Visa VirusTotal-rapporter från utredningsverktyget

Få ytterligare säkerhetsstatistik om logghändelser för Gmail och Chrome

VirusTotal, som nu är en del av Google Cloud, tillhandahåller data om hotkontext och anseende. Det underlättar analysen av misstänkta filer, webbadresser, domäner och IP-adresser för identifiering av cybersäkerhetshot. VirusTotal-rapporter innehåller många detaljer om varför en domän, fil, bilaga eller IP-adress skulle kunna betraktas som riskabel. (Mer information finns på VirusTotal-webbplatsen.)

Från verktyget för säkerhetsutredningar kan du direkt få åtkomst till VirusTotal-rapporter som rör e-postbilagor som finns i omlopp i organisationen eller som rör logghändelser för Chrome. Det ger dig tillgång till data om hotkontext och anseende som rör en utredning. Exempelvis kan en VirusTotal-rapport visa att flera säkerhetsleverantörer har flaggat en specifik domän som skadlig.

Obs!

  • Om du vill visa VirusTotal-rapporter från utredningsverktyget behöver du Säkerhetscenterföljt av VirusTotalföljt av Visa rapport behörighet.
  • VirusTotal används inte för att upptäcka skadlig programvara eller andra säkerhetshot. VirusTotal utökar resultaten av en utredning genom att tillhandahålla ytterligare säkerhetsstatistik. Funktionen hjälper dig att fatta beslut om hur du åtgärdar säkerhetsproblem.
  • Data (hashvärden för filbilagor) delas bara med VirusTotal när administratören har valt att visa VirusTotal-rapporten. Ingen data delas på annat sätt.
  • VirusTotal-data delas bredare med säkerhetsbranschen. Det gör att säkerhetsleverantörer kan samarbeta med varandra, dela viktiga detaljer och agera mot säkerhetshot.
  • Du kan också visa VirusTotal-rapporter från varningscentret för att få ytterligare säkerhetsstatistik om varningar. Mer information finns i Visa VirusTotal-rapporter från varningscentret.

Visa VirusTotal-rapporter om Gmail

  1. Logga in på Googles administratörskonsol på admin.google.com.
    Logga in med ditt administratörskonto (slutar inte på @gmail.com).
  2. Gå till Säkerhetföljt avSäkerhetscenterföljt avUtredningsverktyg i navigeringsmenyn till vänster.
  3. Välj Gmail-meddelanden eller Logghändelser för Gmail som datakälla för sökningen.
  4. Klicka på Lägg till villkor och välj Har bilaga.
  5. Klicka på Sök.
  6. Klicka på länken Meddelande-id eller Ämne på sidan med sökresultaten längst ned på sidan.
  7. Klicka på fliken Meddelande eller Tråd på sidopanelen.
  8. Klicka på Visa VirusTotal-rapport.

VirusTotal-rapporten innehåller flera avsnitt med information om potentiella säkerhetshot. Du kan till exempel visa en lista över säkerhetsleverantörer som har flaggat en fil som skadlig samt även visa resultat av filskanningar för var och en av dessa leverantörer.

Visa VirusTotal-rapporter som rör Chrome

  1. Logga in på Googles administratörskonsol på admin.google.com.
    Logga in med ditt administratörskonto (slutar inte på @gmail.com).
  2. Gå till Säkerhetföljt avSäkerhetscenterföljt avUtredningsverktyg i navigeringsmenyn till vänster.
  3. Välj Chrome-loggändelser som datakälla för sökningen.
  4. Klicka på Lägg till villkor och välj ett villkor för sökningen.
  5. Klicka på Sök.
  6. Klicka på en av länkarna i kolumnen Innehållshash i sökresultaten längst ned på sidan.
  7. Klicka på Visa VirusTotal-rapport i sidopanelen.

VirusTotal-rapporten innehåller flera avsnitt med information om potentiella säkerhetshot.

Standard- och Enhanced-versioner av VirusTotal-rapporter

VirusTotal-rapporten har två versioner: Standard och Enhanced. Standard-versionen visas för administratörer som har Säkerhetscenterföljt avVirusTotalföljt avVisa rapportbehörighet och som har en av de obligatoriska Google Workspace-utgåvorna. Enhanced-versionen visas automatiskt för betalprenumeranter på VirusTotal som har en aktiv inloggningssession på virustotal.com med sitt VT Enterprise-användarkonto.

Gå till tjänstöversikten på webbplatsen för VirusTotal om du vill ha mer information om VT Enterprise eller vill begära en provperiod. Registrera dig för VT Enterprise genom att skicka in det här formuläret.

