VirusTotal 现已整合到 Google Cloud,它能够提供威胁情境和声誉数据,帮助分析可疑的文件、网址、网域和 IP 地址,从而检测信息安全威胁。VirusTotal 报告提供大量众包详细信息,说明为何判断某个网域、文件附件或 IP 地址可能存在风险。(有关详情,请访问 VirusTotal 网站。)
在安全调查工具中,您可以直接访问与组织内传递的电子邮件附件或 Chrome 日志事件相关的 VirusTotal 报告,以获得与调查相关的威胁情境和声誉数据。例如,通过 VirusTotal 报告,您可能会看到某个特定网域被多个安全供应商标记为恶意网域。
注意:
- 如要通过调查工具查看 VirusTotal 报告,您需要安全中心
VirusTotal
- VirusTotal 不会用于检测恶意软件或其他安全威胁。VirusTotal 会提供更深入的安全性数据分析,并在您处理安全问题时协助您做出决策,从而更详尽地显示调查结果。
- 只有在管理员选择查看 VirusTotal 报告后,我们才会将数据(文件附件哈希)分享给 VirusTotal。除此之外,我们不会分享任何数据。
- 与规模较大的安全社区分享 VirusTotal 数据。这样一来,安全供应商就能相互协作、分享重要详细信息,并采取行动对抗安全威胁。
- 您还可以在提醒中心查看 VirusTotal 报告,以获取有关提醒的额外安全性数据分析。有关详情,请参阅查看提醒中心内的 VirusTotal 报告。
查看与 Gmail 相关的 VirusTotal 报告
-
前往 admin.google.com 登录 Google 管理控制台。
使用您的管理员账号(不以 @gmail.com 结尾)登录。 -
在左侧导航菜单中,转到安全性
- 选择 Gmail 邮件或 Gmail 日志事件作为搜索的数据源。
- 点击添加条件,然后选择是否包含附件。
- 点击搜索。
- 选择页面底部搜索结果的其中一项,点击邮件 ID 链接或主题链接。
- 在侧边栏中点击邮件标签页或会话标签页。
- 点击查看 VirusTotal 报告。
VirusTotal 报告包括多个部分,其中会详细说明潜在的安全威胁。例如,您可以查看将某个文件标记为恶意文件的安全供应商列表,也可以查看各个供应商的文件扫描结果。
查看与 Chrome 相关的 VirusTotal 报告
-
前往 admin.google.com 登录 Google 管理控制台。
使用您的管理员账号(不以 @gmail.com 结尾)登录。 -
在左侧导航菜单中,转到安全性
- 选择 Chrome 日志事件作为搜索的数据源。
- 点击添加条件,然后选择搜索条件。
- 点击搜索。
- 在页面底部的搜索结果中,点击内容哈希列中的某个链接。
- 在侧边栏中点击查看 VirusTotal 报告。
VirusTotal 报告包括多个部分,其中会详细说明潜在的安全威胁。
标准版和增强版 VirusTotal 报告
VirusTotal 报告有两个版本:标准版和增强版。如果管理员拥有安全中心VirusTotal
查看报告权限,且使用的是所需的 Google Workspace 版本,则系统会向其显示标准版 VirusTotal 报告。而对于使用 VT Enterprise 用户账号执行有效 virustotal.com 登录的 VirusTotal 付费版订阅者,系统会自动向其显示增强版 VirusTotal 报告。
要详细了解 VT Enterprise 并申请试用,请参阅 VirusTotal 网站上的服务概述。要注册 VT Enterprise,请提交此表单。
标准版包含的功能标准版 VirusTotal 报告包含以下功能:
- 威胁声誉:来自 70 多个安全供应商的恶意内容评估。
- 威胁时间跨度:提供重要日期,以便您了解首次实际发现特定威胁的时间,以及威胁活跃的时长。
- 文件识别:提供标识符和特征(文件哈希、文件类型、大小等),帮助您引用威胁并与其他分析人员分享。
增强版 VirusTotal 报告不仅包含标准版中的所有功能,还提供以下功能:
- 多 Angular 检测:来自众包规则匹配和社区评分(如 YARA、Sigma 和 IDS 规则)的额外威胁分析。
- 许可名单信息:适用于 Gmail 日志事件,有助于防止误报的详细信息(国家软件参考库、软件分销商、Microsoft Clean Metadata Feed 等)。
- 相关失陷指标 (IOC):IOC 的示例包括传播恶意软件文件的网络基础架构、充当特定威胁命令和控制角色的服务器、受调查文件的第一阶段递送载体等。
- 交互式威胁图表:以可视化方式呈现两个 IOC 之间的关系,从而以图表形式展示全部威胁活动。
- 安全相关的元数据:包括软件发布商信息、文档中识别的恶意宏、Android 应用权限等。
- 实际攻击详细信息:通过 VirusTotal 提交的元数据,了解威胁的地理位置和时间跨度详细信息、常见的攻击者欺骗手段以及更多信息。
