アラート センターから VirusTotal レポートを表示するには、特権管理者に [アラート センター] > [フルアクセス] > [VirusTotal レポートの表示] 権限を割り当ててもらう必要があります。また、Business Plus、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus のいずれかの Google Workspace エディションが必要です。
Google Cloud に加わった VirusTotal が提供する脅威のコンテキストおよび評価データは、不審なファイル、URL、ドメイン、IP アドレスを分析してサイバーセキュリティ上の脅威を検出するのに役立ちます。VirusTotal レポートには、ドメイン、添付ファイル、IP アドレスが高リスクと見なされた理由についてクラウドソーシングで収集された詳細情報が多数含まれます(詳しくは、VirusTotal のウェブサイトをご覧ください)。
VirusTotal レポートにはアラート センターのアラートの詳細ページから直接アクセスできます。これにより、特定のアラートに関連する脅威のコンテキストおよび評価データを取得できます。たとえば、複数のセキュリティ ベンダーが特定のドメインを不正であると報告していることが VirusTotal レポートからわかる場合があります。
注:
- VirusTotal は、セキュリティ通知を作成したり、マルウェアなどのセキュリティ上の脅威を検出したりするものではありません。詳細なセキュリティ情報を提供することでアラートの詳細を強化し、セキュリティ上の懸念に対処しながら意思決定を行えるように支援するものです。
- 管理者が VirusTotal レポートの表示に同意した場合にのみ、データ(ドメイン、IP アドレス、添付ファイルのハッシュ)が VirusTotal と共有されます。管理者の同意なくデータが共有されることはありません。
- VirusTotal データは広範なセキュリティ コミュニティで共有されます。これにより、セキュリティ ベンダーは相互に連携して重要な情報を共有し、セキュリティ上の脅威に対抗できます。
- セキュリティ調査ツールで VirusTotal レポートを表示し、メールの添付ファイルに関連する追加のセキュリティ分析情報を得ることもできます。詳しくは、調査ツールで VirusTotal レポートを表示するをご覧ください。
VirusTotal レポートの表示
アラートの詳細ページで VirusTotal レポートを表示するには:
-
-
管理コンソールで、メニュー アイコン [セキュリティ] [アラート センター] にアクセスします。
- 詳細を表示するために、特定のアラートをクリックしてアラートの詳細ページを開きます。
- [アラートの詳細] またはメッセージの欄で、[VirusTotal のレポートを表示] をクリックします。
この項目はドメイン(通常はアクターのメールアドレス、IP アドレス、または添付ファイルのハッシュ)を含むアラートでのみ使用可能です。
VirusTotal レポートの複数の項目に、潜在的なセキュリティ上の脅威に関する詳細情報が表示されます。たとえば、特定のファイルを不正であると報告したセキュリティ ベンダーのリストと、各ベンダーによるファイル スキャンの結果を確認できます。
VirusTotal レポートの標準版と詳細版
VirusTotal レポートには、標準版と詳細版の 2 つのバージョンがあります。アラート センターの権限を持ち、必要な Google Workspace エディションを利用している管理者には、標準版が表示されます。VirusTotal の有料版をご利用になっていて、VT Enterprise ユーザー アカウントで有効な virustotal.com ログイン セッションを保持しているユーザーには、詳細版のレポートが自動的に表示されます。
VT Enterprise の詳細と試用版のリクエストについては、VirusTotal のウェブサイトでサービスの概要をご確認ください。VT Enterprise に申し込む場合は、こちらのフォームを送信してください。
標準版に含まれる機能VirusTotal レポートの標準版には次の機能が含まれます。
- 監視可能な識別情報: 脅威を示して他のアナリストと情報を共有する際に使用できる識別子と特性(ファイルのハッシュなど)
- 脅威の評価: 70 社以上のセキュリティ ベンダーによる不正評価(ウイルス対策ソリューション、セキュリティ企業、ネットワーク拒否リストなど)
- 時間の経過に伴う脅威の拡散: 特定の脅威が最初に確認された時期と、その活動期間の把握に役立つ主な日付
- ドメインと IP の WHOIS 検索: ドメインの登録事業者と登録者の詳細情報、IP アドレスの所有権とネットワーク範囲の情報
- ドメインとサーバーのセキュリティ関連メタデータ: ウェブサーバーの HTTPS 証明書、DNS 解決レコード、ウェブサーバーの HTTP ヘッダー。
VirusTotal レポートの詳細版には、標準版と同じ機能に加えて以下の機能が含まれます。
- マルチアングル検出: クラウドソーシングされたルールの照合とコミュニティのスコアリングによる脅威の詳細分析(YARA、Sigma、IDS ルールなど)。
- 関連するセキュリティ侵害インジケーター(IOC): マルウェア ファイルを配布するネットワーク インフラストラクチャ、特定の脅威のコマンド アンド コントロールとして機能するサーバー、特定のドメイン内の悪意のある URL、IP アドレスの背後にあるドメインなど。
- 脅威の相互作用を示す図: IOC 間の関係を可視化して、脅威の活動全体の関連性をグラフィカルに表示
- セキュリティ関連のメタデータ: ソフトウェア発行元の情報、ドキュメント内の不正なマクロの識別情報、ドメインの感染状況レベル、ドメインのコンテンツ分類など
- 拡散の詳細: 一般的な攻撃手法や脅威などの地理的および経時的拡散に関する詳細情報(VirusTotal 提供のメタデータを使用)
- 不審な属性のピボット操作: 同じプロパティを共有している他の脅威を VirusTotal のグローバルなデータセットで検索できるクリック可能な詳細。
詳細版のメリットとユースケース
- 改善された脅威検出: クラウドソーシングされたルールを利用して、まだセキュリティ ベンダーに広く知られていない脅威でも、コンテキストを特定して入手できます。
