close
VirusTotalはインシデントの全体像をすばやく構築し、その情報を使用してインシデントやその他の攻撃からの保護を強化できます。

VirusTotal

商品コード:
10012280*1201~10012280*1205

-

メーカーへの確認が必要な製品です。見積依頼からお手続きください。

メーカー:
Chronicle
JANコード:
10002697
関連カテゴリ:
セキュリティ > その他

【ライセンス名】

Basic Professional Enterprise DUET DUET+Feeds
要見積 要見積 要見積 要見積 要見積


VirusTotal 概要

VirusTotalは、調査対象のコンテンツから信号を抽出するための無数のツールに加えて、70を超えるウイルス対策スキャナーとURL/ドメインブロックリストサービスを使用してアイテムを検査します。すべてのユーザーは、ブラウザーを使用してコンピューターからファイルを選択し、VirusTotalに送信できます。VirusTotalは、主要なパブリックWebインターフェイス、デスクトップアップローダー、ブラウザー拡張機能、プログラムAPIなど、多数のファイル送信方法を提供します。

Webインターフェースは、公開されている送信方法の中でスキャンの優先度が最も高くなっています。提出物は、HTTPベースのパブリックAPIを使用して任意のプログラミング言語でスクリプト化できます。 ファイルと同様に、URLは、VirusTotal Webページ、ブラウザ拡張機能、APIなどのさまざまな方法で送信できます。

ファイルまたはURLを送信すると、基本的な結果が送信者と共有されます。また、結果を使用して独自のシステムを改善する審査パートナー間でも共有されます。その結果、ファイル、URL、ドメインなどをVirusTotalに送信することで、グローバルなITセキュリティレベルの向上に貢献しています。

このコア分析は、VirusTotal Communityを含む他のいくつかの機能の基礎でもあります。これは、ユーザーがファイルやURLにコメントしたり、メモを相互に共有したりできるネットワークです。VirusTotalは、悪意のあるコンテンツを検出したり、誤検知(1つ以上のスキャナーによって悪意のあるものとして検出された通常の無害なアイテム)を特定したりするのに役立ちます。

VirusTotalの集約データは、さまざまなウイルス対策エンジン、Webサイトスキャナー、ファイルおよびURL分析ツール、およびユーザーの貢献の出力です。私たちが集約するファイルとURLの特性評価ツールは、ヒューリスティックエンジン、既知の不正な署名、メタデータ抽出、悪意のある信号の識別など、幅広い目的をカバーしています。

VirusTotalによって作成されたスキャンレポートは、パブリックVirusTotalコミュニティと共有されます。ユーザーはコメントを投稿したり、特定のコンテンツが有害かどうかについて投票したりできます。このようにして、ユーザーは、潜在的に有害なコンテンツに対するコミュニティの集合的な理解を深め、誤検知(つまり、1つ以上のスキャナーによって悪意があると検出された無害なアイテム)を特定することができます。

送信されたファイルまたはページのコンテンツは、プレミアムVirusTotalのお客様と共有することもできます。VirusTotalで作成されたファイルコーパスは、サイバーセキュリティの専門家とセキュリティ製品の開発者に、新たなサイバー脅威とマルウェアの動作に関する貴重な洞察を提供します。VirusTotalは、プレミアムサービスの商用サービスを通じて、資格のある顧客とウイルス対策パートナーに、複雑な基準に基づいた検索を実行して有害なファイルのサンプルを特定してアクセスし、さらに調査するためのツールを提供します。これにより、組織が新しい脅威を発見して分析し、新しい緩和策と防御策を構築することができます。

マルウェアの署名は、ウイルス対策会社によって配布されるため、VirusTotalによって頻繁に更新されます。これにより、サービスで最新の署名セットが使用されるようになります。

Webサイトのスキャンは、VirusTotalと共有され、社内に保存されているベンダーデータベースにクエリを実行することによって実行される場合もあれば、ウイルス対策会社のソリューションへのAPIクエリによって実行される場合もあります。そのため、特定の寄稿者がURLをブロックリストに登録するとすぐに、ユーザー向けの評決に反映されます。

