Сервис VirusTotal, ставший частью Google Cloud, предоставляет сведения о репутации и контексте угроз, помогающие анализировать подозрительные файлы, URL, домены и IP-адреса для выявления киберугроз. Отчеты VirusTotal содержат большое количество краудсорсинговой информации о том, почему домен, прикрепленный файл или IP-адрес могут быть небезопасными. Больше сведений об этом сервисе можно найти на сайте VirusTotal.
В инструменте "Анализ безопасности" можно напрямую просматривать отчеты VirusTotal о файлах, прикрепленных к электронным письмам, которые передаются в вашей организации, или связанных с событиями журнала Chrome. Это позволяет получать полезную для анализа информацию о репутации и контексте угрозы. Например, в отчете VirusTotal может быть указано, что несколько поставщиков услуг безопасности отметили определенный домен как вредоносный.
Примечания
- Чтобы посмотреть отчет VirusTotal в инструменте "Анализ безопасности", требуется право Центр безопасностиVirusTotalПросмотр отчета.
- Сервис VirusTotal не обнаруживает вредоносное ПО или другие угрозы. Он дополняет результаты анализа безопасности и помогает вам принимать решения при устранении угроз.
- Данные (хеши прикрепленных файлов) передаются в VirusTotal только после того, как администратор решит посмотреть отчет. Ни при каких обстоятельствах никакие другие данные не пересылаются.
- Доступ к данным VirusTotal предоставляется сообществу специалистов по безопасности. Это позволяет поставщикам услуг безопасности сотрудничать друг с другом, делиться важными сведениями и совместно принимать меры по борьбе с киберугрозами.
- Вы также можете посмотреть отчеты VirusTotal из Центра оповещений, чтобы получить дополнительные сведения о безопасности, связанные с оповещениями. Подробнее о том, как посмотреть отчеты VirusTotal из Центра оповещений…
Как просматривать отчеты VirusTotal, связанные с Gmail
-
Войдите в консоль администратора Google на странице admin.google.com.
Используйте для входа аккаунт администратора (он не заканчивается на @gmail.com). -
В меню навигации, которое расположено слева, выберите БезопасностьЦентр безопасностиИнструмент "Анализ безопасности".
- В качестве источника данных выберите Сообщения Gmail или События журнала Gmail.
- Нажмите Добавить условие и выберите С прикрепленными файлами.
- Нажмите Поиск.
- Рядом с нужным результатом поиска в нижней части страницы нажмите на ссылку Идентификатор сообщения или Тема.
- На боковой панели выберите вкладку Сообщение или Цепочка.
- Нажмите Посмотреть отчет VirusTotal.
В отчете VirusTotal есть несколько разделов со сведениями о возможных угрозах безопасности. Например, вы можете посмотреть список поставщиков услуг безопасности, отметивших файл как вредоносный, а также результаты сканирования файла каждым из этих поставщиков.
Как просматривать отчеты VirusTotal, связанные с Chrome
-
Войдите в консоль администратора Google на странице admin.google.com.
Используйте для входа аккаунт администратора (он не заканчивается на @gmail.com). -
В меню навигации, которое расположено слева, выберите БезопасностьЦентр безопасностиИнструмент "Анализ безопасности".
- В качестве источника данных выберите События журнала Chrome.
- Нажмите Добавить условие и выберите подходящий вариант.
- Нажмите Поиск.
- Рядом с нужным результатом поиска в нижней части страницы нажмите на одну из ссылок в столбце Хеш контента.
- На боковой панели нажмите Посмотреть отчет VirusTotal.
В отчете VirusTotal есть несколько разделов со сведениями о возможных угрозах безопасности.
Версии отчета VirusTotal
Существует две версии отчета VirusTotal: Standard и Enhanced. Версию Standard могут посмотреть администраторы поддерживаемых пакетов Google Workspace, у которых есть право Центр безопасностиVirusTotalПросмотр отчета. Чтобы вместо нее была автоматически показана версия Enhanced, у администратора должна быть платная подписка VT Enterprise и открытый активный сеанс на сайте virustotal.com.
