Wyświetlanie raportów VirusTotal z narzędzia do analizy zagrożeń

Dodatkowe informacje o na temat bezpieczeństwa związane ze zdarzeniami z dziennika Gmaila i Chrome

VirusTotal, obecnie część Google Cloud, udostępnia dane o reputacji i kontekście zagrożeń, które pomagają analizować podejrzane pliki, adresy URL, domeny i adresy IP w celu wykrywania zagrożeń cyberbezpieczeństwa. Raporty VirusTotal zawierają wiele szczegółowych informacji pozyskanych od społeczności na temat powodów uznania domeny, załączonego pliku czy adresu IP za elementy potencjalnie niebezpieczne. Więcej informacji znajdziesz na stronie VirusTotal.

Bezpośrednio w narzędziu do analizy zagrożeń możesz uzyskać dostęp do raportów VirusTotal związanych z załącznikami e-maili przesyłanych w organizacji lub związanych ze zdarzeniami z dziennika Chrome. Dzięki temu możesz otrzymać dane o reputacji i kontekście zagrożeń dotyczące konkretnej analizy. W takim raporcie możesz znaleźć na przykład informacje o tym, że wielu dostawców zabezpieczeń oznaczyło określoną domenę jako złośliwą.

Uwaga:

  • Aby wyświetlać raporty VirusTotal w narzędziu do analizy zagrożeń, musisz mieć uprawnienie: Centrum bezpieczeństwa a potem VirusTotal a potem Wyświetl raport.
  • VirusTotal nie służy do wykrywania złośliwego oprogramowania ani innych zagrożeń bezpieczeństwa. VirusTotal zapewnia rozszerzone wyniki analizy, dostarczając dodatkowe informacje na temat bezpieczeństwa i pomagając Ci w podejmowaniu decyzji podczas rozwiązywania problemów z zabezpieczeniami.
  • Dane (hasze załączników) są udostępniane usłudze VirusTotal tylko wtedy, gdy administrator zdecyduje się wyświetlić raport VirusTotal. W przeciwnym wypadku dane nie są udostępniane.
  • Dane VirusTotal są udostępniane szerszej społeczności zajmującej się bezpieczeństwem. Dzięki temu dostawcy zabezpieczeń mogą współpracować ze sobą, dzielić się ważnymi informacjami i podejmować działania w celu zwalczania zagrożeń bezpieczeństwa.
  • Możesz wyświetlać także raporty VirusTotal z Centrum alertów, aby uzyskać dodatkowe dane o zabezpieczeniach związane z alertami. Szczegółowe informacje znajdziesz w artykule Wyświetlanie raportów VirusTotal z Centrum alertów.

Wyświetlanie raportów VirusTotal związanych z Gmailem

  1. Zaloguj się w konsoli administracyjnej Google na admin.google.com.
    Zaloguj się na konto administratora (nie kończy się na @gmail.com).
  2. W menu nawigacyjnym po lewej stronie kliknij Bezpieczeństwo a potem Centrum bezpieczeństwa a potem Narzędzie do analizy zagrożeń.
  3. Jako źródło danych wyszukiwania wybierz Wiadomości z Gmaila lub Zdarzenia z dziennika Gmaila.
  4. Kliknij Dodaj warunek i wybierz opcję Ma załącznik.
  5. Kliknij Szukaj.
  6. W wynikach wyszukiwania u dołu strony kliknij link Identyfikator wiadomości lub Temat.
  7. W panelu bocznym kliknij kartę Wiadomość lub Wątek.
  8. Kliknij Wyświetl raport VirusTotal.

Raport VirusTotal obejmuje wiele sekcji z informacjami na temat potencjalnych zagrożeń bezpieczeństwa. Można na przykład wyświetlić listę dostawców zabezpieczeń, którzy oznaczyli dany plik jako szkodliwy, a także zobaczyć wyniki skanowania tego pliku przez każdego z tych dostawców.

