Chronicle

VirusTotal ist nicht nur eine kostenlose Plattform über die jeder Nutzer verdächtige Dateien hochladen und von einer großen Anzahl verschiedener Virenscanner prüfen lassen kann.

Tatsächlich ist VirusTotal inzwischen eine der weltweit größten Plattformen für den Austausch von Bedrohungsdaten und verfügen über Partnerschaften, an denen nicht nur Antivirenhersteller sondern jedes Team mitarbeiten kann, Dateien und Schadprogramme zu bewerten. Dutzende von Unternehmen arbeiten mit passiven DNS-Informationen, Sandbox-Berichten, Herkunftsdetails, statischen Analysetools usw. zusammen.

VirusTotal verfolgt einen 360º-Charakterisierungsansatz für Angreiferkampagnen. VirusTotal verarbeitet und versteht Dateien, URLs, Domänen, IPs, usw. Sie kaufen nicht einfach einen Hash-Checker, sondern ein Teleskop und ein Mikroskop für jede Art von Bedrohung, die Sie beobachten können.

VT Intelligence extrahiert und indexiert Dateien, URLs, Domänen und IP-Adressen mit verwertbaren Eigenschaften und Metadaten aus Sicht der Sicherheit und Bedrohungsanalyse. Zu den indizierten Daten gehören unter anderem: Sandbox-Verhalten, Netzwerkinformationen, Office-Makros, PE-Importe/Exporte, Authenticode-Signaturen, Whois-Lookups, DNS-Auflösungen, SSL-Zertifikate, Herkunft, Popularitätsrankings, Antivirus-Labels usw.

Die Suche nach mehreren Eigenschaften kann über erweiterte Modifikatoren durchgeführt werden, und Kampagnen von Bedrohungsakteuren können durch Pivotierung und Ähnlichkeitssuche vollständig abgebildet werden.

Jede auf VirusTotal hochgeladene Datei kann heruntergeladen werden, um sie offline weiter zu untersuchen, einschließlich Disassemblierung und Fehlersuche, Ausführung von Dateien in einer speziellen Analyseinfrastruktur wie Sandboxen, die Ihrer Umgebung ähneln, usw.

VT API ist eine RESTful-Schnittstelle zum VirusTotal-Datensatz, die es Ihnen ermöglicht, Ihre Unternehmenssysteme und Arbeitsabläufe programmatisch mit unserem Wissen über Bedrohungen bis zurück ins Jahr 2004 zu verbinden. Alle für die oben genannten Komponenten beschriebenen Funktionen sind über die API zugänglich, so dass Sie mit dieser Lösung jede Art von Observablen anreichern können: Dateien, URLs, IPs, Domains usw.

Zu den abrufbaren Datenpunkten gehören unter anderem: Bewertungen, Sandbox-Verhalten, Netzwerkinformationen, Office-Makros, PE-Importe/Exporte, Authenticode-Signaturen, Whois-Lookups, DNS-Daten, SSL-Zertifikate, Herkunftsinformation, Popularitätsrankings usw. Viele Sicherheitslösungen von Drittanbietern verfügen über eine VT-API-Integration, was bedeutet, dass die Anreicherung von Bedrohungen manchmal nur das Einfügen des API-Schlüssels in ein Konfigurationsformular erfordert.

• Erweitern und ordnen Sie Alarme ein, um bessere und schnellere Entscheidungen zu treffen
• Generieren Sie IoCs, die Sie zur Verstärkung Ihrer Sicherheitsabwehr verwenden können
• Verfolgen Sie die Entwicklung von Malware-Familien und Bedrohungsakteuren mit YARA
• Laden Sie Malware für eine erweiterte Offline-Analyse herunter
• Zeichnen Sie Angreiferkampagnen in kollaborativen Knotengraphen auf
• Nahtlose Einbindung globaler Bedrohungsdaten in Ihr SIEM, SOAR, IDS, etc.
• Verbessern Sie die Leistung Ihrer SOC-Analysten radikal

Wir beraten Sie bei der Integration der VirusTotal Threat Intelligence Feeds in Ihre Infrastruktur. Wir setzen mit Ihnen die notwendige Konfiguration um. Wir unterstützen Sie bei der Analyse und Auswertung von Schadprogrammen.

Vereinbaren Sie einfach einen Termin mit uns.