Узнать больше о VT Enterprise и запросить пробный период можно на странице с информацией о сервисе VirusTotal. Чтобы оформить подписку на VT Enterprise, заполните и отправьте эту форму.
Сведения, доступные в версии StandardВ отчете VirusTotal версии Standard содержится следующая информация:
- Репутация угрозы. Оценки вредоносности более чем от 70 поставщиков услуг безопасности.
- Время существования угрозы. Ключевые даты, которые позволяют понять, когда угроза была обнаружена впервые и как долго она остается актуальной.
- Идентификаторы файлов. Идентификаторы и свойства, с помощью которых вы можете обозначить угрозу и сообщить о ней другим аналитикам (например, хеши, типы и размеры файлов).
Помимо всех сведений из отчета версии Standard, в отчете версии Enhanced содержится следующая информация:
- Многовекторное обнаружение угроз. Дополнительный анализ угроз на основе краудсорсинговых правил и оценок сообщества (например, правил YARA, Sigma и IDS).
- Информация из белого списка. Полезные сведения для исключения ложноположительных результатов, связанных с событиями журнала Gmail (National Software Reference Library, дистрибьюторы ПО, Microsoft Clean Metadata Feed и другие).
- Связанные индикаторы компрометации. Примерами таких индикаторов являются сетевая инфраструктура, распространяющая вредоносный файл, серверы, используемые для управления атакой, и первоначальные векторы доставки изучаемого файла.
- Интерактивный график угрозы. Графическое представление всех аспектов угрозы на основе взаимосвязей между индикаторами компрометации.
- Метаданные, связанные с безопасностью. Информация об издателе ПО, идентификаторы вредоносных макросов в документах, разрешения приложений для Android и другие сведения.
- Поведение угрозы. Информация о географии и времени распространения угрозы, часто используемые злоумышленниками методы обмана, а также другая информация, полученная на основе присланных пользователями VirusTotal метаданных.
- Информация о похожих угрозах. Ссылки на сведения о других угрозах с такими же свойствами из глобального набора данных VirusTotal.
Сценарии и преимущества использования версии Enhanced
- Улучшенное обнаружение угроз. Выработанные профессиональным сообществом правила помогут вам обнаружить определенные угрозы и получить контекстные сведения о них, даже когда эти угрозы ещё плохо изучены поставщиками услуг безопасности.
- Ускоренный анализ и оперативные решения. Информация, полученная от профессионального сообщества, повысит результативность работы специалистов по безопасности в вашей организации. Злоумышленники атакуют разные организации, а VirusTotal собирает данные об этом, помогая вашим специалистам составить полную картину. Отчеты VirusTotal версии Enhanced помогут значительно быстрее определять мнимые и реальные угрозы и предпринимать необходимые действия.
- Оперативное устранение угроз. Интерактивный график угроз и связанные объекты помогут определить индикаторы компрометации для оповещения и с их помощью всесторонне оценить последствия атаки на организацию, выполнив поиск по данным телеметрии безопасности. Например, можно составить список доменов, доставляющих файлы с хешем, который включен в одно из оповещений, и заблокировать каждый из них на периметре сети, включая те, что ещё не обнаружены в среде.
- Стратегия профилактики угроз. С подпиской VT Enterprise вам доступна дополнительная информация, которая позволяет определять инфраструктуры угроз, ещё не зафиксированные в ваших журналах. Вы также можете выявить другое вредоносное программное обеспечение под управлением того же злоумышленника и заблокировать это ПО в периметре сети и конечных точках ещё до того, как оно нанесет ущерб вашей организации. Например, узнав домен, из которого идет управление атакой с использованием одного из изучаемых файлов, можно определить и заблокировать другие домены, зарегистрированные тем же злоумышленником (даже если они пока не использовались в кампании).
Подробные сведения об отчетах VirusTotal и общая информация о сервисе приведены на сайте VirusTotal. Узнайте о принципе работы VirusTotal или уточните у нас интересующую информацию.