Wyświetlanie raportów VirusTotal związanych z Chrome

  1. Zaloguj się w konsoli administracyjnej Google na admin.google.com.
    Zaloguj się na konto administratora (nie kończy się na @gmail.com).
  2. W menu nawigacyjnym po lewej stronie kliknij Bezpieczeństwo a potem Centrum bezpieczeństwa a potem Narzędzie do analizy zagrożeń.
  3. Wybierz źródło danych wyszukiwania Zdarzenia z dziennika Chrome.
  4. Kliknij Dodaj warunek i wybierz warunek wyszukiwania.
  5. Kliknij Szukaj.
  6. W wynikach wyszukiwania u dołu strony kliknij jeden z linków w kolumnie Hash treści.
  7. W panelu bocznym kliknij Wyświetl raport VirusTotal.

Raport VirusTotal obejmuje wiele sekcji z informacjami na temat potencjalnych zagrożeń bezpieczeństwa.

Raporty VirusTotal w wersji standardowej i rozszerzonej

Raport VirusTotal jest dostępny w 2 wersjach: standardowejrozszerzonej. Wersja Standard jest wyświetlana administratorom, którzy mają uprawnienie Centrum bezpieczeństwa a potem VirusTotal a potem Wyświetl raport i jedną z wymaganych wersji Google Workspace. Wersja rozszerzona jest wyświetlana automatycznie subskrybentom płatnej wersji usługi VirusTotal, którzy na swoim koncie użytkownika VT Enterprise mają aktywną sesję logowania virustotal.com.

Aby uzyskać więcej informacji o usłudze VT Enterprise i poprosić o wersję próbną, zapoznaj się z informacjami o usługach na stronie VirusTotal. Aby zarejestrować konto VT Enterprise, prześlij ten formularz.

Funkcje dostępne w wersji standardowej

Wersja standardowa raportów VirusTotal obejmuje te funkcje:

  • Reputacja zagrożeń – oceny dotyczące szkodliwości pochodzące od ponad 70 dostawców zabezpieczeń.
  • Długość okresu zagrożenia – kluczowe daty, które pokazują, kiedy dane zagrożenie zostało zaobserwowane po raz pierwszy i od jak dawna jest aktywne.
  • Identyfikacja plików – identyfikatory i cechy charakterystyczne umożliwiające odniesienie się do zagrożenia i udostępnienie informacji innym analitykom (hasze, rodzaje, rozmiary plików itp.).
Funkcje dostępne w wersji rozszerzonej

Rozszerzona wersja raportów VirusTotal obejmuje te same funkcje co wersja standardowa, a dodatkowo:

  • Wykrywanie wielokątowe – dodatkowa analiza zagrożeń na podstawie dopasowań reguł utworzonych przez społeczność oraz ocen społeczności (na przykład YARA, Sigma i reguły IDS).
  • Informacje o liście dozwolonych – (w przypadku zdarzeń z dziennika Gmaila) przydatne informacje związane z fałszywym odrzucaniem wyników (National Software Reference Library, Software Distributors, Microsoft Clean Metadata Feed, itp.).
  • Powiązane wskaźniki włamań (IOC) – mogą one obejmować na przykład infrastrukturę sieciową rozpowszechniającą plik złośliwego oprogramowania, serwery działające jako system poleceń i kontroli dla danego zagrożenia, wektory dostarczania w pierwszej fazie w przypadku sprawdzanych plików itp.
  • Interaktywny wykres zagrożeń – odwzorowanie w formie graficznej całego obrazu kampanii zagrożeń poprzez wizualizację relacji między wskaźnikami IOC.
  • Metadane związane z bezpieczeństwem – obejmują między innymi informacje o wydawcy oprogramowania, identyfikację złośliwych makr w dokumentach, uprawnienia aplikacji na Androida itp.
  • Dane środowiskowe – dane geograficzne i okresowe dotyczące między innymi zagrożeń i popularnych technik oszustwa (pozyskiwane z metadanych zgłoszeń w VirusTotal).
  • Podejrzane zmiany atrybutów – klikalne elementy w raportach VirusTotal, umożliwiające przejrzenie globalnego zbioru danych VirusTotal pod kątem innych zagrożeń, które mają te same cechy.