VirusTotalは、特定のウイルス対策ソリューションが送信されたファイルを悪意のあるものとして検出したかどうかを通知するだけでなく、各エンジンの検出ラベル(I-Worm.Allaple.genなど)も表示します。同じことがURLスキャナーにも当てはまり、そのほとんどがマルウェアサイト、フィッシングサイト、疑わしいサイトなどを区別します。一部のエンジンは、特定のURLが特定のボットネットに属しているかどうかを明示的に示す追加情報を提供します。

技術的なハイライト

未知のファイルが何をするかを理解する
サンドボックストレースを介して悪意のある活動について学ぶ
歴史的にIPまたはドメインに関連付けられていた同様のアーティファクトに即座にピボットし、見つけます
追加のIoCとフィード防御
関連するマルウェアターゲティングを検索する
あなたの組織/業界
YARAルールを自動的に作成し、ワンクリックでEDRにエクスポート
コミュニティのアップロードをYARAと一致させる
攻撃者のTTPを明らかにする
プログラムでドメイン、IPをチェックし、ファイル、ハッシュ、URL
APIキーをコピーして貼り付けます
SIEM / SOARおよび即座に強化


ライセンスについて

Basic

  • VirusTotal API lookups: 1k/day
  • VirusTotal Intelligence searches/download 300/month
  • VirusTotal Hunting Retrohunt jobs(90day lookback) 2/month
  • VirusTotal Hunting Livehunt YARA Rules:5
  • VirusTotal Hunting VTDIFF automatic YARA rule jobs:5/month
  • VirusTotal Graph-Ability to strore private graphs:add on
  • Threat Hunter Pro:90 day retrospection, more as an add on
  • File Feed:add on
  • URL Feed:add on
  • Sandbox Feed :add on
  • Support:included

Professional

  • VirusTotal API lookups: 10k/day
  • VirusTotal Intelligence searches/download 1k/month
  • VirusTotal Hunting Retrohunt jobs(90day lookback) 5/month
  • VirusTotal Hunting Livehunt YARA Rules:25
  • VirusTotal Hunting VTDIFF automatic YARA rule jobs:25/month
  • VirusTotal Graph-Ability to strore private graphs:add on
  • Threat Hunter Pro:90 day retrospection, more as an add on
  • File Feed:add on
  • URL Feed:add on
  • Sandbox Feed :add on
  • Support:included

Enterprise

Virustotalは15年間の経験で蓄積されたデータからマルウェアの調査や予防の強力な助っ人になります。VT Enterpriseでは下記の機能を提供しています。

VT Intelligence:Virustotalが保持するデータ/情報から対象となるマルウェアを探し出せる検索エンジン

VT Hunting:膨大な情報の中からでもマルウェア亜種の探索も可能なサーチ機能

VT Graph:調査対象の膨大なファイル、URL、ドメイン、IPアドレス等が相互にどう関係しているかをツリー状に図示できる機能

VT API:脅威/重要でなかったりする情報を取り上げることなく誤検出を避け、本当の脅威であるマルウェアを自動でサーチする機能

  • VirusTotal API lookups: 30k/day
  • VirusTotal Intelligence searches/download 5k/month
  • VirusTotal Hunting Retrohunt jobs(90day lookback) 25/month
  • VirusTotal Hunting Livehunt YARA Rules:100
  • VirusTotal Hunting VTDIFF automatic YARA rule jobs:100/month
  • VirusTotal Graph-Ability to strore private graphs:add on
  • Threat Hunter Pro:Max. retrospeciton included
  • File Feed:add on
  • URL Feed:add on
  • Sandbox Feed :add on
  • Support:included

