Cet article est la traduction en anglais du post publié sur le blog le 28 octobre.
Quoi de neuf ?
Plus tôt cette année, nous avons annoncé une intégration entre le Centre d'alerte et VirusTotal pour permettre aux administrateurs d'obtenir des informations plus détaillées sur les alertes de sécurité. À partir d'aujourd'hui, les administrateurs peuvent également utiliser l'outil d'investigation de sécurité pour consulter les rapports VirusTotal et obtenir ainsi des informations plus détaillées sur les journaux d'événements Gmail. Ces informations peuvent les aider à prendre des décisions plus éclairées sur la protection de leurs utilisateurs et de leurs données.
Dans l'outil d'investigation de sécurité, sélectionnez "Afficher le rapport VirusTotal" pour un résultat d'investigation donné.
Le rapport fournit des informations supplémentaires sur les menaces de sécurité potentielles.
La version standard des rapports VirusTotal comprend les informations suivantes :
- Identification du fichier : Identifiants et caractéristiques vous permettant de référencer la menace et de la partager avec d'autres analystes (hachages de fichier, type de fichier, taille, etc.)
- Réputation de la menace : Évaluations du caractère malveillant provenant de plus de 70 fournisseurs de sécurité
- Propagation de la menace dans le temps : Dates clés vous permettant de comprendre à quel moment une menace a été observée pour la première fois et depuis combien de temps elle est active
Dans la version améliorée de VirusTotal, les rapports comprennent des éléments supplémentaires :
- Détection multiangulaire : Analyse supplémentaire de la menace utilisant plusieurs sources de correspondances avec des règles et de notation par la communauté (par exemple, règles YARA, Sigma et IDS)
- Informations sur la liste d'autorisation : Informations utiles permettant le rejet des faux positifs (National Software Reference Library, distributeurs de logiciels, flux de métadonnées fiables Microsoft, etc.)
- Indicateurs de compromission correspondants : Infrastructure réseau distribuant un logiciel malveillant, serveurs utilisés pour commander et contrôler une menace, premiers vecteurs de diffusion d'un fichier en cours d'examen, etc.
- Graphique interactif de la menace : Format graphique qui présente toutes les campagnes de la menace en indiquant les relations entre les indicateurs de compromission
- Métadonnées concernant la sécurité : Informations sur l'éditeur de logiciels, identification de macros malveillantes dans des documents, autorisations liées aux applications Android, etc.
- Informations sur les menaces en circulation : Informations géographiques et temporelles sur les menaces, les techniques de tromperie courantes des pirates informatiques et plus encore, à l'aide des métadonnées des échantillons envoyés à VirusTotal
- Attributs suspects dynamiques : Informations des rapports VirusTotal sur lesquelles on peut cliquer pour rechercher dans l'ensemble de données mondial de VirusTotal d'autres menaces partageant les mêmes propriétés
Qui est concerné ?
Administrateurs
Pourquoi cette nouveauté est-elle importante ?
L'intégration de VirusTotal aux notifications et avertissements existants émis par l'outil d'investigation de sécurité fournit aux administrateurs des informations plus détaillées sur les menaces potentielles.
Ces informations contextuelles sur les menaces permettent à nos administrateurs de prendre rapidement des mesures pour protéger leurs utilisateurs et leurs données. Par exemple, ils peuvent examiner toute incohérence des comptes utilisateur plus en détail dans VirusTotal afin de déterminer si un appareil est infecté par un virus. Ils peuvent également utiliser l'outil d'intégration de VirusTotal pour déterminer si des pièces jointes partagées sont malveillantes et si elles ont été vues ailleurs dans l'organisation.
Informations supplémentaires
VirusTotal est un outil d'investigation qui s'ajoute aux alertes, mais qui ne peut pas être utilisé directement pour détecter les problèmes ou émettre des alertes.
Les données (hachage de pièces jointes) ne sont partagées avec VirusTotal que si votre administrateur choisit d'afficher les rapports VirusTotal. Dans le cas contraire, aucune donnée n'est partagée.
Les données VirusTotal sont partagées avec les équipes chargées de la sécurité dans leur ensemble. Cela permet aux fournisseurs de sécurité de collaborer, de partager des informations importantes et de prendre des mesures afin de neutraliser les menaces pour la sécurité.
Le rapport VirusTotal existe en deux versions : Standard et Améliorée. La version standard est présentée aux administrateurs disposant du droit d'accès correspondant (Centre de sécurité > VirusTotal > Droit d'accès au rapport), et de l'une des éditions Google Workspace requises. La version améliorée s'affiche automatiquement pour les personnes ayant souscrit un abonnement payant VirusTotal et disposant d'une session de connexion virustotal.com active avec leur compte utilisateur VT Enterprise. Pour plus d'informations, consultez le Centre d'aide.
Comment profiter de cette fonctionnalité ?
- Administrateurs : Les rapports VirusTotal sont disponibles pour les administrateurs disposant du droit d'accès à l'outil d'investigation de sécurité. Consultez le centre d'aide pour apprendre à utiliser les rapports VirusTotal dans l'outil d'investigation de sécurité.
- Utilisateurs finaux : Ce changement n'a pas d'incidence sur les utilisateurs finaux.
Quand ?
- Domaines à lancement rapide ou planifié : Déploiement progressif à partir du 28 octobre 2021 (visibilité de la fonctionnalité sous 15 jours maximum)
Qui peut en bénéficier ?
- Cette fonctionnalité sera disponible pour les clients Google Workspace Enterprise Plus, Education Standard et Education Plus.
- Elle ne sera pas disponible dans Google Workspace Essentials, Business Starter, Business Standard, Business Plus, Enterprise Essentials, Enterprise Standard, Education Fundamentals, dans l'édition destinée aux associations, ni dans les éditions G Suite Basic et Business.