Notification

Duet AI s'appelle désormais Gemini pour Google Workspace. En savoir plus

Consulter les rapports VirusTotal à partir de l'outil d'investigation

Obtenez des renseignements de sécurité supplémentaires concernant les événements de journaux Chrome et Gmail.
Éditions compatibles avec cette fonctionnalité : Frontline Standard ; Enterprise Plus ; Education Standard et Education Plus ; Enterprise Essentials Plus.  Comparer votre édition

Désormais inclus dans Google Cloud, VirusTotal vous fournit des données sur la réputation et le contexte des menaces pour vous aider à analyser les fichiers, URL, domaines et adresses IP suspects afin de détecter les menaces de cybersécurité. Les rapports VirusTotal réunissent des informations issues de plusieurs sources qui expliquent pourquoi un domaine, une pièce jointe ou une adresse IP sont susceptibles de présenter un risque. (Pour en savoir plus, consultez le site Web VirusTotal.)

L'outil d'investigation de sécurité vous permet d'accéder directement aux rapports VirusTotal associés aux pièces jointes envoyées par e-mail au sein de votre organisation, ou aux événements des journaux Chrome. Ces rapports vous permettent de consulter les données sur la réputation et le contexte des menaces en lien avec une enquête. Par exemple, un rapport VirusTotal peut vous indiquer que plusieurs fournisseurs de sécurité ont signalé un domaine comme étant malveillant.

Remarque :

  • Pour consulter les rapports VirusTotal à partir de l'outil d'investigation, vous devez disposer du droit d'accès Centre de sécuritépuisVirusTotalpuisAfficher le rapport.
  • VirusTotal ne permet pas de détecter des logiciels malveillants ou d'autres menaces pour la sécurité. VirusTotal développe les résultats d'une enquête en fournissant des informations supplémentaires sur la sécurité et en vous aidant à prendre les décisions appropriées pour résoudre les problèmes de sécurité.
  • Les données (hachage de pièces jointes) ne sont partagées avec VirusTotal que si votre administrateur choisit d'afficher le rapport VirusTotal. Dans le cas contraire, aucune donnée n'est partagée.
  • Les données VirusTotal sont partagées avec les équipes chargées de la sécurité dans leur ensemble. Cela permet aux fournisseurs de sécurité de collaborer, de partager des informations importantes et de prendre des mesures afin de neutraliser les menaces pour la sécurité.
  • Vous pouvez également consulter les rapports VirusTotal à partir du centre d'alerte afin d'obtenir des renseignements supplémentaires concernant les alertes de sécurité. Pour en savoir plus, consultez Afficher les rapports VirusTotal à partir du centre d'alerte.

Consulter les rapports VirusTotal associés à Gmail

  1. Connectez-vous à la console d'administration Google à l'adresse admin.google.com.
    Connectez-vous avec votre compte administrateur (ne se terminant pas par @gmail.com).
  2. Dans le menu de navigation de gauche, accédez àSécuritépuisCentre de sécuritépuisOutil d'investigation dans le menu déroulant.
  3. Sélectionnez Messages Gmail ou Événements de journaux Gmail en tant que source de données pour votre recherche.
  4. Cliquez sur AJOUTER UNE CONDITION, puis sélectionnez Contenant une pièce jointe.
  5. Cliquez sur Rechercher.
  6. À partir de l'un des éléments des résultats de recherche situés au bas de la page, cliquez sur le lien Identifiant du message ou Objet.
  7. Dans le panneau latéral, cliquez sur l'onglet Message ou Fil de discussion.
  8. Cliquez sur Afficher le rapport VirusTotal.

Le rapport VirusTotal inclut plusieurs sections comportant des détails sur des menaces potentielles pour la sécurité. Par exemple, vous pouvez afficher une liste de fournisseurs de sécurité qui ont signalé un fichier comme étant malveillant, et afficher les résultats d'analyse de fichier pour chacun de ces fournisseurs.

Afficher les rapports VirusTotal associés à Chrome

  1. Connectez-vous à la console d'administration Google à l'adresse admin.google.com.
    Connectez-vous avec votre compte administrateur (ne se terminant pas par @gmail.com).
  2. Dans le menu de navigation de gauche, accédez à SécuritépuisCentre de sécuritépuisOutil d'investigation.
  3. Sélectionnez Événements de journaux des utilisateurs en tant que source de données pour votre recherche.
  4. Cliquez sur Ajouter une condition, puis choisissez une condition pour votre recherche.
  5. Cliquez sur Rechercher.
  6. Dans les résultats de recherche au bas de la page, cliquez sur l'un des liens de la colonne Hachage de contenu.
  7. Dans le panneau latéral, cliquez sur Afficher le rapport VirusTotal.

Le rapport VirusTotal inclut plusieurs sections comportant des détails sur des menaces potentielles pour la sécurité.

Versions Standard et Enhanced des rapports VirusTotal

Le rapport VirusTotal comporte deux versions : Standard et Enhanced. La version Standard est présentée aux administrateurs disposant du droit d'accès Centre de sécuritépuisVirusTotalpuisAfficher le rapport et de l'une des éditions Google Workspace requises. La version Enhanced s'affiche automatiquement pour les personnes qui ont un abonnement payant à VirusTotal et une session virustotal.com active avec leur compte utilisateur VT Enterprise.

Pour en savoir plus sur VT Enterprise et demander une version d'essai, consultez la présentation des services sur le site Web VirusTotal. Pour vous inscrire à VT Enterprise, envoyez ce formulaire.

Fonctionnalités de la version standard

La version standard des rapports VirusTotal inclut les fonctionnalités suivantes :

  • Réputation de la menace : évaluations du caractère malveillant provenant de plus de 70 fournisseurs de sécurité.
  • Propagation de la menace dans le temps : dates clés vous permettant de comprendre à quel moment une menace a été observée pour la première fois en circulation et depuis combien de temps elle est active.
  • Identification du fichier : identifiants et caractéristiques vous permettant de référencer la menace et de la partager avec d'autres analystes (hachages de fichier, type de fichier, taille, etc.).
Fonctionnalités de la version Enhanced

La version Enhanced des rapports VirusTotal incluent les mêmes fonctionnalités que la version Standard, plus les suivantes :

  • Détection multiangulaire : analyse supplémentaire de la menace utilisant plusieurs sources de correspondances avec des règles et de notation par la communauté (par exemple, règles YARA, Sigma et IDS).
  • Informations sur la liste d'autorisation : pour les événements de journaux Gmail, informations utiles permettant le rejet des faux positifs (National Software Reference Library, distributeurs de logiciels, flux de métadonnées fiables Microsoft, etc.). 
  • Indicateurs de compromission correspondants : infrastructure réseau distribuant un logiciel malveillant, serveurs utilisés pour commander et contrôler une menace, premiers vecteurs de diffusion d'un fichier en cours d'examen, etc.
  • Graphique interactif de la menace : format graphique qui établit toutes les campagnes de la menace en représentant les relations entre les indicateurs de compromission.
  • Métadonnées concernant la sécurité : informations sur l'éditeur de logiciels, identification de macros malveillantes dans des documents, autorisations liées aux applications Android, etc.
  • Informations sur les menaces en circulation : informations géographiques et temporelles sur les menaces, les techniques de tromperie courantes des pirates informatiques et plus encore, à l'aide des métadonnées envoyées à VirusTotal.
  • Attributs suspects dynamiques : informations cliquables dans les rapports VirusTotal vous permettant de découvrir l'ensemble de données mondial de VirusTotal pour les autres menaces partageant les mêmes propriétés

Avantages et cas d'utilisation de la version Enhanced

  • Détection des menaces améliorée : grâce à des règles provenant de plusieurs sources, ciblez et déterminez le contexte des menaces avant même qu'il ne soit connu des fournisseurs de sécurité.
  • Investigations et prise de décision accélérées : augmentez l'efficacité de votre équipe de sécurité en complétant les observations internes par le contexte obtenu via plusieurs sources. Les antagonistes ciblent également d'autres organisations, et leurs empreintes apparaissent dans VirusTotal, ce qui permet de compléter les informations de votre équipe de sécurité. Grâce à la version Enhanced de VirusTotal, il est plus rapide d'ignorer les faux positifs, ainsi que de confirmer et faire remonter les vrais positifs.
  • Gestion des menaces améliorée : à l'aide du graphique interactif de la menace et des artefacts associés permettant d'identifier les indicateurs de compromission liés à une alerte pertinente, comprenez toutes les implications d'une attaque sur votre organisation en effectuant des recherches dans votre télémétrie de sécurité. Par exemple : quels sont les domaines qui fournissent un hachage dans l'une de vos alertes ? Vous pouvez bloquer chacune d'entre elles dans le périmètre du réseau, même si elles ne sont pas encore visibles dans votre environnement.
  • Stratégie de défense proactive : vous pouvez explorer les différentes options de VT Enterprise pour identifier l'infrastructure à l'origine de la menace, qui n'est peut-être pas indiquée dans vos journaux. Vous pouvez également identifier un autre logiciel malveillant opéré par le même acteur que votre menace, et le bloquer dans le périmètre et les points de terminaison de votre réseau avant qu'il n'affecte votre organisation. Par exemple : à partir d'un domaine de commande et de contrôle concernant l'un des fichiers que vous étudiez, basculez vers d'autres domaines enregistrés par le même acteur de menace qui n'auront pas encore été exploités dans une campagne, et bloquez ces domaines préventivement pour éviter qu'ils ne soient utilisés à l'encontre de votre entreprise.

Pour en savoir plus sur les fonctionnalités du rapport VirusTotal, consultez la présentation des services sur le site Web de VirusTotal. Consultez également Fonctionnement - VirusTotal, ou contactez notre équipe pour en savoir plus.

Souscrire un compte VT Enterprise

Comme vu précédemment, les rapports VirusTotal peuvent inclure des fonctionnalités avancées et des services de renseignement sur les menaces supplémentaires avec la version Enhanced des rapports VirusTotal. Pour en savoir plus ou pour vous inscrire à VT Enterprise, contactez l'équipe VirusTotal.

Mentions légales

VirusTotal est un produit Alphabet qui analyse les fichiers, URL, adresses IP et domaines suspects afin de détecter les logiciels malveillants et les autres types de menaces, et qui les partage avec les équipes chargées de la sécurité.

Pour obtenir les rapports VirusTotal, vous enverrez des hachages de pièces jointes, des adresses IP ou des domaines à VirusTotal.

En utilisant VirusTotal, vous acceptez que les Conditions d'utilisation et les Règles de confidentialité de VirusTotal s'appliquent aux données que vous envoyez, et que VirusTotal les partage avec les équipes chargées de la sécurité.

Questions fréquentes

Faut-il payer des frais supplémentaires pour utiliser la version standard des rapports VirusTotal ?

Non. La version standard des rapports VirusTotal est disponible pour les administrateurs disposant du droit d'accès Centre de sécuritépuisVirusTotalpuisAfficher le rapport.

Si vous souhaitez améliorer l'expérience et bénéficier de meilleures capacités d'investigation et de prise de décision grâce à des données avancées sur le contexte et la réputation des menaces, vous devez souscrire un abonnement VT Enterprise payant.

Les clients payants de VirusTotal bénéficient-ils d'une expérience différente ?

Oui. Si vous avez souscrit un abonnement à VirusTotal, aussi appelé VT Enterprise, vous bénéficiez de résultats enrichis dans l'outil d'investigation sans que cela n'affecte votre quota VirusTotal. Le quota est décompté à l'ouverture des pages virustotal.com.

