Tính năng mới:
Đầu năm nay, Google đã thông báo trước về việc tích hợp giữa Trung tâm cảnh báo và VirusTotal. Hiện tại, Trung tâm cảnh báo cung cấp cho quản trị viên những cảnh báo và thông tin chi tiết có thể hành động theo thời gian thực về hoạt động liên quan đến bảo mật trong miền. Với tích hợp VirusTotal (hiện là một phần của Google Cloud), quản trị viên có khả năng tìm hiểu các cảnh báo ở cấp độ sâu hơn.
Khi thông báo của Trung tâm cảnh báo chứa thực thể VirusTotal được hỗ trợ, chẳng hạn như miền, băm tập tin đính kèm, hoặc địa chỉ IP, tiện ích làm giàu báo cáo VirusTotal (VT Augment) sẽ khả dụng ngay trong Trung tâm cảnh báo. Đối với người đăng ký VirusTotal trả phí, phiên bản nâng cao của báo cáo sẽ tự động điền.
Phiên bản Chuẩn của báo cáo VirusTotal bao gồm:
Nhận dạng có thể quan sát - Các đặc điểm và nhận dạng cho phép tham chiếu mối đe dọa và chia sẻ với các nhà phân tích khác (ví dụ: băm tập tin).
Mối đe dọa gây ảnh hưởng đến thương hiệu - Đánh giá mức độ độc hại đến từ hơn 70 nhà cung cấp bảo mật, bao gồm các giải pháp chống virus, công ty bảo mật, danh sách chặn mạng, v.v.
Thời gian lan truyền của mối đe dọa - Các ngày khoá cho phép quản trị viên biết khi nào một mối đe dọa cụ thể được quan sát lần đầu tiên trong tự nhiên (hậu phát hành) và thời gian hoạt động của mối đe dọa.
Tra cứu Domain/IP Whois - Chi tiết về đăng ký và người đăng ký cho các miền, cũng như thông tin về quyền sở hữu và phạm vi mạng cho địa chỉ IP.
Siêu dữ liệu liên quan đến bảo mật miền và máy chủ - Chứng chỉ HTTPS cho máy chủ web, bản ghi độ phân giải DNS và tiêu đề HTTP của máy chủ web.
Phiên bản nâng cao của báo cáo VirusTotal bao gồm các tính năng bổ sung như:
Phát hiện đa góc độ - Phân tích mối đe dọa bổ sung đến từ các quy tắc có nguồn lực cộng đồng và tính điểm của cộng đồng (ví dụ: quy tắc YARA, Sigma và IDS).
Các chỉ báo liên quan về sự xâm phạm (IOC) - Ví dụ về IOC bao gồm cơ sở hạ tầng mạng phân phối tập tin phần mềm độc hại, máy chủ hoạt động như một lệnh và kiểm soát đối với một mối đe dọa nhất định, các URL độc hại được nhìn thấy trong một miền nhất định, các miền được nhìn thấy sau một địa chỉ IP nhất định, và nhiều hơn nữa.
Biểu đồ mối đe dọa tương tác - Định dạng đồ họa vạch ra toàn bộ các chiến dịch về mối đe dọa bằng cách trực quan hóa mối quan hệ giữa các IOC.
Siêu dữ liệu liên quan đến bảo mật - Bao gồm thông tin nhà xuất bản phần mềm, xác định các macro độc hại trong tài liệu, xếp hạng phổ biến cho các miền, phân loại nội dung miền, v.v.
Chi tiết trong tự nhiên “hậu phát hành” - Chi tiết về địa lý và thời gian lan truyền cho các mối đe dọa, các kỹ thuật đánh lừa kẻ tấn công phổ biến và hơn thế nữa, thông qua siêu dữ liệu gửi VirusTotal.
Xoay vòng thuộc tính đáng ngờ - Chi tiết có thể thấy trong báo cáo VirusTotal, cho phép khám phá tập dữ liệu VirusTotal toàn cầu để tìm các mối đe dọa khác có cùng thuộc tính.
Truy cập Trung tâm trợ giúp và tìm hiểu thêm về cách sử dụng mối đe dọa bảo mật VirusTotal và các báo cáo từ Trung tâm cảnh báo để nâng cao khả năng xác định mối đe dọa, điều tra nhanh và ra quyết định, nâng cao khả năng khắc phục mối đe dọa và phòng thủ chủ động.
Ảnh hưởng:
Quản trị viên.
Tại sao quan trọng:
Tích hợp VirusTotal cung cấp một lớp điều tra bổ sung bên trên các cảnh báo hiện hữu, cho phép quản trị viên xem xét sâu hơn các mối đe dọa và khả năng lạm dụng, giúp bảo vệ tổ chức và dữ liệu tốt hơn.
Thông tin chi tiết:
VirusTotal cung cấp một lớp điều tra bên trên các cảnh báo nhưng không được sử dụng trực tiếp để phát hiện hoặc cảnh báo. Không có thông tin khách hàng nào được chia sẻ từ Google với VirusTotal trừ khi quản trị viên nhấp vào để truy xuất báo cáo VirusTotal cho một thực thể cụ thể.
Báo cáo VirusTotal có hai phiên bản: Chuẩn và Nâng cao. Báo cáo tiêu chuẩn được hiển thị cho quản trị viên có đặc quyền trung tâm cảnh báo. Phiên bản Nâng cao được hiển thị tự động cho người đăng ký VirusTotal trả phí có phiên đăng nhập virustotal.com đang hoạt động bằng tài khoản người dùng VT Enterprise.
Đối với khách hàng VT Enterprise hiện tại, việc xem báo cáo VirusTotal trong trung tâm cảnh báo KHÔNG sử dụng bất kỳ hạn ngạch VT Enterprise nào. Nếu quản trị viên mở trang web VirusTotal để thực hiện thêm nghiên cứu từ Trung tâm cảnh báo, điều đó sẽ được tính vào việc sử dụng hạn ngạch tiêu chuẩn giống như cách trực tiếp truy cập virustotal.com.
Làm thế nào để bắt đầu:
Quản trị viên: báo cáo VirusTotal khả dụng đối với quản trị viên có đặc quyền Trung tâm cảnh báo. Truy cập Trung tâm trợ giúp để tìm hiểu thêm về cách sử dụng báo cáo VirusTotal trong Trung tâm cảnh báo.
Người dùng cuối: không có tác động đối với người dùng cuối.
Thời gian triển khai:
Bản phát hành nhanh và Bản phát hành theo định kỳ: đang dần triển khai (tối đa 15 ngày đối với khả năng hiển thị tính năng) bắt đầu từ ngày 26/7/2021.
Phiên bản phát hành:
Khả dụng cho các khách hàng của Google Workspace Business Plus, Enterprise Standard, Enterprise Plus, Education Fundamentals và Education Plus.
Không áp dụng cho Google Workspace Essentials, Business Starter, Business Standard, Enterprise Essentials, Frontline và Nonprofits cũng như khách hàng G Suite Basic và Business.
Nguồn: LVtech