Как просматривать отчеты VirusTotal в инструменте "Анализ безопасности"

Дополнительные сведения о безопасности, связанные с Gmail и событиями журнала Chrome

Сервис VirusTotal, ставший частью Google Cloud, предоставляет сведения о репутации и контексте угроз, помогающие анализировать подозрительные файлы, URL, домены и IP-адреса для выявления киберугроз. Отчеты VirusTotal содержат большое количество краудсорсинговой информации о том, почему домен, прикрепленный файл или IP-адрес могут быть небезопасными. Больше сведений об этом сервисе можно найти на сайте VirusTotal.

В инструменте "Анализ безопасности" можно напрямую просматривать отчеты VirusTotal о файлах, прикрепленных к электронным письмам, которые передаются в вашей организации, или связанных с событиями журнала Chrome. Это позволяет получать полезную для анализа информацию о репутации и контексте угрозы. Например, в отчете VirusTotal может быть указано, что несколько поставщиков услуг безопасности отметили определенный домен как вредоносный.

Примечания

  • Чтобы посмотреть отчет VirusTotal в инструменте "Анализ безопасности", требуется право Центр безопасностиа затемVirusTotalа затемПросмотр отчета.
  • Сервис VirusTotal не обнаруживает вредоносное ПО или другие угрозы. Он дополняет результаты анализа безопасности и помогает вам принимать решения при устранении угроз.
  • Данные (хеши прикрепленных файлов) передаются в VirusTotal только после того, как администратор решит посмотреть отчет. Ни при каких обстоятельствах никакие другие данные не пересылаются.
  • Доступ к данным VirusTotal предоставляется сообществу специалистов по безопасности. Это позволяет поставщикам услуг безопасности сотрудничать друг с другом, делиться важными сведениями и совместно принимать меры по борьбе с киберугрозами.
  • Вы также можете посмотреть отчеты VirusTotal из Центра оповещений, чтобы получить дополнительные сведения о безопасности, связанные с оповещениями. Подробнее о том, как посмотреть отчеты VirusTotal из Центра оповещений

Как просматривать отчеты VirusTotal, связанные с Gmail

  1. Войдите в консоль администратора Google на странице admin.google.com.
    Используйте для входа аккаунт администратора (он не заканчивается на @gmail.com).
  2. В меню навигации, которое расположено слева, выберите Безопасностьа затемЦентр безопасностиа затемИнструмент "Анализ безопасности".
  3. В качестве источника данных выберите Сообщения Gmail или События журнала Gmail.
  4. Нажмите Добавить условие и выберите С прикрепленными файлами.
  5. Нажмите Поиск.
  6. Рядом с нужным результатом поиска в нижней части страницы нажмите на ссылку Идентификатор сообщения или Тема.
  7. На боковой панели выберите вкладку Сообщение или Цепочка.
  8. Нажмите Посмотреть отчет VirusTotal.

В отчете VirusTotal есть несколько разделов со сведениями о возможных угрозах безопасности. Например, вы можете посмотреть список поставщиков услуг безопасности, отметивших файл как вредоносный, а также результаты сканирования файла каждым из этих поставщиков.

Как просматривать отчеты VirusTotal, связанные с Chrome

  1. Войдите в консоль администратора Google на странице admin.google.com.
    Используйте для входа аккаунт администратора (он не заканчивается на @gmail.com).
  2. В меню навигации, которое расположено слева, выберите Безопасностьа затемЦентр безопасностиа затемИнструмент "Анализ безопасности".
  3. В качестве источника данных выберите События журнала Chrome.
  4. Нажмите Добавить условие и выберите подходящий вариант.
  5. Нажмите Поиск.
  6. Рядом с нужным результатом поиска в нижней части страницы нажмите на одну из ссылок в столбце Хеш контента.
  7. На боковой панели нажмите Посмотреть отчет VirusTotal.

В отчете VirusTotal есть несколько разделов со сведениями о возможных угрозах безопасности.

Версии отчета VirusTotal

Существует две версии отчета VirusTotal: Standard и Enhanced. Версию Standard могут посмотреть администраторы поддерживаемых пакетов Google Workspace, у которых есть право Центр безопасностиа затемVirusTotalа затемПросмотр отчета. Чтобы вместо нее была автоматически показана версия Enhanced, у администратора должна быть платная подписка VT Enterprise и открытый активный сеанс на сайте virustotal.com.