Funktioner som finns i Standard-versionen

Standard-versionen av VirusTotal-rapporter omfattar följande:

  • Hotets anseende – bedömningar av skadlig programvara från över 70 säkerhetsleverantörer.
  • Spridningstid för hot — viktiga datum som gör att du kan förstå när ett visst hot observerats för första gången och hur länge det varit aktivt.
  • Filidentifiering – identifierare och egenskaper som gör att du kan referera till hotet och dela det med andra analytiker (filhashar, filtyp, storlek osv).
Funktioner som finns i Enhanced-versionen

Enhanced-versionen av VirusTotal-rapporter omfattar samma funktioner som i Standard-versionen plus följande:

  • Identifiering ur flera vinklar — ytterligare hotanalys från matchningar av gräsrotsutvecklade regler och gruppbetyg (exempelvis YARA-, Sigma- och IDS-regler).
  • Information på godkännandelista – för Gmail-logghändelser, användbar information som möjliggör falsk identifiering (National Software Reference Library, programvarudistributörer, Microsoft-flöde för ren metadata osv.). 
  • Relaterade intrångsindikatorer — exempel på intrångsindikatorer är en nätverksinfrastruktur som distribuerar en fil med skadlig programvara, servrar som agerar som kommando och kontroll för ett visst hot, leveransvektorer på första nivån för en fil som undersöks med mera.
  • Interaktivt hotdiagram — grafiskt format som visar hela hotkampanjer genom att visualisera förhållandena mellan intrångsindikatorer.
  • Säkerhetsrelevant metadata — inkluderar information om programvaruutgivare, identifiering av skadliga makron i dokument, behörigheter för Android-app med mera.
  • Information om spridning — information om geografisk och tidsmässig spridning av hot, vanliga bedrägerimetoder med mera via VirusTotal-metadata.
  • Pivotering av misstänkt attribut — klickbar information i VirusTotal-rapporter som gör att du kan utforska det globala VirusTotal-datasetet för andra hot med samma egenskaper.

Förmåner och användningsfall för Enhanced-versionen

  • Förbättrad hotidentifiering — använd gräsrotsutvecklade regler för att hitta och få kontext för hot även när de inte är välkända hos säkerhetsleverantörer.
  • Bättre utredningar och beslutsfattande — öka säkerhetsteamets effektivitet genom att komplettera interna observationer med kontext från användare. Angripare riktar sig även till andra organisationer och deras fotavtryck syns i VirusTotal. Detta bidrar till att skapa en komplett bild för säkerhetsteamet. Med Enhanced-versionen av VirusTotal-rapporter går det betydligt snabbare att ignorera falska positiva resultat och bekräfta och eskalera äkta positiva resultat.
  • Förbättrade åtgärder vid hot — använd det interaktiva hotdiagrammet och de relaterade biprodukterna för att identifiera intrångsinteraktioner som är kopplade till en relevant varning och använd dem för att fullt ut förstå effekten av en attack mot organisationen genom att söka i säkerhetstelemetrin. Exempel: Vilka är domänerna som levererar ett hashvärde i en av dina varningar? Blockera samtliga i nätverksperimetern även om de inte syns i min miljö.
  • Proaktiv försvarsstrategi — du kan använda VT Enterprise för att identifiera hotinfrastruktur som ännu inte visat sig i dina loggar. Du kan även identifiera annan skadlig programvara från samma hotaktör och blockera den i nätverksperimenter och slutpunkter innan den påverkar organisationen. Ett exempel: en domän med kommando och kontroll används för en av filerna du undersöker. Gå över till andra domäner som har registrerats av samma hotaktör som kanske inte har utnyttjats i en kampanj ännu och blockera sedan dessa domäner i förebyggande syfte om de på sikt skulle användas mot ditt företag.

Mer information om funktionerna i VirusTotal-rapporten finns i tjänstöversikten på webbplatsen för VirusTotal. Se även Så här fungerar det – VirusTotal eller kontakta oss för mer information.

Registrera dig för ett VT Enterprise-konto

Enhanced-versionen av VirusTotal-rapporter kan innehålla ytterligare tjänster för hotidentifiering och avancerade funktioner. Kontakta VirusTotal-teamet om du vill ha mer information och om du vill registrera dig för VT Enterprise.

Juridiskt meddelande

VirusTotal är en Alphabet-produkt som analyserar misstänkta filer, webbadresser, domäner och IP-adresser för att identifiera typer av skadlig programvara och andra typer av hot samt dela dem automatiskt med säkerhetsbranschen.