- 可疑属性数据透视:借助 VirusTotal 报告中的可点击详情,您可探索 VirusTotal 全球数据集,了解其他同属性的威胁。
增强版报告的优势和用例
- 增强的威胁检测能力:利用众包规则精确找出并获取威胁的情境,即便这些威胁还不为安全供应商所熟知。
- 快速调查和决策制定:使用众包情境补充仅限内部查看的内容,提高安全团队的效率。攻击者也会以其他单位为目标,而其攻击足迹会显示在 VirusTotal 中,这有助于安全团队全面掌握威胁的信息。使用增强版 VirusTotal 报告后,舍弃假正例和确认并上报真正例的速度将显著加快。
- 增强的威胁修复能力:使用交互式威胁图表和相关工件来识别与特定提醒相关的 IOC,同时依据这些内容,通过搜索安全遥测数据全面了解攻击给贵单位带来的影响。例如,有哪些网域递送了包含在任一提醒中的哈希?即使尚未在我的环境中出现,也请在网络边界中屏蔽上述所有网域。
- 主动防御战略:您可以透视 VT Enterprise 中的数据,并识别可能未在您日志中显示的威胁基础架构。您也可以识别由同一威胁执行者运行的其他恶意软件,并在其对贵单位造成影响前在网络边界和端点中屏蔽此恶意软件。例如:为您在调查的其中一个文件指定命令和控制网域,将数据透视到由同一威胁执行者注册的其他网域(可能尚未用于威胁活动),然后预防性地屏蔽这些网域,以免这些网域最后遭利用,进而对贵公司造成威胁。
如需详细了解 VirusTotal 报告的功能,请参阅 VirusTotal 网站中的服务概述。另请参阅 How it works - VirusTotal(VirusTotal 的工作原理),或 contact us to learn more(联系我们以了解详情)。
注册 VT Enterprise 账号
如上所述,增强版 VirusTotal 报告会提供额外的威胁情报服务和高级功能。要了解详细信息并注册 VT Enterprise 账号,请联系 VirusTotal 团队。
法律声明
VirusTotal 这款 Alphabet 产品可以分析可疑文件、网址、网域和 IP 地址,以检测恶意软件和其他类型的威胁,并自动将这些内容与安全社区分享。
要查看 VirusTotal 报告,您需要将文件附件哈希、IP 地址或网域提交给 VirusTotal。
使用 VirusTotal 即表示,您同意自己提交的数据受 VirusTotal 服务条款和隐私权政策的约束,并知晓 VirusTotal 可能会将您提交的数据与安全社区分享。
常见问题
使用标准版 VirusTotal 报告需支付额外费用吗?不需要。如果管理员拥有安全中心VirusTotal
查看报告权限,就可以访问标准版 VirusTotal 报告。
如果您想借助高级威胁情境和声誉数据优化使用体验,并提高决策制定和调查能力,则需要订阅付费版 VT Enterprise。
当然。如果您订阅了付费版 VirusTotal(亦即 VT Enterprise),就能通过调查工具看到增强版的相关结果,并且这对您的 VirusTotal 配额不会有任何影响。只有在打开 virustotal.com 页面时才会占用配额。
当然。注册 VT Enterprise 后,您就可以实施其他用例,特别是有关安全运营中心、计算机应急响应小组、突发事件响应团队和威胁情报单位的用例:
- 自动丰富安全遥测数据:包括提醒归类、假正例舍弃、真正例确认和置信度相关性。
- 突发事件响应和取证分析:包括安全运营提醒归类、突发事件分析和情境、工件探查和 IOC 识别。
- 威胁情报和高级探查:包括未知威胁探查、威胁活动监控、攻击者跟踪、预防性 IOC 识别、威胁横向探索和事态感知。
- 反钓鱼式攻击、反欺诈、品牌和公司基础架构监控:包括钓鱼式攻击活动跟踪、银行特洛伊木马和信息窃取者剖析、品牌仿冒监控、恶意软件传播和公司基础架构滥用识别。
- 威胁应对演习和模拟黑客攻击:包括侦察和被动式数字“指纹”收集、入侵和攻击模拟以及安全堆栈验证。
- 漏洞优先级设置:包括风险驱动的智能修补策略、实际漏洞武器化监控,以及威胁执行者到漏洞利用的映射。
要详细了解 VT Enterprise 如何强化您的安全运营,请参阅 VirusTotal 全方位概览。要了解详情,请与 VirusTotal 专家联系。
不会。只有在管理员选择查看 VirusTotal 报告后,才能启用所有功能。只有在管理员执行此操作后,我们才会将文件哈希、网域或 IP 地址分享给 VirusTotal,以请求为所选实体生成风险评估报告。
不会。通过调查工具打开 VirusTotal 报告不会占用您的任何 VT Enterprise 配额。如果管理员通过调查工具打开 VirusTotal 网站以进行更深入调查,此操作会通过与直接访问 virustotal.com 相同的方式占用标准配额用量。
不会,我们只会将文件哈希发送至 VirusTotal。