Узнать больше о VT Enterprise и запросить пробный период можно на странице с информацией о сервисе VirusTotal. Чтобы оформить подписку на VT Enterprise, заполните и отправьте эту форму.

Сведения, доступные в версии Standard

В отчете VirusTotal версии Standard содержится следующая информация:

  • Репутация угрозы. Оценки вредоносности более чем от 70 поставщиков услуг безопасности.
  • Время существования угрозы. Ключевые даты, которые позволяют понять, когда угроза была обнаружена впервые и как долго она остается актуальной.
  • Идентификаторы файлов. Идентификаторы и свойства, с помощью которых вы можете обозначить угрозу и сообщить о ней другим аналитикам (например, хеши, типы и размеры файлов).
Сведения, доступные в версии Enhanced

Помимо всех сведений из отчета версии Standard, в отчете версии Enhanced содержится следующая информация:

  • Многовекторное обнаружение угроз. Дополнительный анализ угроз на основе краудсорсинговых правил и оценок сообщества (например, правил YARA, Sigma и IDS).
  • Информация из белого списка. Полезные сведения для исключения ложноположительных результатов, связанных с событиями журнала Gmail (National Software Reference Library, дистрибьюторы ПО, Microsoft Clean Metadata Feed и другие).
  • Связанные индикаторы компрометации. Примерами таких индикаторов являются сетевая инфраструктура, распространяющая вредоносный файл, серверы, используемые для управления атакой, и первоначальные векторы доставки изучаемого файла.
  • Интерактивный график угрозы. Графическое представление всех аспектов угрозы на основе взаимосвязей между индикаторами компрометации.
  • Метаданные, связанные с безопасностью. Информация об издателе ПО, идентификаторы вредоносных макросов в документах, разрешения приложений для Android и другие сведения.
  • Поведение угрозы. Информация о географии и времени распространения угрозы, часто используемые злоумышленниками методы обмана, а также другая информация, полученная на основе присланных пользователями VirusTotal метаданных.
  • Информация о похожих угрозах. Ссылки на сведения о других угрозах с такими же свойствами из глобального набора данных VirusTotal.

Сценарии и преимущества использования версии Enhanced

  • Улучшенное обнаружение угроз. Выработанные профессиональным сообществом правила помогут вам обнаружить определенные угрозы и получить контекстные сведения о них, даже когда эти угрозы ещё плохо изучены поставщиками услуг безопасности.
  • Ускоренный анализ и оперативные решения. Информация, полученная от профессионального сообщества, повысит результативность работы специалистов по безопасности в вашей организации. Злоумышленники атакуют разные организации, а VirusTotal собирает данные об этом, помогая вашим специалистам составить полную картину. Отчеты VirusTotal версии Enhanced помогут значительно быстрее определять мнимые и реальные угрозы и предпринимать необходимые действия.
  • Оперативное устранение угроз. Интерактивный график угроз и связанные объекты помогут определить индикаторы компрометации для оповещения и с их помощью всесторонне оценить последствия атаки на организацию, выполнив поиск по данным телеметрии безопасности. Например, можно составить список доменов, доставляющих файлы с хешем, который включен в одно из оповещений, и заблокировать каждый из них на периметре сети, включая те, что ещё не обнаружены в среде.
  • Стратегия профилактики угроз. С подпиской VT Enterprise вам доступна дополнительная информация, которая позволяет определять инфраструктуры угроз, ещё не зафиксированные в ваших журналах. Вы также можете выявить другое вредоносное программное обеспечение под управлением того же злоумышленника и заблокировать это ПО в периметре сети и конечных точках ещё до того, как оно нанесет ущерб вашей организации. Например, узнав домен, из которого идет управление атакой с использованием одного из изучаемых файлов, можно определить и заблокировать другие домены, зарегистрированные тем же злоумышленником (даже если они пока не использовались в кампании).

Подробные сведения об отчетах VirusTotal и общая информация о сервисе приведены на сайте VirusTotal. Узнайте о принципе работы VirusTotal или уточните у нас интересующую информацию.

Как зарегистрировать аккаунт VT Enterprise

Как описано выше, в отчетах VirusTotal версии Enhanced содержатся дополнительные сведения для анализа угроз. Больше узнать об этих отчетах и зарегистрировать аккаунт VT Enterprise можно с помощью этой формы для связи с командой VirusTotal.

Юридическая информация

VirusTotal – это продукт конгломерата Alphabet, который анализирует подозрительные файлы, URL, домены и IP-адреса для выявления вредоносного ПО и других видов угроз и автоматически делится сведениями о них с сообществом специалистов по безопасности.