DUET

  • VirusTotal API lookups: 100m/day
  • VirusTotal Intelligence searches/download 20k/month
  • VirusTotal Hunting Retrohunt jobs(90day lookback) 1k/month
  • VirusTotal Hunting Livehunt YARA Rules:20k
  • VirusTotal Hunting VTDIFF automatic YARA rule jobs:10k/month
  • VirusTotal Graph-Ability to strore private graphs:Included
  • Threat Hunter Pro:Max. retrospeciton included
  • File Feed:add on
  • URL Feed:add on
  • Sandbox Feed :add on
  • Support:included

DUET+Feeds

  • VirusTotal API lookups: 100m/day
  • VirusTotal Intelligence searches/download 20k/month
  • VirusTotal Hunting Retrohunt jobs(90day lookback) 1k/month
  • VirusTotal Hunting Livehunt YARA Rules:20k
  • VirusTotal Hunting VTDIFF automatic YARA rule jobs:10k/month
  • VirusTotal Graph-Ability to strore private graphs:Included
  • Threat Hunter Pro:Max. retrospeciton included
  • File Feed:Feeds
  • URL Feed:Feeds
  • Sandbox Feed :Feeds
  • Support:included

サービス概要

VirusTotal Intelligence

GoogleとFacebookを組み合わせて、マルウェアの分野に適用します。
Googleの惑星規模の検索エンジン機能を想像し、Facebookの関係と詳細なプロファイルの特性を追加し、マルウェアと脅威インテリジェンスの分野に組み合わせを適用します。
VirusTotalのデータセットで、バイナリプロパティ、ウイルス対策検出の判定、静的機能、特定のホストやIPアドレスとの通信などの動作パターン、送信メタデータ、その他の多くの概念に従って、マルウェアサンプル、URL、ドメイン、IPアドレスを検索します。調査中の容疑者に類似したファイルを特定します。検索条件に一致するサンプルは、さらに調査するためにダウンロードできます。

■STATIC THREAT INDICATORS
信号を収集して脅威を追跡します。VirusTotalツールは、OfficeドキュメントマクロのOLE VBAコードストリーム、PDFの無効な相互参照テーブル、Windows実行可能ファイルのパッカー詳細、PCAPでトリガーされる侵入検知システムアラート、Exifメタデータ、authenticode署名、その他の無数のプロパティなどの疑わしい信号を抽出します。これらのプロパティをIoCとして使用して、ネットワークの悪さを追跡します。

マルチプロパティ検索は高度な修飾子を介して実行でき、脅威アクターキャンペーンはピボットおよび類似性検索を介して完全にマッピングできます。超高速のバイナリn-gram検索は、ファイル類似性検索を補完して、同じ脅威アクターに関連する攻撃の他の未知の亜種やさまざまなマルウェアを見つけます。

■行動活動とネットワーク通信
マルウェアファイルがどのように機能し、通信するかを理解します。VirusTotalは、仮想制御環境内のファイルを爆発させて、そのアクティビティと通信を追跡し、開いたファイル、作成したファイル、書き込まれたファイル、作成したミューテックス、レジストリキーの設定、接続されたドメイン、URLルックアップなどの詳細なレポートを作成します。

動的分析機能は、実行トレースだけでなく、静的+動的分析プラグインを実行してRATマルウェア構成をデコードし、リアルタイム実行中に観察されなかった可能性のあるネットワークインフラストラクチャを抽出することに焦点を当てています。

■ワイルドな情報
マルウェアの伝播と拡散に使用される脅威の場所と手法に関するコンテキストを取得します。VirusTotalは、サンドボックス化、ファイル間関係の生成、電子メールの添付ファイルの抽出、URLからファイルへのマッピング、ハニーポットからのファイルのラベル付けなどのバックエンドプロセスを実行します。Microsoft Sysinternalsスイートなどのサードパーティツールも、マルウェアの実際のエンドユーザーの目撃情報に関するメタデータを提供します。

■関係とパターン
バックエンドプロセスを利用して、ファイルとネットロック間の関係を理解し、特定の脅威を埋め込んでいる可能性のある電子メールを検出し、ファイルを親ネットワークトラフィックのPCAPにリンクし、同じ発行元によって署名された他のバリアントを検出し、特定の脅威を含む圧縮パッケージを特定します。