Как зарегистрировать аккаунт VT Enterprise
Как описано выше, в отчетах VirusTotal версии Enhanced содержатся дополнительные сведения для анализа угроз. Больше узнать об этих отчетах и зарегистрировать аккаунт VT Enterprise можно с помощью этой формы для связи с командой VirusTotal.
Юридическая информация
VirusTotal – это продукт конгломерата Alphabet, который анализирует подозрительные файлы, URL, домены и IP-адреса для выявления вредоносного ПО и других видов угроз и автоматически делится сведениями о них с сообществом специалистов по безопасности.
Чтобы посмотреть отчеты VirusTotal, необходимо разрешить отправку в этот сервис хешей прикрепленных файлов, IP-адресов или доменных имен.
Используя VirusTotal, вы соглашаетесь с тем, что к отправленным вами данным применяются Условия использования и Политика конфиденциальности VirusTotal, и разрешаете VirusTotal делиться этими данными с сообществом специалистов по безопасности.
Часто задаваемые вопросы
Взимается ли дополнительная плата за просмотр отчетов VirusTotal версии Standard?Нет. Эти отчеты могут просматривать администраторы с правом Центр безопасностиVirusTotalПросмотр отчета.
Если вы хотите получать дополнительные сведения о репутации и контексте угроз для анализа и выработки ответных мер, вам понадобится платная подписка VT Enterprise.
Да. Если вы оформите платную подписку на VirusTotal (VT Enterprise), в инструменте "Анализ безопасности" вам будут доступны дополнительные результаты анализа безопасности. Их просмотр не влияет на квоту VirusTotal. В квоте учитываются только переходы по страницам на сайте virustotal.com.
Узнать больше о VT Enterprise и запросить пробный период можно на странице с информацией о сервисе VirusTotal. Чтобы оформить подписку на VT Enterprise, заполните и отправьте эту форму.
Да. Подписка VT Enterprise позволяет реализовать другие сценарии использования, в частности для центров по обеспечению безопасности, специалистов по анализу угроз и групп быстрого реагирования на киберугрозы и инциденты.
- Автоматизированное обогащение данных телеметрии безопасности – сортировка оповещений, исключение ложноположительных результатов, подтверждение фактических угроз и оценка уровня достоверности.
- Реагирование на инциденты и ретроспективный анализ – сортировка оповещений системы безопасности, анализ инцидентов и контекста, обнаружение объектов и выявление индикаторов компрометации.
- Анализ угроз и расширенные возможности их выявления – обнаружение неизвестных угроз, мониторинг атак, отслеживание злоумышленников, профилактическое выявление индикаторов компрометации, изучение общей картины угроз и ситуационная осведомленность.
- Защита от фишинга и мошенничества, мониторинг бренда и корпоративной инфраструктуры – отслеживание фишинговых кампаний, анализ банковских троянов и средств для кражи данных, мониторинг выдачи злоумышленником себя за бренд, выявление вредоносного ПО и нарушений корпоративной инфраструктуры.
- Использование "красных команд" и этичный хакинг – разведка и пассивный сбор информации о системе, моделирование проникновений и атак, проверка стека безопасности.
- Приоритизация уязвимостей – умные стратегии исправлений на основе рисков, мониторинг уязвимостей в глобальном контексте и сопоставление злоумышленников с эксплуатацией уязвимостей.
Подробные сведения о том, как VT Enterprise помогает повысить безопасность, приведены в этом обзоре. Интересующую вас информацию вы можете уточнить у специалистов VirusTotal.
Нет. Данные передаются только в том случае, если администратор откроет отчет VirusTotal. После этого в VirusTotal пересылаются хеши файлов, сведения о доменах или IP-адресах, необходимые для оценки рисков, связанных с объектом.
Нет. При просмотре отчетов VirusTotal в инструменте "Анализ безопасности" квота VT Enterprise не учитывается. Если администратор перейдет из этого инструмента на сайт VirusTotal для получения дополнительных сведений, тогда квота будет учитываться, как и при любых других переходах на сайт virustotal.com.
Нет. В VirusTotal пересылаются только хеши файлов.