VirusTotal

最后更新于:

本页面内容

EventLog Analyzer的高级威胁分析插件

注:VirusTotal 是整合众多安全厂商提供的 IP、URL、域名及文件风险评分的最大实时威胁情报源之一。EventLog Analyzer 的此项集成采用自带密钥(BYOK)模式。若您已单独购买 VirusTotal 访问权限,可使用您的 API 密钥在 EventLog Analyzer 中分析威胁源。

VirusTotal服务条款:

用户可通过两种方式访问VirusTotal API:

  1. 公共 API:提供免费访问权限,但存在特定限制,包括请求频率限制及较低访问优先级。
  2. 高级API:提供无请求频率限制的专属访问权限及优先级访问,并附带额外权益。

推荐方案:针对企业级工作流,建议采用高级API进行集成。

如需了解VirusTotal的详细服务条款隐私政策及 API使用 规范请访问其官方网站

配置

注意:请参阅 VirusTotal隐私政策,了解用户提交数据如何用于分析,以及其数据处理、共享、保留和删除的相关政策。

购买高级威胁分析附加组件并激活许可后,请前往高级威胁分析页面。

导航路径:设置 → 管理员设置 → 管理 → 威胁源 → 高级威胁分析 → VirusTotal → 集成
virustotal

获取 API 密钥:

  1. 访问https://www.virustotal.com并注册 VirusTotal 账户。
  2. 登录VirusTotal账户,在用户名→设置→API密钥中获取您的API密钥。
  3. 使用VirusTotal提供的API密钥与EventLog Analyzer进行集成。
    virustotal
  4. 粘贴API密钥并点击连接,即可完成VirusTotal的配置。
    virustotal

分析

在事件日志分析器中,用户可通过事件工作台访问VirusTotal数据。了解如何从不同仪表板调用事件工作台。

virustotal
注意:若需理解VirusTotal报表中的各类术语,请使用左下角的帮助卡片

在工作台中选择任意IP、URL或域名进行分析,可获取以下数据:

  • VirusTotal注释框

    本部分显示威胁源的检测评分,即所有安全厂商中标记该源为风险的厂商数量。同时提供威胁源的基本信息及地理位置备注框。

    virustotal
  • 安全厂商分析

    本部分包含85家以上安全厂商的独立分析,包括SOCRadar、Fortinet、Forcepoint ThreatSeeker及ArcSight Threat Intelligence等。

    virustotal
  • 点击左上角的搜索图标,可按安全厂商、分析类别和分析结果进行筛选。

    virustotal

    分析类别如下:

    • 恶意
    • 可疑
    • 无害
    • 未检测到
    • 超时
    virustotal
  • Whois 注释框

    本部分包含威胁源域名的Whois备注信息。

    virustotal
  • SSL证书

    本部分包含向威胁源颁发的 SSL 证书的详细信息以及颁发者信息。

    virustotal
  • 相关文件

    本节通过以下方式映射文件与IP地址的关系:

    • 与该IP地址通信的文件
    • 从该IP地址下载的文件
    • 包含该IP地址的文件
    virustotal
    virustotal
  • 解析记录

    本节包含特定域名的历史及当前IP解析记录。

    virustotal