Comment m'abonner à VT Enterprise pour bénéficier de la version Enhanced des rapports VirusTotal ?

Pour en savoir plus sur VT Enterprise et demander une version d'essai, consultez la présentation des services sur le site Web VirusTotal. Pour vous inscrire à VT Enterprise, envoyez ce formulaire.

L'abonnement à VT Enterprise apporte-t-il d'autres avantages que la version Enhanced des rapports VirusTotal ?

Oui. VT Enterprise vous permet d'implémenter d'autres cas d'utilisation particulièrement pertinents pour les centres d'opérations de sécurité, les équipes de services d'urgence pour ordinateur, les équipes de gestion des incidents et les unités de renseignements sur les menaces : 

  • Télémétrie de sécurité automatisée enrichie : comprend le tri des alertes, la suppression des faux positifs, la confirmation des vrais positifs et la corrélation de confiance.
  • Gestion des incidents et analyses judiciaires : comprend le tri des alertes sur les opérations de sécurité, l'analyse et la contextualisation des incidents, la détection d'artefacts et l'identification IOC.
  • Renseignements sur les menaces et traque avancée : comprend la détection des menaces inconnues, la surveillance des campagnes de menaces, le suivi des antagonistes, l'exploration du paysage des menaces et la conscience situationnelle.
  • Surveillance antihameçonnage, antifraude, de marque et d'infrastructure d'entreprise : comprend le suivi des campagnes d'hameçonnage, l'analyse en profondeur de chevaux de Troie bancaires ou de vol d'informations, la surveillance des usurpations de marques, la distribution des logiciels malveillants et l'identification des abus des infrastructures d'entreprise.
  • Red teaming et piratage éthique : comprend l'étude de terrain et la simulation passive de fingerprinting, de violation et d'attaque, ainsi que la validation des couches de sécurité.
  • Priorisation des vulnérabilités : comprend des stratégies correctives intelligentes axées sur les risques, la surveillance de l'instrumentalisation des vulnérabilités en circulation et la mise en correspondance des acteurs de menaces avec l'exploitation des vulnérabilités.

Pour en savoir plus sur la façon dont VT Enterprise peut améliorer vos opérations de sécurité, consultez la vue d'ensemble de VirusTotal. Pour en savoir plus, contactez nos spécialistes VirusTotal.

Les données sont-elles partagées avec les rapports VirusTotal sans action des administrateurs ?

Non. Votre administrateur doit forcément choisir d'afficher le rapport VirusTotal. C'est seulement lorsque cette action est effectuée que le hachage de fichier, le domaine ou l'adresse IP sont partagés avec VirusTotal pour obtenir le rapport d'évaluation des risques pour l'entité sélectionnée.

Si je suis un client VT Enterprise, utiliserai-je mon quota lorsque j'afficherai des rapports VirusTotal dans l'outil d'investigation ?

Non. Ouvrir des rapports VirusTotal par le biais de l'outil d'investigation n'utilise aucun de vos quotas VT Enterprise. En revanche, si un administrateur ouvre le site Web VirusTotal à partir de l'outil d'investigation pour effectuer plus de recherches, cette action est décomptée du quota de la même façon qu'une consultation directe du site virustotal.com.

Les fichiers sont-ils partagés ?

Non. Seuls les hachages de fichiers sont envoyés à VirusTotal.

Ces informations vous-ont elles été utiles ?

Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Essayez les solutions ci-dessous :

Publier dans la communauté d'aide Obtenez des réponses de membres de la communauté
Contactez-nous Donnez-nous plus de détails pour que nous puissions vous aider
true
Démarrez dès aujourd'hui votre essai gratuit de 14 jours.

Messagerie professionnelle, stockage en ligne, agendas partagés, visioconférences et bien plus. Démarrez dès aujourd'hui votre essai gratuit de G Suite.

Recherche
Effacer la recherche
Fermer le champ de recherche
Menu principal
13286096679413473504
true
Rechercher dans le centre d'aide
true
true
true
true
true
73010
false
false