Friday, August 6, 2021

Le contexte des menaces VirusTotal est désormais disponible dans le centre d'alerte

Cet article est la traduction en anglais du post publié sur le blog le 26 juillet.



Quoi de neuf ? 

En début d'année, nous vous avions annoncé la disponibilité prochaine d'une intégration entre le centre d'alerte et VirusTotal. À l'heure actuelle, le centre d'alerte de Google Workspace fournit aux administrateurs des recommandations et des alertes exploitables en temps réel concernant les activités liées à la sécurité de leur domaine. En intégrant VirusTotal (désormais inclus dans Google Cloud), les administrateurs peuvent obtenir des informations plus détaillées sur ces alertes. 
 
 
Quand une notification du centre d'alerte contient une entité VirusTotal compatible, telle qu'un domaine, un hachage de pièce jointe ou une adresse IP, le widget de rapports détaillés VirusTotal (VT Augment) est disponible directement dans le centre d'alerte. Pour les utilisateurs de l'édition payante de VirusTotal, une version améliorée du rapport sera automatiquement affichée.
 
 
Dans l'édition standard de VirusTotal, les rapports incluent les éléments suivants :
  • Identification observable : identifiants et caractéristiques vous permettant de référencer la menace et de la partager avec d'autres analystes (par exemple, les hachages de fichiers)
  • Réputation de la menace : évaluations de malveillance provenant de plus de 70 fournisseurs de sécurité, y compris des solutions antivirus, des entreprises de sécurité, des listes de blocage réseau et plus encore
  • Propagation de la menace dans le temps : dates clés vous permettant de comprendre à quel moment une menace a été observée pour la première fois en circulation et depuis combien de temps elle est active
  • Recherche WHOIS pour le domaine/l'adresse IP : coordonnées du bureau d'enregistrement et du titulaire du domaine, ainsi que les informations sur la propriété et la plage réseau des adresses IP
  • Métadonnées du domaine et du serveur concernant la sécurité : certificats HTTPS pour les serveurs Web, enregistrements de résolution DNS et en-têtes HTTP de serveur Web
Dans l'édition payante de VirusTotal, les rapports comprennent des éléments supplémentaires :
  • Détection multiangulaire : analyse supplémentaire de la menace utilisant plusieurs sources de correspondances avec des règles et de notation par la communauté (par exemple, règles YARA, Sigma et IDS)
  • Indicateurs de compromission associés : par exemple, une infrastructure réseau distribuant un logiciel malveillant, des serveurs utilisés pour commander et contrôler une menace, des URL malveillantes détectées sous un domaine donné, des domaines détectés derrière une certaine adresse IP, etc.
  • Graphique interactif de la menace : format graphique qui établit toutes les campagnes de la menace en représentant les relations entre les indicateurs de compromission
  • Métadonnées concernant la sécurité : par exemple, les informations sur l'éditeur de logiciel, l'identification de macros malveillantes dans des documents, les classements de popularité pour les domaines, la catégorisation du contenu d'un domaine, etc.
  • Informations sur les menaces en circulation : informations géographiques et temporelles sur les menaces, les techniques de tromperie courantes des pirates informatiques et plus encore, à l'aide des métadonnées des échantillons envoyés à VirusTotal
  • Attributs suspects dynamiques : informations cliquables dans les rapports VirusTotal vous permettant de consulter l'ensemble de données mondial de VirusTotal pour d'autres menaces partageant les mêmes propriétés
Consultez le centre d'aide pour savoir comment utiliser les rapports VirusTotal sur la réputation et le contexte des menaces pour la sécurité dans le centre d'alerte, et ainsi mieux identifier les menaces, accélérer les enquêtes et les prises de décision, gérer plus efficacement les menaces et défendre votre domaine de manière proactive.
 
 

Qui est concerné ?

Administrateurs
 
 

Pourquoi cette annonce est-elle importante ?

L'intégration de VirusTotal vient compléter les alertes existantes en offrant aux administrateurs davantage d'informations sur les menaces et les potentielles utilisations abusives, afin de renforcer la protection de leur organisation et des données.
 
 

Informations supplémentaires

VirusTotal est un outil d'investigation qui s'ajoute aux alertes, mais il ne peut pas être utilisé directement pour détecter les problèmes ou émettre des alertes. Google ne transmet à VirusTotal aucune information sur les clients, sauf si un administrateur clique sur le rapport VirusTotal d'une entité spécifique pour le récupérer. 
 
 
Le rapport VirusTotal existe en deux versions : Standard et Améliorée. Les rapports standards s'affichent pour les administrateurs disposant du droit d'accès au centre d'alerte. Les rapports améliorés s'affichent automatiquement pour les abonnés à la version payante de VirusTotal disposant d'une session de connexion virustotal.com active avec leur compte VT Enterprise.
 
 
Pour les clients VT Enterprise existants, l'affichage des rapports VirusTotal dans le centre d'alerte n'est PAS décompté de leur quota VT Enterprise. En revanche, si un administrateur ouvre le site Web de VirusTotal à partir du centre d'alerte pour effectuer plus de recherches, cette action est décomptée du quota de la même façon qu'une consultation directe à partir du site virustotal.com.
 
 

Comment en profiter ?

  • Administrateurs : les rapports VirusTotal sont disponibles pour les administrateurs disposant du droit d'accès au centre d'alerte. Consultez le centre d'aide pour en savoir plus sur l'utilisation des rapports VirusTotal dans le centre d'alerte.
  • Utilisateurs finaux : ce changement n'a pas d'incidence sur les utilisateurs finaux.
     

Quand ?

 

Qui peut en bénéficier ?

  • Les clients Google Workspace Business Plus, Enterprise Standard, Enterprise Plus, Education Fundamentals et Education Plus.
  • L'intégration n'est pas disponible dans les éditions Google Workspace Essentials, Business Starter, Business Standard, Enterprise Essentials, Frontline et l'édition pour les associations, ni pour les clients G Suite Basic et Business.