- 迅速な調査と意思決定: クラウドソーシングされたコンテキストを使って内部調査を行い、セキュリティ チームの効率を高めます。攻撃者は他の組織も標的にするので、その痕跡が VirusTotal で見つかります。これによって、セキュリティ チームは概要を把握できます。VirusTotal レポートの詳細版を使って偽陽性を破棄し、真陽性を確認してエスカレーションすれば、大幅に効率が上がります。
- 改善された脅威修正: インタラクティブな脅威グラフと関連アーティファクトを使って、該当するアラートに関連付けられた IOC を特定し、これをもとにセキュリティ テレメトリーを検索して組織が受ける攻撃の影響を完全に把握します。たとえば、アラートに含まれるドメインからダウンロードされたマルウェア ファイルが存在するかどうか、存在する場合はそのハッシュがネットワーク内で確認されているかどうかを特定できます。
- 事前防御策: VT Enterprise にピボットして、ログに記録されていない可能性がある脅威インフラストラクチャを確認できます。または同じ脅威アクターによって操作された他のマルウェアを特定し、組織に影響が及ぶ前にネットワーク境界とエンドポイントでこのマルウェアをブロックすることも可能です。たとえば、同じ脅威アクターによって登録され、まだ攻撃に使われていない可能性がある他のドメインにピボットし、将来的に会社への攻撃に利用される場合に備えてこれらのドメインを予防的にブロックできます。
VirusTotal レポート機能の詳細については、VirusTotal のウェブサイトでサービスの概要をご確認ください。How it works - VirusTotal をご覧いただくことも、お問い合わせいただくこともできます。
VT Enterprise アカウントの申し込み
前述したように、VirusTotal レポートの詳細版では追加の脅威インテリジェンス サービスと高度な機能を利用できます。VT Enterprise の申し込みについて詳しくは、VirusTotal チームまでお問い合わせください。
法的通知
VirusTotal は、不審なファイル、URL、ドメイン、IP アドレスを分析してマルウェアなどの脅威を検出し、その結果を自動的にセキュリティ コミュニティで共有する Alphabet のサービスです。
VirusTotal レポートを表示するには、添付ファイルのハッシュ、IP アドレス、またはドメインを VirusTotal に送ることになります。
お客様は VirusTotal を利用することにより、お送りいただいたデータに VirusTotal の利用規約とプライバシー ポリシーが適用されること、お送りいただいたデータを VirusTotal がセキュリティ コミュニティで共有する可能性があることに同意するものとします。
よくある質問
VirusTotal レポートの標準版の使用に追加の費用はかかりますか?いいえ。アラート センターの権限を持ち、Business Plus、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus のいずれかをご利用の管理者様であれば、VirusTotal レポートの標準版をお使いいただけます。
操作性を高め、詳細な脅威コンテキストと評価によって意思決定と調査の能力を改善するには、有料の VT Enterprise サブスクリプションが必要です。
はい。有料の VirusTotal サブスクリプション(VT Enterprise)をご利用の場合は、アラート センター内に詳細版の結果が表示されます。これは VirusTotal の割り当てには影響しません。割り当てが消費されるのは、virustotal.com ページを開いた場合のみです。
VT Enterprise の詳細と試用版のリクエストについては、VirusTotal のウェブサイトでサービスの概要をご確認ください。VT Enterprise に申し込む場合は、こちらのフォームを送信してください。
はい。VT Enterprise を使用すると、特にセキュリティ オペレーション センター、コンピュータ緊急対応チーム、インシデント対応チーム、脅威インテリジェンス部門に関連する他のユースケースを実現できます。
- 自動化されたセキュリティ テレメトリー強化: アラートの分類、偽陽性の破棄、真陽性の確認、信頼相関などがあります。
- インシデント対応とフォレンジック分析: セキュリティ オペレーション アラートの分類、インシデント分析とコンテキスト、アーティファクト分析、IOC の特定などがあります。
- 脅威インテリジェンスと高度な調査: 未知の脅威の発見、脅威キャンペーンのモニタリング、攻撃者の追跡、予防的な IOC の特定、脅威の状況の分析、状況認識などがあります。
- フィッシング対策、不正防止、ブランドと企業インフラのモニタリング: フィッシング キャンペーンの追跡、バンキング型トロイの木馬と情報搾取の分析、ブランドなりすましのモニタリング、マルウェア配布と企業インフラ不正使用の特定などがあります。
- レッドチーム演習と倫理的ハッキング: 調査と受動的なフィンガープリント、違反と攻撃のシミュレーション、セキュリティ スタックの検証などがあります。
- 脆弱性の優先順位付け: リスクに応じた効果的なパッチ適用戦略、実際に確認されている脆弱性の武器化のモニタリング、脅威アクターと脆弱性悪用のマッピングなどがあります。
VT Enterprise によってセキュリティ オペレーションが強化される仕組みについては、VirusTotal 360 の概要をご覧ください。詳しくは、VirusTotal のスペシャリストまでお問い合わせください。
いいえ。すべての機能は VirusTotal レポートの表示を管理者が選択していることが前提となります。管理者がこの操作を行った後にのみ、ファイル ハッシュ、ドメイン、IP アドレスが VirusTotal に共有され、選択したエンティティでリスク評価レポートがリクエストされます。
いいえ。アラート センターで VirusTotal レポートを開いても VT Enterprise の割り当てが消費されることはありません。管理者がさらに詳しく調査するためにアラート センターから VirusTotal のウェブサイトを開いた場合は、virustotal.com に直接アクセスしたときと同じように標準的な割り当ての使用にカウントされます。
いいえ。ファイル ハッシュのみが VirusTotal に送信されます。
いいえ。メールアドレスのドメイン部分のみが VirusTotal に送信されます。