Este artículo es la traducción del blog inglés publicado el 28 de octubre.
Qué cambios implementaremos
Este año, anunciamos una integración entre VirusTotal y el Centro de alertas, lo que proporciona a los administradores la capacidad para analizar alertas de seguridad en mayor detalle. A partir de hoy, los administradores también pueden usar la herramienta de investigación de seguridad para consultar informes de VirusTotal, obtener información más detallada sobre registros de eventos de Gmail y usar esos datos para tomar decisiones más informadas acerca de cómo proteger a los usuarios y datos.
En la herramienta de investigación de seguridad, seleccione "Ver el informe de VirusTotal" para consultar el resultado de una investigación específica.
En el informe, se incluirán más detalles sobre posibles amenazas de seguridad.
La versión estándar de los informes de VirusTotal incluye lo siguiente:
- Identificación de archivos: Identificadores y características que permiten hacer referencia a la amenaza y compartirla con otros analistas (hashes de archivos, tipo de archivo, tamaño, etc.).
- Reputación de la amenaza: Evaluaciones de elementos maliciosos procedentes de más de 70 proveedores de seguridad, que incluyen empresas de seguridad.
- Tiempo de expansión de la amenaza: Fechas clave que permiten comprender cuándo se observó por primera vez una amenaza en circulación y cuánto tiempo ha estado activa.
La versión mejorada de los informes de VirusTotal incluye funciones adicionales como las siguientes:
- Detección multiangular: Análisis adicional de amenazas procedente de la coincidencia de reglas de participación colectiva y de la puntuación de la comunidad (por ejemplo, reglas de YARA, IDS y Sigma).
- Información de la lista de entidades permitidas: Detalles útiles para optimizar el descarte de falsos positivos (National Software Reference Library, distribuidores de software, el feed de metadatos limpios de Microsoft, etcétera).
- Indicadores de compromiso (IOC) relacionados: Algunos ejemplos de IOC son una infraestructura de red que distribuye un archivo de software malicioso, servidores que actúan como comando y control de una amenaza determinada, vectores de entrega de primera etapa para un archivo que se está estudiando, etcétera.
- Gráfico interactivo de amenazas: Formato gráfico que mapea campañas completas de amenazas mostrando las relaciones entre los IOC.
- Metadatos relevantes sobre seguridad: Contienen información sobre el publicador del software, identificación de macros maliciosas en documentos, permisos de aplicaciones de Android, etcétera.
- Detalles de las amenazas en circulación: Detalles geográficos y temporales de expansión de las amenazas, técnicas habituales de engaño de los atacantes, etc., a través de metadatos de envío de VirusTotal.
- Pivoteo a partir de atributos sospechosos: Detalles en los que se puede hacer clic dentro de los informes de VirusTotal, que permiten explorar el conjunto de datos global de VirusTotal en busca de otras amenazas que compartan las mismas propiedades.
¿A quiénes afecta el cambio?
Administradores
Por qué es importante
Integrar VirusTotal con notificaciones y advertencias existentes que hayan surgido por medio de la herramienta de investigación de seguridad proporciona a los administradores información más detallada acerca de posibles amenazas.
Al otorgar a los administradores más contexto de estas amenazas, pueden tomar medidas rápidas con confianza para proteger a sus usuarios y datos. Por ejemplo, los administradores pueden usar VirusTotal para investigar en mayor profundidad inconsistencias con las cuentas de usuarios y determinar si su dispositivo está infectado con un virus. La herramienta de integración de VirusTotal también se puede usar para determinar si alguno de los archivos adjuntos compartidos es malicioso y si el archivo adjunto pasó por otro sector de la organización.
Detalles adicionales
VirusTotal brinda una capa de investigación que se suma a las alertas, pero no se usa directamente para detectar o alertar.
Los datos (los hash de los archivos adjuntos) solo se comparten con VirusTotal después de que el administrador decide ver el informe de VirusTotal. De lo contrario, no se comparten datos.
Los datos de VirusTotal se comparten con la comunidad de seguridad en general. Esto permite que los proveedores de seguridad colaboren entre sí, compartan detalles importantes y tomen medidas para combatir las alertas de seguridad.
Los informes de VirusTotal tienen dos versiones: la estándar y la mejorada. La versión estándar se muestra para los administradores que tienen el privilegio Centro de seguridad > VirusTotal > Ver informe y una de las ediciones requeridas de Google Workspace. La versión mejorada es la que se muestra automáticamente a los suscriptores que pagan por VirusTotal y que tienen una sesión activa iniciada en virustotal.com con su cuenta de usuario de VT Enterprise. Para obtener más información, visite el Centro de ayuda.
Cómo comenzar
- Administradores: Los informes de VirusTotal están disponibles para los administradores que tienen acceso a la herramienta de investigación de seguridad. Visite el Centro de ayuda para obtener más información sobre cómo usar los informes de VirusTotal en la herramienta de investigación de seguridad.
- Usuarios finales: Los usuarios finales no se verán afectados.
Ritmo de lanzamiento
- Dominios de lanzamiento rápido y programado: Lanzamiento gradual (hasta 15 días para la visibilidad de la función) a partir del 28 de octubre de 2021
Disponibilidad
- Está disponible para clientes de Google Workspace Enterprise Plus, Education Standard y Education Plus.
- No está disponible para clientes de Google Workspace Essentials, Business Starter, Business Standard, Business Plus, Enterprise Essentials, Enterprise Standard, Education Fundamentals, Frontline y Nonprofits, así como de G Suite Basic y Business.