Friday, August 6, 2021

Melhoria da Central de alertas com o lançamento do contexto de ameaça do VirusTotal para todos os usuários

Este artigo é a tradução do Blog em inglês do dia 26 de Julho.



O que mudará

No início deste ano, anunciamos a integração da Central de alertas com o VirusTotal. Atualmente a Central de alertas do Google Workspace exibe para os administradores alertas e insights úteis e em tempo real sobre a atividade relacionada à segurança no domínio. Com a integração do VirusTotal (que agora faz parte do Google Cloud), os administradores podem ver mais detalhes sobre esses alertas. 
 
 
Quando uma notificação da Central de alertas contém uma entidade do VirusTotal compatível, como um domínio, um hash de anexo de arquivo ou um endereço IP, o widget de melhoria de relatório do VirusTotal (VT Augment) fica disponível na Central de alertas. Para os assinantes da versão paga do VirusTotal, uma versão aprimorada do relatório será preenchida automaticamente.
 
 
A versão Standard dos relatórios do VirusTotal inclui estas informações:
  • Identificação observável: identificadores e características, como hashes de arquivo, para você detalhar a ameaça e compartilhá-la com outros analistas
  • Reputação da ameaça: avaliações de mais de 70 fornecedores de soluções de segurança, como soluções antivírus, empresas de segurança, listas de bloqueio de rede e muito mais
  • Propagação da ameaça: datas importantes para você entender quando uma ameaça específica apareceu pela primeira vez e por quanto tempo está ativa
  • Busca de WHOIS de domínio/IP: detalhes do registrador e do responsável pelo registro dos domínios, além de informações sobre propriedade e intervalo de rede de endereços IP
  • Metadados relevantes para a segurança de servidores e domínios: certificados HTTPS e cabeçalhos HTTPS de servidores da Web e registros da resolução de DNS
Estes são alguns exemplos dos recursos adicionados incluídos na versão Enhanced do VirusTotal:
  • Detecção multiangular: análises extras de ameaças resultantes das avaliações da comunidade e correspondências de regras reunidas por crowdsourcing (por exemplo, YARA, regras de Sigma e IDS)
  • Indicadores de comprometimento (IOCs, na sigla em inglês) relacionados: exemplos de IOCs, como uma infraestrutura de rede distribuindo arquivos de malware, servidores de comando e controle de uma determinada ameaça, URLs maliciosos em um domínio específico, domínios com o mesmo endereço IP e muito mais
  • Gráfico interativo de ameaças: mapeamento de campanhas inteiras de ameaças que mostra as relações entre IOCs
  • Metadados relevantes para a segurança: inclui informações sobre o editor do software, a identificação de macros maliciosas em documentos, classificações de popularidade de domínios, categorização do conteúdo de domínios e muito mais
  • Detalhes disponíveis para o público: metadados de envio do VirusTotal com informações geográficas e sobre propagação das ameaças, técnicas enganosas comuns dos invasores e muito mais
  • Análise dinâmica de atributos suspeitos: detalhes clicáveis nos relatórios que mostram o conjunto global de dados do VirusTotal sobre outras ameaças com as mesmas propriedades
Acesse a Central de Ajuda e saiba mais sobre o uso do contexto de ameaça à segurança do VirusTotal e dos relatórios de reputação da Central de alertas para melhorar a identificação de ameaças, acelerar a investigação e a tomada de decisões, aprimorar o bloqueio de ameaças e ter uma defesa proativa.
 
 

Quem será afetado

Administradores
 
 

Por que isso é importante

Com a integração do VirusTotal, é possível fazer investigações nos alertas. Assim os administradores podem analisar mais detalhadamente as ameaças e os possíveis abusos, o que melhora a proteção da organização e dos dados.
 
 

Mais detalhes

Com o VirusTotal, é possível fazer investigações nos alertas, mas ele não é usado para a identificação ou geração de alertas. Nenhuma informação do cliente é compartilhada pelo Google com o VirusTotal, a menos que um administrador opte por recuperar um relatório do VirusTotal de uma entidade específica. 
 
 
O relatório do VirusTotal tem duas versões: Standard e Enhanced. Os relatórios Standard são exibidos para os administradores que têm o privilégio "Central de alertas". A versão Enhanced é exibida automaticamente para os usuários da assinatura paga do VirusTotal que iniciaram uma sessão de login no virustotal.com utilizando a conta de usuário do VT Enterprise.
 
 
Para os clientes do VT Enterprise, a visualização dos relatórios do VirusTotal na Central de alertas NÃO usa a cota do VT Enterprise. Quando um administrador abre o site do VirusTotal para fazer mais pesquisas na Central de alertas, isso é contabilizado no uso da cota padrão como se ele estivesse acessando o virustotal.com.
 
 

Primeiros passos

  • Administradores: os relatórios do VirusTotal estão disponíveis para os administradores com o privilégio "Central de alertas". Acesse a Central de Ajuda para saber mais sobre o uso dos relatórios do VirusTotal na Central de alertas.
  • Usuários finais: não haverá impacto para os usuários finais.
     

Opções de lançamento

 

Disponibilidade

  • Disponível para os clientes do Google Workspace Business Plus, Enterprise Standard, Enterprise Plus, Education Fundamentals e Education Plus
  • Não disponível para os clientes do Google Workspace Essentials, Business Starter, Business Standard, Enterprise Essentials, Frontline e da edição para organizações sem fins lucrativos e para os clientes do G Suite Basic e Business