Korzyści i przypadki użycia wersji rozszerzonej

  • Zwiększenie wykrywalności zagrożeń – wykorzystuj reguły zebrane od społeczności do wskazywania i uzyskiwania kontekstu zagrożeń, nawet jeśli nie są jeszcze powszechnie znane dostawcom zabezpieczeń.
  • Usprawnienie analizy zagrożeń i podejmowania decyzji – zwiększ wydajność zespołu ds. bezpieczeństwa, uzupełniając informacje do użytku wewnętrznego o kontekst od społeczności. Inne organizacje także są celem ataków, których ślady pojawiają się w VirusTotal. Dzięki temu Twój zespół ds. bezpieczeństwa ma pełniejszy obraz sytuacji. W wersji rozszerzonej raportów VirusTotal odrzucanie fałszywych alarmów oraz potwierdzanie i eskalowanie prawdziwych jest znacznie szybsze.
  • Ulepszone usuwanie zagrożeń – za pomocą interaktywnego wykresu zagrożeń i powiązanych artefaktów możesz identyfikować wskaźniki włamań (IOC) odpowiadające konkretnym alertom. Użycie tych wskaźników w połączeniu z przeszukiwaniem danych telemetrycznych dotyczących bezpieczeństwa pozwala w pełni zrozumieć wpływ ataku na organizację. Przykład: jakie domeny dostarczają hasz zawarty w jednym z alertów? W przypadku każdego z nich, nawet jeśli nie jest jeszcze widoczny w moim środowisku, zablokuj go na obszarze sieci.
  • Strategia aktywnej obrony – możesz przejść do VT Enterprise i zidentyfikować infrastrukturę zagrożeń, które mogły nie pojawić się w Twoich dziennikach. Możesz też rozpoznać inne złośliwe oprogramowanie obsługiwane przez ten sam podmiot i zablokować je na obszarze sieci i w punktach końcowych, zanim będzie ono miało wpływ na organizację. Przykład: w przypadku domeny działającej jako system poleceń i kontroli dla jednego z analizowanych plików, przejdź do innych domen zarejestrowanych przez ten sam podmiot stanowiący zagrożenie, które nie zostały jeszcze wykorzystane w kampanii, a następnie zapobiegawczo zablokuj je na wypadek ewentualnego wykorzystania na szkodę firmy.

Aby dowiedzieć się więcej o funkcjach raportu VirusTotal, zapoznaj się z opisem usług na stronie VirusTotal. Zapoznaj się także z opisem działania VirusTotal lub skontaktuj się z nami, aby dowiedzieć się więcej.

Rejestrowanie konta VT Enterprise

Jak opisano powyżej, raporty VirusTotal w wersji rozszerzonej mogą zawierać dodatkowe usługi analizy zagrożeń i zaawansowane funkcje. Aby dowiedzieć się więcej i zarejestrować konto VT Enterprise, skontaktuj się z zespołem VirusTotal.

Informacje prawne

VirusTotal to usługa firmy Alphabet, która analizuje podejrzane pliki, adresy URL, domeny i adresy IP w celu wykrycia złośliwego oprogramowania i innych rodzajów zagrożeń oraz automatycznie udostępnia je społeczności zajmującej się bezpieczeństwem.

Aby wyświetlić raporty VirusTotal, należy przesłać hasze plików załączników, adresy IP lub domeny do VirusTotal.

Korzystając z VirusTotal, potwierdzasz, że przesłane dane podlegają warunkom usługi oraz polityce prywatności VirusTotal i mogą być udostępniane przez tę usługę społeczności zajmującej się bezpieczeństwem.

Częste pytania

Czy korzystanie ze standardowej wersji raportów VirusTotal wiąże się z dodatkowymi kosztami?

Nie. Wersja standardowa raportów VirusTotal jest dostępna dla administratorów, którzy mają uprawnienie Centrum bezpieczeństwa a potem VirusTotal a potem Wyświetl raport.

Jeśli chcesz uzyskać lepsze efekty i poprawić możliwości podejmowania decyzji oraz analizy zagrożeń dzięki zaawansowanemu kontekstowi zagrożeń i reputacji, skorzystaj z płatnej subskrypcji VT Enterprise.

Czy płatna wersja VirusTotal różni się od bezpłatnej?

Tak. Jeśli masz płatną subskrypcję VirusTotal, znaną również jako VT Enterprise, możesz wyświetlać rozszerzone wyniki za pomocą narzędzia do analizy zagrożeń bez wpływu na Twój limit VirusTotal. Limit jest wykorzystywany tylko podczas otwierania stron virustotal.com.