Чтобы посмотреть отчеты VirusTotal, необходимо разрешить отправку в этот сервис хешей прикрепленных файлов, IP-адресов или доменных имен.

Используя VirusTotal, вы соглашаетесь с тем, что к отправленным вами данным применяются Условия использования и Политика конфиденциальности VirusTotal, и разрешаете VirusTotal делиться этими данными с сообществом специалистов по безопасности.

Часто задаваемые вопросы

Взимается ли дополнительная плата за просмотр отчетов VirusTotal версии Standard?

Нет. Эти отчеты могут просматривать администраторы с правом Центр безопасностиа затемVirusTotalа затемПросмотр отчета.

Если вы хотите получать дополнительные сведения о репутации и контексте угроз для анализа и выработки ответных мер, вам понадобится платная подписка VT Enterprise.

Отличается ли работа с VirusTotal для клиентов с платной подпиской?

Да. Если вы оформите платную подписку на VirusTotal (VT Enterprise), в инструменте "Анализ безопасности" вам будут доступны дополнительные результаты анализа безопасности. Их просмотр не влияет на квоту VirusTotal. В квоте учитываются только переходы по страницам на сайте virustotal.com.

Как оформить подписку на VT Enterprise, чтобы просматривать отчеты VirusTotal версии Enhanced?

Узнать больше о VT Enterprise и запросить пробный период можно на странице с информацией о сервисе VirusTotal. Чтобы оформить подписку на VT Enterprise, заполните и отправьте эту форму.

Помимо отчетов VirusTotal версии Enhanced, есть ли у подписки VT Enterprise другие преимущества?

Да. Подписка VT Enterprise позволяет реализовать другие сценарии использования, в частности для центров по обеспечению безопасности, специалистов по анализу угроз и групп быстрого реагирования на киберугрозы и инциденты.

  • Автоматизированное обогащение данных телеметрии безопасности – сортировка оповещений, исключение ложноположительных результатов, подтверждение фактических угроз и оценка уровня достоверности.
  • Реагирование на инциденты и ретроспективный анализ – сортировка оповещений системы безопасности, анализ инцидентов и контекста, обнаружение объектов и выявление индикаторов компрометации.
  • Анализ угроз и расширенные возможности их выявления – обнаружение неизвестных угроз, мониторинг атак, отслеживание злоумышленников, профилактическое выявление индикаторов компрометации, изучение общей картины угроз и ситуационная осведомленность.
  • Защита от фишинга и мошенничества, мониторинг бренда и корпоративной инфраструктуры – отслеживание фишинговых кампаний, анализ банковских троянов и средств для кражи данных, мониторинг выдачи злоумышленником себя за бренд, выявление вредоносного ПО и нарушений корпоративной инфраструктуры.
  • Использование "красных команд" и этичный хакинг – разведка и пассивный сбор информации о системе, моделирование проникновений и атак, проверка стека безопасности.
  • Приоритизация уязвимостей – умные стратегии исправлений на основе рисков, мониторинг уязвимостей в глобальном контексте и сопоставление злоумышленников с эксплуатацией уязвимостей.

Подробные сведения о том, как VT Enterprise помогает повысить безопасность, приведены в этом обзоре. Интересующую вас информацию вы можете уточнить у специалистов VirusTotal.

Передаются ли данные в VirusTotal без ведома администратора?

Нет. Данные передаются только в том случае, если администратор откроет отчет VirusTotal. После этого в VirusTotal пересылаются хеши файлов, сведения о доменах или IP-адресах, необходимые для оценки рисков, связанных с объектом.

Если оформлена подписка VT Enterprise, учитывается ли квота при просмотре отчетов VirusTotal в инструменте "Анализ безопасности"?

Нет. При просмотре отчетов VirusTotal в инструменте "Анализ безопасности" квота VT Enterprise не учитывается. Если администратор перейдет из этого инструмента на сайт VirusTotal для получения дополнительных сведений, тогда квота будет учитываться, как и при любых других переходах на сайт virustotal.com.

Передаются ли файлы в сервис?

Нет. В VirusTotal пересылаются только хеши файлов.

Эта информация оказалась полезной?

Как можно улучшить эту статью?
true
Поиск
Очистить поле поиска
Закрыть поиск
Главное меню
16361813801546202227
true
Поиск по Справочному центру
true
true
true
false
false