Как просматривать отчеты VirusTotal в инструменте "Анализ безопасности"

Дополнительные сведения о безопасности, связанные с Gmail и событиями журнала Chrome

Эта функция доступна в версиях Enterprise и Education Standard и Education Plus.  Сравнение версий

Сервис VirusTotal, ставший частью Google Cloud, предоставляет сведения о репутации и контексте угроз, помогающие анализировать подозрительные файлы, URL, домены и IP-адреса для выявления киберугроз. Отчеты VirusTotal содержат большое количество краудсорсинговой информации о том, почему домен, прикрепленный файл или IP-адрес могут быть небезопасными. Больше сведений об этом сервисе можно найти на сайте VirusTotal.

В инструменте "Анализ безопасности" можно напрямую просматривать отчеты VirusTotal о файлах, прикрепленных к электронным письмам, которые передаются в вашей организации, или связанных с событиями журнала Chrome. Это позволяет получать полезную для анализа информацию о репутации и контексте угрозы. Например, в отчете VirusTotal может быть указано, что несколько поставщиков услуг безопасности отметили определенный домен как вредоносный.

Примечания

  • Для просмотра отчетов VirusTotal в инструменте "Анализ безопасности" требуется право Центр безопасности > VirusTotal > Просмотр отчета.
  • Сервис VirusTotal не обнаруживает вредоносное ПО или другие угрозы. Он дополняет результаты анализа безопасности и помогает вам принимать решения при устранении угроз.
  • Данные (хеши прикрепленных файлов) передаются в VirusTotal только после того, как администратор решит посмотреть отчет. Ни при каких обстоятельствах никакие другие данные не пересылаются.
  • Доступ к данным VirusTotal предоставляется сообществу специалистов по безопасности. Это позволяет поставщикам услуг безопасности сотрудничать друг с другом, делиться важными сведениями и совместно принимать меры по борьбе с киберугрозами.
  • Вы также можете посмотреть отчеты VirusTotal из Центра оповещений, чтобы получить дополнительные сведения о безопасности, связанные с оповещениями. Подробнее о том, как посмотреть отчеты VirusTotal из Центра оповещений

Как просматривать отчеты VirusTotal, связанные с Gmail

Чтобы посмотреть связанный с Gmail отчет VirusTotal:

  1. Войдите в консоль администратора Google на странице admin.google.com.
    Используйте для входа аккаунт администратора (он не заканчивается на @gmail.com).
  2. В меню навигации, которое расположено слева, выберите Безопасностьа затемЦентр безопасностиа затемИнструмент "Анализ безопасности".
  3. В качестве источника данных выберите Сообщения Gmail или События журнала Gmail.
  4. Нажмите Добавить условие и выберите С прикрепленными файлами.
  5. Нажмите Поиск.
  6. Рядом с нужным результатом поиска в нижней части страницы нажмите на ссылку Идентификатор сообщения или Тема.
  7. На боковой панели выберите вкладку Сообщение или Цепочка.
  8. Нажмите Посмотреть отчет VirusTotal.

В отчете VirusTotal есть несколько разделов со сведениями о возможных угрозах безопасности. Например, вы можете посмотреть список поставщиков услуг безопасности, отметивших файл как вредоносный, а также результаты сканирования файла каждым из этих поставщиков.

Как просматривать отчеты VirusTotal, связанные с Chrome

Чтобы посмотреть связанный с Chrome отчет VirusTotal:

  1. Войдите в консоль администратора Google на странице admin.google.com.
    Используйте для входа аккаунт администратора (он не заканчивается на @gmail.com).
  2. В меню навигации, которое расположено слева, выберите Безопасностьа затемЦентр безопасностиа затемИнструмент "Анализ безопасности".
  3. В качестве источника данных выберите События журнала Chrome.
  4. Нажмите Добавить условие и выберите подходящий вариант.
  5. Нажмите Поиск.
  6. Рядом с нужным результатом поиска в нижней части страницы нажмите на одну из ссылок в столбце Хеш контента.
  7. На боковой панели нажмите Посмотреть отчет VirusTotal.

В отчете VirusTotal есть несколько разделов со сведениями о возможных угрозах безопасности.

Версии отчета VirusTotal

Существует две версии отчета VirusTotal: Standard и Enhanced. Версию Standard могут посмотреть администраторы поддерживаемых пакетов Google Workspace, у которых есть право Центр безопасности > VirusTotal > Просмотр отчета. Чтобы вместо нее была автоматически показана версия Enhanced, у администратора должна быть платная подписка VT Enterprise и открытый активный сеанс на сайте virustotal.com.