■強力な検索ツール
・クラスタリングおよび類似性検索機能。
いくつかのハッシュ/アルゴリズムを使用して類似ファイルを検索します:ssdeepコンテンツ類似性検索、imphash、アイコン視覚的類似性、および独自の社内構造特徴ハッシュ。

・コンテンツ検索
文字列検索だけでなく、5ペタバイトのn-gramインデックスを利用したあらゆる種類のバイナリシーケンスなど、ファイル内に含まれるランダムなバイナリパターンを低遅延で検索します。

・弾力性のある検索
40を超える検索修飾子を使用して、静的、動的、およびリレーショナルプロパティに基づいて対象のマルウェアサンプルを追跡できます。例:タイプ:dmg AND署名: "T8RS3R6DT4" ANDメタデータ: "adharma" AND動作: "pkill-9 -i Flash Update13.6インストーラー"AND(動作: "rp.wacadacaw.com" OR動作:"os.wacadacaw。 com ")

・任意の数の修飾子を組み合わせ
検索パラメータを組み合わせて、非常に複雑な基準に一致するファイルを特定し、ノイズをフィルタリングし、調査に関連する脅威に焦点を当てることができます。


VirusTotal Hunting

YARAルールが一致するたびに通知を受け取り、一致に関する詳細情報を受け取り、関連ファイルをダウンロードしてさらにオフラインで調査します。

■YARA Rule
YARAを使用すると、テキストまたはバイナリパターンに基づいてマルウェアファミリの説明を作成できます。ルールをVirusTotalにアップロードし、セキュリティ業界の監視下にある可能性のある既知の脅威アクターまたはマルウェアファミリーの亜種が使用する新しいツールを追跡します。
VirusTotalのYARAセットアップでは、ウイルス対策ラベル、送信ファイル名、インテリジェンスタグ、ファイルタイプなど、ファイルのバイナリコンテンツだけに基づいて利用できないメタデータやその他の外部の条件を指定できます。

■自動ルール生成
一致するファイルのコレクションを提供し、VirusTotalにルールトリガーとして機能する最適なバイナリサブシーケンスを自動的に提案させます。過去のデータセット全体の統計分析により、低い偽陽性率が保証されます。

■LIVEHUNT:VIRUSTOTALのファイルフラックスにフック
Malware HuntingにアップロードされたYARAルールは、世界中からVirusTotalにライブで送信されるすべてのファイルに適用されます。ルールが一致するたびに、すぐに通知が届きます。通知は、Webインターフェース、電子メールアラートを介して表示したり、RESTAPIを介して取得したりできます。

■APIを介してIOCを生成
この機能をサンドボックスや静的分析などの他のVirusTotal Enterprise機能と組み合わせてプログラムによるワークロードを構築し、セキュリティ防御を強化するための侵入の痕跡のフィードを生成します。

■RETROHUNT:YARA BACK IN TIME
YARAルールを作成し、それを既存のデータセットに過去にさかのぼって適用して、最近発見した可能性のある初期バージョンの攻撃を発見します。攻撃者が時間の経過とともにどのように進化したかを理解します。

■オフライン調査のために試合をダウンロード
ルールに一致するファイルをダウンロードして、オフラインでさらに学習することができます。プロセス全体をRESTAPIで自動化できます。

■VirusTotalグラフでキャンペーンをマップ
クリックするだけで、すべてのレトロハントの一致がVirusTotal GRAPHに転送され、ノードグラフに脅威キャンペーンが視覚的にレイアウトされ、共通点と脅威インフラストラクチャを理解できるようになります。

■リッチハンティング構文
さまざまな種類の文字列
条件用語は、16進文字列、テキスト文字列、または正規表現に依存できます。
■複数の条件
文字列のカウント、文字列のオフセットまたは仮想アドレス、一致の長さ、ファイルサイズ、実行可能エントリポイント、特定の位置のデータ、反復など。