Om du ska kunna se VirusTotal-rapporter måste du skicka in hashvärden för filbilagor, IP-adresser eller domäner till VirusTotal. 

Genom att använda VirusTotal bekräftar du att användarvillkoren och integritetspolicyn för VirusTotal gäller den data du skickat in och att VirusTotal får dela din insända data med säkerhetsbranschen.

Vanliga frågor

Kostar det något extra att använda Standard-versionen av VirusTotal-rapporter?

Nej. Standardversionen av VirusTotal-rapporter är tillgänglig för administratörer som har Säkerhetscenterföljt avVirusTotalföljt avVisa rapport.

Om du vill förbättra upplevelsen och beslutsfattandet genom undersökning av avancerad hotkontext och anseende måste du ha en betalprenumeration på VT Enterprise

Har betalkunder med VirusTotal tillgång till andra uppgifter?

Ja. Om du har en betalprenumeration på VirusTotal, som även kallas VT Enterprise, ser du förbättrade resultat via utredningsverktyget utan att det påverkar din VirusTotal-kvot. Kvoten används enbart när du öppnar sidor på virustotal.com.

Hur kan jag registrera mig för VT Enterprise och dra nytta av Enhanced-versionen av VirusTotal-rapporter?

Gå till tjänstöversikten på webbplatsen för VirusTotal om du vill ha mer information om VT Enterprise eller vill begära en provperiod. Registrera dig för VT Enterprise genom att skicka in det här formuläret.

Finns det andra fördelar med en VT Enterprise-prenumeration utöver Enhanced-versionen av VirusTotal-rapporter?

Ja. Med VT Enterprise kan du implementera andra användningsfall som är särskilt relevanta för säkerhetscenter, datorserviceteam, incidentresponsteam och enheter för hotidentifiering: 

  • Automatisk förbättring av säkerhetstelemetri — detta omfattar utvärdering av varningar, ignorerande av falska positiva värden, bekräftelse av äkta positiva värden och sannolikhetskorrelation.
  • Incidentrespons och forensisk analys — detta omfattar utvärdering av säkerhetsfunktioner, analys av och kontext för incidenter, upptäckt av biprodukter och identifiering av intrångsindikatorer.
  • Information om hot och avancerad övervakning — detta omfattar identifiering av okända hot, bevakning av hotkampanjer, spårning av angripare, förebyggande identifiering av intrångsindikatorer, undersökning av hotlandskapet och situationskännedom.
  • Övervakning av nätfiske, bedrägerier, varumärke och företagsinfrastruktur — detta omfattar spårning av nätfiskekampanjer, analys av internetbanktrojaner och informationsstölder, bevakning av varumärkesstöld, distribution av skadlig programvara samt identifiering av intrång i företagsinfrastruktur.
  • Red teaming och etisk hackning — detta omfattar rekognosering och passiva fingeravtryck, simulering av intrång och attacker samt validering av säkerhetsstack.
  • Prioritering av sårbarhet — detta omfattar smarta, riskdrivna strategier för programkorrigering, bevakning av metoder för att skydda mot säkerhetsrisker och mappning av hotfulla aktörer och utnyttjande av säkerhetsrisker.

Mer information om hur VT Enterprise kan öka säkerheten finns i 360-översikten av VirusTotal. Mer information får du genom att kontakta våra VirusTotal-specialister.

Delas data med VirusTotal-rapporter utan administratörsåtgärder?

Nej. Alla funktioner baseras på att administratören väljer att visa VirusTotal-rapporten. När administratören utför denna åtgärd delas filens hashvärde, domän eller IP-adress med VirusTotal för att begära riskbedömningsrapporten för den valda enheten.

Förbrukas min kvot om jag är VT Enterprise-kund och visar VirusTotal-rapporter via utredningsverktyget?

Nej. VT Enterprise-kvoten används inte när du öppnar VirusTotal-rapporter via utredningsverktyget. Om en administratör öppnar VirusTotal-webbplatsen för ytterligare undersökningar från utredningsverktyget räknas det in i användningen av standardkvoten på samma sätt som att besöka virustotal.com direkt.

Delas filer?

Nej. Det är enbart hashvärden för filer som skickas till VirusTotal.

Var det här till hjälp?

Hur kan vi förbättra den?
true
Sök
Rensa sökning
Stäng sökrutan
Huvudmeny
17434096330528200164
true
Sök i hjälpcentret
true
true
true
false
false