an das VirusTotal-Team, um weitere Informationen zu erhalten und sich für VT Enterprise zu registrieren.

Rechtliche Hinweise

VirusTotal ist ein Produkt von Alphabet, mit dem verdächtige Dateien, URLs, Domains und IP-Adressen zwecks Erkennung von Malware und anderer Arten von Bedrohungen analysiert und automatisch an die Sicherheitscommunity weitergegeben werden.

Für die Anzeige von VirusTotal-Berichten müssen Sie Hashes von Dateianhängen, IP-Adressen oder Domains an VirusTotal senden. 

Durch die Verwendung von VirusTotal erkennen Sie an, dass für Ihre gesendeten Daten die Nutzungsbedingungen und die Datenschutzerklärung von VirusTotal gelten und dass VirusTotal Ihre gesendeten Daten an die Sicherheitscommunity weitergeben kann.

Häufig gestellte Fragen

Fallen zusätzliche Kosten an, wenn ich die Standardversion der VirusTotal-Berichte verwende?

Nein. Die Standardversion der VirusTotal-Berichte steht Administratoren mit der Berechtigung Sicherheitscenterund dannVirusTotalund dannBericht ansehen zur Verfügung.

Wenn Sie erweiterte Funktionen nutzen und damit Ihre Entscheidungsfindung und die Prüfungsmöglichkeiten durch zusätzliche Informationen zum Bedrohungskontext und zur Bewertung verbessern bzw. erweitern möchten, benötigen Sie ein kostenpflichtiges VT Enterprise-Abo

Gibt es Unterschiede für zahlende VirusTotal-Kunden?

Ja. Wenn Sie ein kostenpflichtiges VirusTotal-Abo haben, auch als VT Enterprise bekannt, werden im Prüftool erweiterte Ergebnisse angezeigt. Auf Ihr VirusTotal-Kontingent hat das keinen Einfluss. Auf das Kontingent wird nur das Öffnen von virustotal.com-Seiten angerechnet.

Wie kann ich mich für VT Enterprise registrieren, um die erweiterte Version der VirusTotal-Berichte zu nutzen?

In der Übersicht zu den Diensten auf der VirusTotal-Website finden Sie weitere Informationen zu VT Enterprise und können ein Probeabo anfordern. Wenn Sie sich für VT Enterprise registrieren möchten, füllen Sie dieses Formular aus.

Gibt es neben der erweiterten Version der VirusTotal-Berichte noch weitere Vorteile bei einem VT Enterprise-Abo?

Ja. Sie können mit VT Enterprise weitere Anwendungsfälle implementieren, die insbesondere für Sicherheitszentralen, IT-Notfallteams, Reaktionsteams für Computersicherheitsverletzungen und Arbeitseinheiten für die Bedrohungsanalyse relevant sind: 

  • Automatisierte Anreicherung der Sicherheitstelemetrie: Das umfasst die Einschätzung von Benachrichtigungen, das Verwerfen falsch-positiver und die Bestätigung positiver Benachrichtigungen sowie die Konfidenzkorrelation.
  • Reaktion auf Vorfälle und forensische Analyse: Das umfasst die Einschätzung von Benachrichtigungen des Sicherheitsbetriebs, die Analyse von Vorfällen und deren Kontext, die Erkennung von Artefakten und die Identifizierung von IOCs.
  • Bedrohungsinformationen und Advanced Hunting: Das umfasst die Erkennung unbekannter Bedrohungen, die Überwachung von Bedrohungskampagnen, das Aufspüren von Angreifern, die präventive IOC-Identifikation, die Erkundung der Bedrohungslandschaft und die Lageeinschätzung.
  • Anti-Phishing, Betrugsbekämpfung, Überwachung von Marken und Unternehmensinfrastrukturen: Das umfasst die Verfolgung von Phishing-Kampagnen, die Zerlegung von Banking-Trojanern und Software für den Informationsdiebstahl, die Überwachung von Marken-Identitätsdiebstahl, die Verteilung von Malware und die Identifizierung von Missbrauch der Unternehmensinfrastruktur.
  • Penetrationstests und ethisches Hacking: Das umfasst Aufklärung und passives Fingerprinting, die Simulation von Sicherheitsverletzungen und Angriffen sowie die Validierung des Sicherheitsstacks.
  • Priorisierung von Schwachstellen: Das umfasst intelligente, risikoorientierte Patchingstrategien, die Überwachung von kursierenden Waffen für den Angriff auf Schwachstellen und die Zuordnung von Bedrohungsakteuren zur Ausnutzung von Schwachstellen.

Weitere Informationen darüber, wie VT Enterprise Ihre Sicherheitsabläufe verbessern kann, finden Sie in dieser englischsprachigen Übersicht zu VirusTotal. Sie können sich auch an unsere VirusTotal-Spezialisten wenden, um weitere Informationen zu erhalten.

Werden Daten ohne Administratoraktionen für VirusTotal-Berichte freigegeben?

Nein. Die gesamte Funktionalität basiert darauf, dass Ihr Administrator die Anzeige des VirusTotal-Berichts auswählt. Erst nach dieser Aktion des Administrators werden der Datei-Hash, die Domain oder die IP-Adresse an VirusTotal weitergegeben, um den Bericht zur Risikobewertung für die ausgewählte Entität anzufordern.

Wird das Aufrufen von VirusTotal-Berichten im Prüftool auf mein Kontingent angerechnet, wenn ich VT Enterprise-Kunde bin?

Nein. Wenn Sie VirusTotal-Berichte über das Prüftool öffnen, wird kein VT Enterprise-Kontingent verbraucht. Wenn ein Administrator die VirusTotal-Website öffnet, um mit dem Prüftool weitere Nachforschungen anzustellen, wird das wie der direkte Besuch von virustotal.com auf die Standard-Kontingentnutzung angerechnet.

Werden Dateien weitergegeben?

Nein. Es werden nur Datei-Hashes an VirusTotal gesendet.

War das hilfreich?

Wie können wir die Seite verbessern?
Suche
Suche löschen
Suche schließen
Google-Apps
Hauptmenü