■拡張可能
PEまたはCuckooモジュールなどの特定のモジュールの能力を活用して、ファイルコンテンツ固有のルールを動作または構造条件と組み合わせます。

■VirusTotal固有の外観
タグ、ウイルス対策検出など、ファイルに対してVirusTotalによって生成されたデータ専用の条件を追加します。


VirusTotal Graph

VirusTotalの膨大なデータセットを視覚的にナビゲートし、パターンを展開、ピボット、スポットして、調査の全体像を完成させます。

■関係指向
VirusTotalのバックエンドは、ファイルのダウンロード元のURL、特定のファイルが他のファイルに含まれているかどうか、特定のPortable Executableの親、ドメインからIPアドレスへのマッピングなどの豊富な関係を生成します。 -グラフ内のアイテムリンク。ノードとアークを使用して、調査の対象によって活用された新しいインフラストラクチャとアーティファクトを検出できます。

■セマンティックアイコン
写真は千の言葉の価値があります。検出レベルベースの塗りつぶし、ネットワークインフラストラクチャのカントリーフラグ、関係の種類の画像、およびその他の視覚的な花火を備えたファイルタイプのアイコンは、複数のプレーンデータテーブルを反復処理することを意味する情報の多くを凝縮します。

■脅威カード
グラフ内のノードのいずれかにカーソルを合わせると、VirusTotalによって生成された最も代表的なデータを含むアイテムの概要が表示されます。

■仮想インテリジェンスとの統合
調査したアーティファクトをVirusTotalIntelligenceで開くために必要なのは、シングルクリックだけです。独自の変換やフックをコーディングする必要はありません。APIと統合する必要はありません。


■プライベートグラフ
守秘義務とプライバシーは、調査を保護するための鍵です。プライベートグラフを使用すると、グラフ調査のコンテンツを組織または選択した個人に対してプライベートに保つことができます。

■グラフコラボレーション
一部の調査は非常に複雑で、複数のチームメンバーの入力が必要です。プライベートグラフを使用すると、コンテンツをプライベートに保つと同時に、オンラインケースで共同作業を行うことができます。

■カスタムノード
プライベートグラフは、VirusTotalが知らない情報を追加するのに役立ちます。たとえば、グラフに表示される攻撃の背後にいるアクターなどです。この情報は、類似したスレッドを相互に関連付けたり、特定のキャンペーンの影響を受けたアセットを文書化するのに役立ちます。この情報は、あなたとあなたの組織のみがアクセスできます。

■共通点
共通のパターンと共通点は非常に興味深いものであり、ある意味で調査の重要な部分であるため、オンデマンドで計算することにしました。グラフでノードのグループを選択し、「共通点の検索」をクリックするだけで、選択範囲内の共通属性のリストが表示されます。

■より多くの情報
VirusTotal IntelligenceとGraphは連携して、調査に必要な最も関連性の高い情報を提供します。プライベートグラフには、国ごとの提出物とグラフサンプルの日付が表示されます。

■さらなる拡大
VirusTotal Intelligenceクエリを介して、電子メールの親、埋め込みドメイン、埋め込みIPアドレス、カスタム拡張などのより多くの関係を取得します。


*下記は検索条件に一致するファイルで利用できる追加情報の一部です。

・送信メタデータ
最初に見た日付と最後に見た日付、提出の数、提出ファイル名、提出国、提出日、暗号化された提出者ID、提出インターフェース、個別の提出者の数など。

・静的情報
Sigcheck、パッカー情報、PE構造、Exif属性、ELF構造、パッケージコンテンツ、OLE VBAマクロコードストリーム、疑わしいPDFプロパティ、埋め込みファイルアイコンなど。

・動的情報
主要なオペレーティングシステム(Windows、Android、OS X、Linux)のサンドボックス実行による動作の特性評価。

・完全なスキャン情報
最新のスナップショットだけでなく、特定のサンプルに関するすべてのレポート。脅威の検出が時間の経過とともにどのように進化するかを理解し、マルウェアの実際の寿命を発見します。