Узнать больше о VT Enterprise и запросить пробный период можно на странице с информацией о сервисе VirusTotal. Чтобы оформить подписку на VT Enterprise, заполните и отправьте эту форму.

Сведения, доступные в версии Standard

В отчете VirusTotal версии Standard содержится следующая информация:

  • Репутация угрозы. Оценки вредоносности более чем от 70 поставщиков услуг безопасности.
  • Время существования угрозы. Ключевые даты, которые позволяют понять, когда угроза была обнаружена впервые и как долго она остается актуальной.
  • Идентификаторы файлов. Идентификаторы и свойства, с помощью которых вы можете обозначить угрозу и сообщить о ней другим аналитикам (например, хеши, типы и размеры файлов).
Сведения, доступные в версии Enhanced

Помимо всех сведений из отчета версии Standard, в отчете версии Enhanced содержится следующая информация:

  • Многовекторное обнаружение угроз. Дополнительный анализ угроз на основе краудсорсинговых правил и оценок сообщества (например, правил YARA, Sigma и IDS).
  • Информация из белого списка. Полезные сведения для исключения ложноположительных результатов, связанных с событиями журнала Gmail (National Software Reference Library, дистрибьюторы ПО, Microsoft Clean Metadata Feed и другие).
  • Связанные индикаторы компрометации. Примерами таких индикаторов являются сетевая инфраструктура, распространяющая вредоносный файл, серверы, используемые для управления атакой, и первоначальные векторы доставки изучаемого файла.
  • Интерактивный график угрозы. Графическое представление всех аспектов угрозы на основе взаимосвязей между индикаторами компрометации.
  • Метаданные, связанные с безопасностью. Информация об издателе ПО, идентификаторы вредоносных макросов в документах, разрешения приложений для Android и другие сведения.
  • Поведение угрозы. Информация о географии и времени распространения угрозы, часто используемые злоумышленниками методы обмана, а также другая информация, полученная на основе присланных пользователями VirusTotal метаданных.
  • Информация о похожих угрозах. Ссылки на сведения о других угрозах с такими же свойствами из глобального набора данных VirusTotal.

Сценарии и преимущества использования версии Enhanced

  • Улучшенное обнаружение угроз. Выработанные профессиональным сообществом правила помогут вам обнаружить определенные угрозы и получить контекстные сведения о них, даже когда эти угрозы ещё плохо изучены поставщиками услуг безопасности.
  • Ускоренный анализ и оперативные решения. Информация, полученная от профессионального сообщества, повысит результативность работы специалистов по безопасности в вашей организации. Злоумышленники атакуют разные организации, а VirusTotal собирает данные об этом, помогая вашим специалистам составить полную картину. Отчеты VirusTotal версии Enhanced помогут значительно быстрее определять мнимые и реальные угрозы и предпринимать необходимые действия.
  • Оперативное устранение угроз. Интерактивный график угроз и связанные объекты помогут определить индикаторы компрометации для оповещения и с их помощью всесторонне оценить последствия атаки на организацию, выполнив поиск по данным телеметрии безопасности. Например, можно составить список доменов, доставляющих файлы с хешем, который включен в одно из оповещений, и заблокировать каждый из них на периметре сети, включая те, что ещё не обнаружены в среде.
  • Стратегия профилактики угроз. С подпиской VT Enterprise вам доступна дополнительная информация, которая позволяет определять инфраструктуры угроз, ещё не зафиксированные в ваших журналах. Вы также можете выявить другое вредоносное программное обеспечение под управлением того же злоумышленника и заблокировать это ПО в периметре сети и конечных точках ещё до того, как оно нанесет ущерб вашей организации. Например, узнав домен, из которого идет управление атакой с использованием одного из изучаемых файлов, можно определить и заблокировать другие домены, зарегистрированные тем же злоумышленником (даже если они пока не использовались в кампании).

Подробные сведения об отчетах VirusTotal и общая информация о сервисе приведены на сайте VirusTotal. Узнайте о принципе работы VirusTotal или уточните у нас интересующую информацию.

Как зарегистрировать аккаунт VT Enterprise

Как описано выше, в отчетах VirusTotal версии Enhanced содержатся дополнительные сведения для анализа угроз. Больше узнать об этих отчетах и зарегистрировать аккаунт VT Enterprise можно с помощью этой формы для связи с командой VirusTotal.

Юридическая информация

VirusTotal – это продукт конгломерата Alphabet, который анализирует подозрительные файлы, URL, домены и IP-адреса для выявления вредоносного ПО и других видов угроз и автоматически делится сведениями о них с сообществом специалистов по безопасности.

