Friday, August 6, 2021

El enriquecimiento del Centro de alertas con el contexto de amenazas de VirusTotal ahora está disponible para el público en general

Este artículo es la traducción del blog inglés publicado el 26 de julio.



¿Qué cambios implementamos? 

Este año, preanunciamos una integración entre el Centro de alertas y VirusTotal. Actualmente, el Centro de alertas de Google Workspace ofrece a los administradores alertas prácticas en tiempo real y estadísticas de actividad relacionada con la seguridad en su dominio. Con la integración de VirusTotal (que ahora forma parte de Google Cloud), los administradores ya pueden indagar en sus alertas a un nivel más profundo. 
 
 
Cuando una notificación del Centro de alertas contiene una entidad admitida por VirusTotal, como un dominio, el hash de un archivo adjunto o una dirección IP, el widget de enriquecimiento de informes de VirusTotal (VT Augment) está disponible directamente en el Centro de alertas. Para los suscriptores que pagan por VirusTotal, se propagará automáticamente una versión mejorada del informe.
 
 
La versión Standard de los informes de VirusTotal incluye lo siguiente:
  • Identificación observable: Identificadores y características que permiten hacer referencia a la amenaza y compartirla con otros analistas (por ejemplo, los hashes de archivos)
  • Reputación de la amenaza: Evaluaciones de elementos maliciosos procedentes de más de 70 proveedores de seguridad, que incluyen empresas de seguridad y proveedores de soluciones antivirus y listas de redes bloqueadas, entre otros
  • Tiempo de expansión de la amenaza: Fechas clave que permiten comprender cuándo se observó por primera vez una amenaza en circulación y cuánto tiempo ha estado activa
  • Búsqueda de IP y dominios en WHOIS: Detalles de los registradores y los registrantes de dominios, así como información sobre la propiedad y el rango de red correspondiente a direcciones IP
  • Metadatos relevantes sobre la seguridad de dominios y servidores: Certificados HTTPS para servidores web, registros de resolución de DNS y encabezados HTTP de servidores web
La versión Enhanced de los informes de VirusTotal incluye funciones adicionales como las siguientes:
  • Detección multiangular: Análisis adicional de amenazas procedente de la coincidencia de reglas de participación colectiva y de la puntuación de la comunidad (por ejemplo, reglas de YARA, IDS y Sigma)
  • Indicadores de compromiso (IOC) relacionados: Algunos ejemplos de IOC son una infraestructura de red que distribuye un archivo de software malicioso, servidores que actúan como comando y control de una amenaza determinada, URL maliciosas vistas en un determinado dominio y dominios vistos detrás de una determinada dirección IP, entre otros
  • Gráfico interactivo de amenazas: Formato gráfico que mapea campañas completas de amenazas mostrando las relaciones entre los IOC
  • Metadatos relevantes sobre seguridad: Contienen información sobre el publicador del software, identificación de macros maliciosas en documentos, clasificaciones de popularidad de los dominios y categorización del contenido de los dominios, entre otros datos
  • Detalles de las amenazas en circulación: Detalles geográficos y temporales de expansión de las amenazas, técnicas habituales de engaño de los atacantes, etc., a través de metadatos de envío de VirusTotal
  • Pivoteo a partir de atributos sospechosos: Detalles en los que se puede hacer clic dentro de los informes de VirusTotal, que permiten explorar el conjunto de datos global de VirusTotal en busca de otras amenazas que compartan las mismas propiedades
Visite el Centro de ayuda y consulte más información acerca de cómo usar los informes de VirusTotal sobre contexto de amenazas a la seguridad y sobre reputación desde el Centro de alertas para mejorar la identificación de amenazas, acelerar las investigaciones y la toma de decisiones, solucionar mejor las amenazas y llevar adelante una defensa proactiva.
 
 

¿A quiénes afecta el cambio?

Administradores
 
 

¿Por qué es importante?

La integración de VirusTotal agrega una capa de investigación a las alertas existentes y permite que los administradores analicen mejor las amenazas y los posibles abusos, lo que los ayuda a proteger mejor su organización y sus datos.
 
 

Detalles adicionales

VirusTotal brinda una capa de investigación que se suma a las alertas, pero no se usa directamente para detectar o alertar. Google no comparte ninguna información de los clientes con VirusTotal, salvo que un administrador haga clic para recuperar un informe de VirusTotal correspondiente a una entidad específica. 
 
 
Los informes de VirusTotal tienen dos versiones: la Standard y la Enhanced. Los informes Standard se muestran a los administradores que tienen el privilegio del Centro de alertas. La versión Enhanced es la que se muestra automáticamente a los suscriptores que pagan por VirusTotal y que tienen una sesión activa iniciada en virustotal.com con su cuenta de usuario de VT Enterprise.
 
 
En el caso de los clientes actuales de VT Enterprise, si ven los informes de VirusTotal en el Centro de alertas, NO usan su cuota de VT Enterprise. Si un administrador abre el sitio web de VirusTotal para investigar más desde el Centro de alertas, esa actividad cuenta como uso estándar de cuota del mismo modo que si visita directamente virustotal.com.
 
 

Cómo comenzar

  • Administradores: Los informes de VirusTotal están disponibles para los administradores que tienen el privilegio del Centro de alertas. Visite el Centro de ayuda para consultar más información sobre cómo usar los informes de VirusTotal en el Centro de alertas.
  • Usuarios finales: Los usuarios finales no se verán afectados.
     

Ritmo de lanzamiento

 

Disponibilidad

  • Disponible para clientes de Google Workspace Business Plus, Enterprise Standard, Enterprise Plus, Education Fundamentals y Education Plus
  • No disponible para clientes de Google Workspace Essentials, Business Starter, Business Standard, Enterprise Essentials, Frontline y Nonprofits, ni para los de G Suite Basic y Business