・テレメトリメタデータ
パートナーツールは、豊富なエンドユーザーPCメタデータをデータセットに提供します。たとえば、再起動時に実行可能ファイルが自動起動用に登録されているWindowsレジストリキー、エンドユーザーマシンでの作成日、ファイルのフルネームとパスなどです。

・グッドウェアとホワイトリストの情報
Goodwareインデックス、VirusTotalコミュニティの投票、公開されているGoodwareデータベースの集約、およびトップパートナーによって共有され、VirusTotalMonitorから取り込まれた正当なソフトウェアホワイトリストの詳細。


■多様な情報源
・グローバルな起源
232の一意のISO国コードから送信されたファイル。これには、昨年のほぼ300万の異なるソースが含まれます。

・多型変異体の構造的クラスタリング
平均的な月の間に1日あたり198,000のクラスターが生成されました。機能ハッシュを含むすべてのファイルの約35%が、上位200のコレクションにクラスター化されています。

・ファイルタイプ
平均して、1日あたり100を超える識別されたファイルタイプが見られます。例:Win32 DLL、Win32、EXE、HTML、Javaバイトコード、Android、PDF、テキスト、Mach-O、ZIP、PNG、XML、MS Word、JPEG、ELF、RAR、Office Open XML、C ++、C、GZIP、JAR 、DOS、EXE、MS Excel、MP3、Python、7ZIP、Windows、GIF、Email

・ITWファイルの出所
発信元情報を含む4億を超えるファイル。個別のURLからの1億を超えるポータブル実行可能ファイル。豊富なテレメトリデータを含む2億を超えるファイル。豊富なコンテキスト情報のための500万通以上の電子メール。


Learning resources

■アウトスマートマルウェア
VirusTotal Intelligenceを使用すると、ネットワークに影響を与えるマルウェアの脅威を探すことができます。
VirusTotal Intelligenceを使用すると、ネットワーク内のマルウェアに対する防御を強化できます。
詳細は下記
https://vt-gtm-wp-media.storage.googleapis.com/vti-threat-hunting-use-case.pdf"


■脅威調査のためのVirusTotalIntelligence VirusTotal Intelligenceは、マルウェアの脅威の調査を加速するための広範な情報を提供します。アナリストは、攻撃の全体像をすばやく構築し、その情報を使用して他の攻撃からの保護を強化できます。 調査の過程で、セキュリティアナリストとインシデントレスポンダーにはファイルハッシュが提示され、攻撃の意味を理解するように求められることがよくあります。 ドットをVirusTotalに接続し、プロットを明らかにします。 詳細は下記
https://vt-gtm-wp-media.storage.googleapis.com/vti-threat-investigation-use-case.pdf"


■トロイの木馬をバンキングするためのVirusTotalIntelligence
VirusTotal Intelligenceの高度な機能を使用してバンキング型トロイの木馬を無効にします。

特定の業界は、特にパスワードを盗むトロイの木馬のリスクにさらされています。このトロイの木馬は、顧客のアカウントクレデンシャルを取得し、それらを使用して資金を転送します。金融サービスは、クレデンシャルの盗難のリスクが非常に高く、コストの増加と評判の低下につながります。
VTIを使用して、バンキング型トロイの木馬をサポートするインフラストラクチャをシャットダウンします。
詳細は下記
https://vt-gtm-wp-media.storage.googleapis.com/vti-banking-trojans-use-case.pdf"

VirusTotal 公式チュートリアル

●VirusTotal Intelligence Interface のチュートリアル
●VirusTotalグラフのチュートリアル
●VirusTotal Huntingのチュートリアル
●VirusTotal-実践-自社のドメインに似たタイポスクワットドメインを見つけるには?
●VirusTotal-HandsOn-API Keyを使用してCVEのリストを取得
●VirusTotal-HandsOn-サイバー攻撃の全体像をどう構築するか?
●VirusTotal-HandsOn-インフラを悪用した悪質な行為を探すにはどうしたらよいのか?

メーカーの製品サイト
https://www.virustotal.com/gui/

【言語】英語