Чтобы посмотреть отчеты VirusTotal, необходимо разрешить отправку в этот сервис хешей прикрепленных файлов, IP-адресов или доменных имен. 

Используя VirusTotal, вы соглашаетесь с тем, что к отправленным вами данным применяются Условия использования и Политика конфиденциальности VirusTotal, и разрешаете VirusTotal делиться этими данными с сообществом специалистов по безопасности.

Часто задаваемые вопросы

Взимается ли дополнительная плата за просмотр отчетов VirusTotal версии Standard?

Нет. Эти отчеты могут просматривать администраторы с правом Центр безопасности > VirusTotal > Просмотр отчета.

Если вы хотите получать дополнительные сведения о репутации и контексте угроз для анализа и выработки ответных мер, вам понадобится платная подписка VT Enterprise

Отличается ли работа с VirusTotal для клиентов с платной подпиской?

Да. Если вы оформите платную подписку на VirusTotal (VT Enterprise), в инструменте "Анализ безопасности" вам будут доступны дополнительные результаты анализа безопасности. Их просмотр не влияет на квоту VirusTotal. В квоте учитываются только переходы по страницам на сайте virustotal.com.

Как оформить подписку на VT Enterprise, чтобы просматривать отчеты VirusTotal версии Enhanced?

Узнать больше о VT Enterprise и запросить пробный период можно на странице с информацией о сервисе VirusTotal. Чтобы оформить подписку на VT Enterprise, заполните и отправьте эту форму.

Помимо отчетов VirusTotal версии Enhanced, есть ли у подписки VT Enterprise другие преимущества?

Да. Подписка VT Enterprise позволяет реализовать другие сценарии использования, в частности для центров по обеспечению безопасности, специалистов по анализу угроз и групп быстрого реагирования на киберугрозы и инциденты. 

  • Автоматизированное обогащение данных телеметрии безопасности – сортировка оповещений, исключение ложноположительных результатов, подтверждение фактических угроз и оценка уровня достоверности.
  • Реагирование на инциденты и ретроспективный анализ – сортировка оповещений системы безопасности, анализ инцидентов и контекста, обнаружение объектов и выявление индикаторов компрометации.
  • Анализ угроз и расширенные возможности их выявления – обнаружение неизвестных угроз, мониторинг атак, отслеживание злоумышленников, профилактическое выявление индикаторов компрометации, изучение общей картины угроз и ситуационная осведомленность.
  • Защита от фишинга и мошенничества, мониторинг бренда и корпоративной инфраструктуры – отслеживание фишинговых кампаний, анализ банковских троянов и средств для кражи данных, мониторинг выдачи злоумышленником себя за бренд, выявление вредоносного ПО и нарушений корпоративной инфраструктуры.
  • Использование "красных команд" и этичный хакинг – разведка и пассивный сбор информации о системе, моделирование проникновений и атак, проверка стека безопасности.
  • Приоритизация уязвимостей – умные стратегии исправлений на основе рисков, мониторинг уязвимостей в глобальном контексте и сопоставление злоумышленников с эксплуатацией уязвимостей.

Подробные сведения о том, как VT Enterprise помогает повысить безопасность, приведены в этом обзоре. Интересующую вас информацию вы можете уточнить у специалистов VirusTotal.

Передаются ли данные в VirusTotal без ведома администратора?

Нет. Данные передаются только в том случае, если администратор откроет отчет VirusTotal. После этого в VirusTotal пересылаются хеши файлов, сведения о доменах или IP-адресах, необходимые для оценки рисков, связанных с объектом.

Если оформлена подписка VT Enterprise, учитывается ли квота при просмотре отчетов VirusTotal в инструменте "Анализ безопасности"?

Нет. При просмотре отчетов VirusTotal в инструменте "Анализ безопасности" квота VT Enterprise не учитывается. Если администратор перейдет из этого инструмента на сайт VirusTotal для получения дополнительных сведений, тогда квота будет учитываться, как и при любых других переходах на сайт virustotal.com.

Передаются ли файлы в сервис?

Нет. В VirusTotal пересылаются только хеши файлов.

Эта информация оказалась полезной?
Как можно улучшить эту статью?

Требуется помощь?

Войдите в свой аккаунт, чтобы мы могли предоставить вам дополнительные варианты поддержки и быстрее решить вашу проблему.

true
Начните пользоваться 14-дневной бесплатной пробной версией уже сегодня

Корпоративная почта, хранение файлов онлайн, общие календари, видеоконференции и многое другое. Начните пользоваться бесплатной пробной версией G Suite уже сегодня.

Поиск
Удалить поисковый запрос
Закрыть поиск
Приложения Google
Главное меню
Поиск по Справочному центру
true
73010
false