Jak mogę zarejestrować konto VT Enterprise, aby móc korzystać z rozszerzonej wersji raportów VirusTotal?

Aby uzyskać więcej informacji o usłudze VT Enterprise i poprosić o wersję próbną, zapoznaj się z informacjami o usługach na stronie VirusTotal. Aby zarejestrować konto VT Enterprise, prześlij ten formularz.

Czy oprócz rozszerzonej wersji raportów VirusTotal istnieją inne zalety subskrypcji VT Enterprise?

Tak. Dzięki VT Enterprise możesz wdrożyć inne przypadki użycia szczególnie istotne dla centrów operacji bezpieczeństwa, zespołów ds. bezpieczeństwa komputerowego, zespołów reagowania na incydenty i jednostek analizy zagrożeń:

  • Zautomatyzowane wzbogacanie danych telemetrycznych dotyczących bezpieczeństwa – obejmuje segregację alertów, odrzucanie fałszywych i potwierdzanie prawdziwych alarmów oraz korelację zaufania.
  • Reakcja na incydenty i analiza śledcza – obejmuje selekcję alertów dotyczących operacji bezpieczeństwa, analizę i kontekst incydentów, wykrywanie artefaktów oraz identyfikację IOC.
  • Analiza i wykrywanie zaawansowanych zagrożeń – obejmuje wykrywanie nieznanych zagrożeń, monitorowanie kampanii zagrożeń, śledzenie jednostek podejmujących ataki, prewencyjną identyfikację IOC, eksplorację krajobrazu zagrożeń i świadomość sytuacyjną.
  • Ochrona przed wyłudzaniem informacji i oszustwami, monitorowanie marki i infrastruktury korporacyjnej – obejmuje śledzenie kampanii wyłudzających informacje, analizę trojanów bankowych i złodziei informacji, monitorowanie prób podszywania się pod markę i dystrybucji złośliwego oprogramowania oraz identyfikację nadużyć w infrastrukturze korporacyjnej.
  • Red teaming i etyczne hakowanie – obejmuje rozpoznawcze i pasywne pobieranie odcisków cyfrowych, symulację włamań i ataków oraz weryfikację zaplecza zabezpieczeń.
  • Priorytetyzacja luk w zabezpieczeniach – obejmuje inteligentne strategie wprowadzania poprawek oparte na ryzyku, monitorowanie możliwości użycia luk w systemie do przeprowadzenia ataku w środowisku naturalnym oraz mapowanie wykorzystania podatności przez podmioty stanowiące zagrożenie.

Aby dowiedzieć się więcej na temat tego, jak VT Enterprise może ulepszyć operacje związane z bezpieczeństwem, zapoznaj się z pełnym omówieniem usługi VirusTotal. Aby dowiedzieć się więcej, skontaktuj się z naszymi specjalistami VirusTotal.

Czy dane do raportów VirusTotal są udostępniane bez działania ze strony administratora?

Nie. Działanie usługi jest determinowane decyzją administratora o wyświetleniu raportu VirusTotal. Dopiero po wykonaniu tej czynności przez administratora hasz pliku, domena lub adres IP są udostępniane usłudze VirusTotal w celu zażądania raportu oceny ryzyka dla wybranego podmiotu.

Jeśli korzystam z VT Enterprise, czy przeglądanie raportów VirusTotal za pomocą narzędzia do analizy zagrożeń powoduje wykorzystanie mojego limitu?

Nie. Otwieranie raportów VirusTotal za pomocą narzędzia do analizy zagrożeń nie powoduje wykorzystania limitów VT Enterprise. Jeśli administrator otworzy z narzędzia do analizy zagrożeń witrynę VirusTotal, aby przeprowadzić więcej badań, zostanie to wliczone do standardowego wykorzystania limitu w taki sam sposób, jak bezpośrednie odwiedzenie strony virustotal.com.

Czy pliki są udostępniane?

Nie. Do VirusTotal wysyłane są tylko hasze plików.

Czy to było pomocne?

Jak możemy ją poprawić?
true
Szukaj
Wyczyść wyszukiwanie
Zamknij wyszukiwanie
Menu główne
2065445499504726615
true
Wyszukaj w Centrum pomocy
true
true
true
false
false