Chronicle
Chronicle Security ist ein Cybersicherheitsanbieter, der heute Teil der Google Cloud Platform ist. Unter dem Dach von Chronicle hat Google verschiedene Informationssicherheitslösungen zusammengefasst, u.a. das von Hispasec Sistemas gegründete und 2012 übernommene VirusTotal.
2018 wurde Chronicle in die Google Cloud Dienste integriert.
VirusTotal
VirusTotal ist nicht nur eine kostenlose Plattform über die jeder Nutzer verdächtige Dateien hochladen und von einer großen Anzahl verschiedener Virenscanner prüfen lassen kann.
Tatsächlich ist VirusTotal inzwischen eine der weltweit größten Plattformen für den Austausch von Bedrohungsdaten und verfügen über Partnerschaften, an denen nicht nur Antivirenhersteller sondern jedes Team mitarbeiten kann, Dateien und Schadprogramme zu bewerten. Dutzende von Unternehmen arbeiten mit passiven DNS-Informationen, Sandbox-Berichten, Herkunftsdetails, statischen Analysetools usw. zusammen.
VirusTotal verfolgt einen 360º-Charakterisierungsansatz für Angreiferkampagnen. VirusTotal verarbeitet und versteht Dateien, URLs, Domänen, IPs, usw. Sie kaufen nicht einfach einen Hash-Checker, sondern ein Teleskop und ein Mikroskop für jede Art von Bedrohung, die Sie beobachten können.
VT Intelligence
VT Intelligence extrahiert und indexiert Dateien, URLs, Domänen und IP-Adressen mit verwertbaren Eigenschaften und Metadaten aus Sicht der Sicherheit und Bedrohungsanalyse. Zu den indizierten Daten gehören unter anderem: Sandbox-Verhalten, Netzwerkinformationen, Office-Makros, PE-Importe/Exporte, Authenticode-Signaturen, Whois-Lookups, DNS-Auflösungen, SSL-Zertifikate, Herkunft, Popularitätsrankings, Antivirus-Labels usw.
Die Suche nach mehreren Eigenschaften kann über erweiterte Modifikatoren durchgeführt werden, und Kampagnen von Bedrohungsakteuren können durch Pivotierung und Ähnlichkeitssuche vollständig abgebildet werden.
Jede auf VirusTotal hochgeladene Datei kann heruntergeladen werden, um sie offline weiter zu untersuchen, einschließlich Disassemblierung und Fehlersuche, Ausführung von Dateien in einer speziellen Analyseinfrastruktur wie Sandboxen, die Ihrer Umgebung ähneln, usw.
VT API
VT API ist eine RESTful-Schnittstelle zum VirusTotal-Datensatz, die es Ihnen ermöglicht, Ihre Unternehmenssysteme und Arbeitsabläufe programmatisch mit unserem Wissen über Bedrohungen bis zurück ins Jahr 2004 zu verbinden. Alle für die oben genannten Komponenten beschriebenen Funktionen sind über die API zugänglich, so dass Sie mit dieser Lösung jede Art von Observablen anreichern können: Dateien, URLs, IPs, Domains usw.
Zu den abrufbaren Datenpunkten gehören unter anderem: Bewertungen, Sandbox-Verhalten, Netzwerkinformationen, Office-Makros, PE-Importe/Exporte, Authenticode-Signaturen, Whois-Lookups, DNS-Daten, SSL-Zertifikate, Herkunftsinformation, Popularitätsrankings usw. Viele Sicherheitslösungen von Drittanbietern verfügen über eine VT-API-Integration, was bedeutet, dass die Anreicherung von Bedrohungen manchmal nur das Einfügen des API-Schlüssels in ein Konfigurationsformular erfordert.
Ihr Nutzen
- Erweitern und ordnen Sie Alarme ein, um bessere und schnellere Entscheidungen zu treffen
- Generieren Sie IoCs, die Sie zur Verstärkung Ihrer Sicherheitsabwehr verwenden können
- Verfolgen Sie die Entwicklung von Malware-Familien und Bedrohungsakteuren mit YARA
- Laden Sie Malware für eine erweiterte Offline-Analyse herunter
- Zeichnen Sie Angreiferkampagnen in kollaborativen Knotengraphen auf
- Nahtlose Einbindung globaler Bedrohungsdaten in Ihr SIEM, SOAR, IDS, etc.
- Verbessern Sie die Leistung Ihrer SOC-Analysten radikal
Unsere Leistung
Wir beraten Sie bei der Integration der VirusTotal Threat Intelligence Feeds in Ihre Infrastruktur. Wir setzen mit Ihnen die notwendige Konfiguration um. Wir unterstützen Sie bei der Analyse und Auswertung von Schadprogrammen.