VirusTotal
最后更新于:
EventLog Analyzer的高级威胁分析插件
注:VirusTotal 是整合众多安全厂商提供的 IP、URL、域名及文件风险评分的最大实时威胁情报源之一。EventLog Analyzer 的此项集成采用自带密钥(BYOK)模式。若您已单独购买 VirusTotal 访问权限,可使用您的 API 密钥在 EventLog Analyzer 中分析威胁源。
VirusTotal服务条款:
用户可通过两种方式访问VirusTotal API:
- 公共 API:提供免费访问权限,但存在特定限制,包括请求频率限制及较低访问优先级。
- 高级API:提供无请求频率限制的专属访问权限及优先级访问,并附带额外权益。
推荐方案:针对企业级工作流,建议采用高级API进行集成。
如需了解VirusTotal的详细服务条款、隐私政策及 API使用 规范,请访问其官方网站。
配置
注意:请参阅 VirusTotal隐私政策,了解用户提交数据如何用于分析,以及其数据处理、共享、保留和删除的相关政策。
购买高级威胁分析附加组件并激活许可后,请前往高级威胁分析页面。
导航路径:设置 → 管理员设置 → 管理 → 威胁源 → 高级威胁分析 → VirusTotal → 集成
获取 API 密钥:
- 访问https://www.virustotal.com并注册 VirusTotal 账户。
- 登录VirusTotal账户,在用户名→设置→API密钥中获取您的API密钥。
- 使用VirusTotal提供的API密钥与EventLog Analyzer进行集成。
- 粘贴API密钥并点击连接,即可完成VirusTotal的配置。
分析
在事件日志分析器中,用户可通过事件工作台访问VirusTotal数据。了解如何从不同仪表板调用事件工作台。
注意:若需理解VirusTotal报表中的各类术语,请使用左下角的帮助卡片。
在工作台中选择任意IP、URL或域名进行分析,可获取以下数据:
- VirusTotal注释框
本部分显示威胁源的检测评分,即所有安全厂商中标记该源为风险的厂商数量。同时提供威胁源的基本信息及地理位置备注框。
- 安全厂商分析
本部分包含85家以上安全厂商的独立分析,包括SOCRadar、Fortinet、Forcepoint ThreatSeeker及ArcSight Threat Intelligence等。
- 恶意
- 可疑
- 无害
- 未检测到
- 超时
- Whois 注释框
本部分包含威胁源域名的Whois备注信息。
- SSL证书
本部分包含向威胁源颁发的 SSL 证书的详细信息以及颁发者信息。
- 相关文件
本节通过以下方式映射文件与IP地址的关系:
- 与该IP地址通信的文件
- 从该IP地址下载的文件
- 包含该IP地址的文件
- 解析记录
本节包含特定域名的历史及当前IP解析记录。
点击左上角的搜索图标,可按安全厂商、分析类别和分析结果进行筛选。
分析类别如下: