弊社では開発元のChronicle 社認定リセラーとして、セキュリティベンダー向けインテリジェンスツールVirusTotal Enterpriseを日本のユーザーさまにご提供しております。
日々変化するサイバー空間の脅威に対応するため、VirusTotalは新たな情報ソースの追加や機能のアップデートを継続的に行っています。
特に昨年は、最上位バンドルVirusTotal – Duetの登場やメーカーサポートの強化など大きなサービス改訂がありました。
そこで今回はあらためて最新のVirus Totalについてご紹介します。
目次
VirusTotalとは
VirusTotalはGoogleの技術を利用して開発された脅威インテリジェンスツールです。多様な分析ソース、強力な脅威検出、汎用性の高さで人気を博しています。
Chronicle社や無償版のVirusTotalについては以下の記事をご参照ください。
テガラ株式会社は、VirusTotal の提供元である Chronicle 社の Advanced Partner として、VirusTotal Enterprise のリセラー認定を受けております。
VirusTotal Enterprise について
VirusTotal Enterpriseは高頻度の脅威検出や詳細な分析が可能なVirusTotalのプレミアムサービスです。より高度な脆弱性対策や専門的なデジタル調査を行う企業や組織での利用に適しています。
世界中から上記VirusTotalのサイトへアップロードされたマルウェアの疑いのあるサンプルファイルを、特性で検索・リスト化し、それらのサンプルを精査のためにダウンロードすることができるサービスVirusTotal Intelligenceを中心に、以下5種類の機能を利用することができます。
脅威に関する豊富な詳細やコンテキスト情報を備えた、VirusTotalのデータセット (マルウェアサンプル、URL、ドメイン、IP) に対する高度なModifierベースの検索エンジン。履歴データから類似性を判定し新たな脅威に対しても瞬時にIoC(Indicator of Compromise)を明らかにします。さらにオフラインで調査・分析するために、これらのファイルをダウンロードすることもできます。
| VirusTotal Intelligence 詳細 https://www.virustotal.com/gui/intelligence-overview |
特定の脅威アクターまたはマルウェアファミリーの進化を追跡するためのツール。YARAルールをVirusTotalのサンプルのフラックスに適用し、特定のキャンペーンに属するすべてのIoC (Indicator of Compromise)を明らかにします。
VirusTotal に送信されたファイルをリアルタイムに監視するLivehuntと、履歴データを過去にさかのぼって検索するRetrohuntの2つの機能があります。
| VirusTotal Hunting 詳細 https://www.virustotal.com/gui/hunting-overview |
VirusTotalのデータセットを視覚的に表示することで、脅威の共通点を見つけるためのツール。進行中の調査で遭遇したファイル、URL、ドメイン、IPアドレス、およびその他の監視対象間の関係を理解するのに役立ちます。
無償版のVT Graphのデータは公開され誰でも見ることができますが、有償版のPrivate Graphではデータを非公開にしたり特定ユーザーやグループにだけ編集可能な状態にできます。またPrivate GraphはVT Huntingのデータを読み込むことも可能です。
| VirusTotal Graph 詳細 https://www.virustotal.com/gui/graph-overview Public Graph(無償版)とPrivate Graph(有償版)の違い |
VirusTotalのWEBサイトインターフェースを使用することなく、ファイルやURLをアップロード・スキャンし、スキャンレポートにアクセスするスクリプトを構築することのできるAPI。VirusTotal Enterpriseで使用できるのは、類似性検索、クラスタリング、動作情報等、より多くのエンドポイントが提供されるプレミアム版です。
| VirusTotal API 詳細 https://developers.virustotal.com/reference Public API(無償版)とPremium API(有償版)の違い |
ユーザーコミュニティや外部のOSINTデータ、YARAルールによって収集された新しいフィード。攻撃者の特定や被害者像、外部参照などのコンテキストを追加することでTTP(Tactics, Techniques, and Procedures 攻撃者の行動や手法)分析等に役立ちます。
ハッシュ、URL、ドメイン、IPアドレスなどのIoCを収録する「Collection」と攻撃者の詳細を収録する「Threat Actor」の2種類を利用できます。
※現時点では一部ユーザーのみがCollectionを作成可能です。
| VirusTotal Insights 詳細 https://blog.virustotal.com/2022/09/vt-collections-citius-altius-fortius.html |
2022年の製品リニューアル
2022年はVirusTotal Enterpriseに複数の変更がありました。
VirusTotal Monitor の新規提供が終了
ユーザーの開発したソフトウェアでアンチウイルスが誤検出されるリスクを軽減するためのツールVirusTotal Monitorは新規提供終了となりました。
既存ユーザーはVirusTotal Monitorを継続利用可能ですが、今後は新機能の追加や不具合修正がありません。
バンドル内容の変更
既存ユーザーの利用状況や要望に対応して、バンドル内容が変更されています。以下に主な変更をまとめました。
- Starterバンドルの終息
VirusTotal Enterpriseのエントリー版であるStarterバンドルは、終息となりました。
現在Starterバンドルでご契約のお客様は、次回更新の際にBasic以上のバンドルへアップグレードが必要です。 - 新バンドルDuetの提供開始
VirusTotal Enterprise Duetは大規模な専門的調査を行う公的機関、より強力な脆弱性対策を必要とする世界規模のECサイト、WEBサービス、金融機関などの利用に適した最上位バンドルです。検索クエリやルール設定の上限数が大きく、充実したサポートを受けることができます。 - 優先サポートの提供開始
新バンドルDuetはPriority Support(優先サポート)の対象です。Standard Support(通常サポート)では、ユーザーからの問い合わせにメーカーが2営業日以内に回答しますが、Priority Supportでは個別に担当者がつき通常より優先してサポートを受けられます。また最新の調査レポートや新機能もいち早く利用可能です。 - Professionalバンドルの利用上限の変更(変更前後の違いは以下の表をご覧ください)
機能 旧Professional 現行Professional Premium API
150k/day 10k/Day Intelligence Searches & Downloads 5k/month 1k/month Retrohunt 5/month 5/month Livehunt YARA Rules 25 25 Private Graphs add-on add-on Threat Hunter Pro add-on add-on Private Graphs Not Incleded Not Incleded Support Standard Standard
VirusTotal Enterprise ライセンスについて
VirusTotal Enterprise は、月ごとの設定検索数やダウンロード数などの条件により価格が異なります。弊社で提供が可能なのは基本的に 12ヶ月契約の年間ライセンスです。
総合的なセキュリティ対策や調査を行うユーザー向けに5つの機能を含む4種類のバンドルが用意されています。また用途に合わせた特定機能のみの購入や、バンドルのカスタマイズも可能です。
4種類のバンドルライセンス
プロフェッショナルユーザー向け機能がセットになった製品。各バンドルの利用上限は以下の表をご参照ください。
| VirusTotal Edition | Basic | Professional | Professional Plus (※) | Duet |
|---|---|---|---|---|
| Premium API |
1k/day | 10k/day | 30k/day | 10m/month |
| Intelligence Searches & Downloads | 300/month | 1k/month | 5k/month | 20k/month |
| Retrohunt | 2/month | 5/month | 25/month | 1k/month |
| Livehunt YARA Rules | 25 | 25 | 100 | 20k |
| Private Graphs | add-on | add-on | add-on | Included |
| Thread Hunter Pro (Extended Advanced Search, Retrohunt and Content Search to 12 months) |
90 day retrospection, more as an add on |
90 day retrospection, more as an add on |
Max. retrospection included | Max. retrospection included |
| VT Insight (Collection & Threat Actor) |
Not Included | Not Included | Included | Included |
| Support | Standard | Standard | Standard | Priority (VIP Program) |
※ 2023年4月追記 : Enterprise バンドルは、Professional Plus バンドルへと名称が変更となりました
カスタマイズの一例
VirusTotal Enterpriseはバンドルのカスタマイズが可能です。たとえば以下のVirusTotalの追加機能(Feed/AddOn)を追加したり、Yara RuleやAPIなどの利用上限数のある機能の上限を追加するといったことができます。
VT Feed
– File Feed
– URL Feed
– Domain Feed
– IP Address Feed
– Sandbox Feed
VT AddOn
– Threat Hunter PRO
– Private Graph (5 graph | 25 graph | 100 graph)
– Private Scan (S : 1k file/month | M : 10k file/month | L : 100k/month)
– VT Alerts
【カスタマイズの一例】
- Basic バンドルの利用を予定しているが、Intelligence Searches & Downloadsのみ「300/month」では足りないため上限を追加
- Professional バンドルの利用を予定しているが、Retrohuntでの履歴データは過去1年分まで照合を行いたいので、Threat Hunter PRO(VirusTotal Huntingのプレミアム版)を追加
VirusTotal Enterpriseを試す
VirusTotal Enterpriseは無償で14日間お試しいただけます。
試用版をご希望の場合は、以下のページからメーカーへご依頼ください。
FREE TRIAL
https://www.virustotal.com/gui/contact-us/premium-services
※必要事項をご回答の上、「」に用途とともに、試用版希望の旨を明記してお申込みください。
お問い合わせ方法
弊社へVirusTotal Enterpriseのお問い合わせの際には、ライセンス登録者さまについて以下の情報をお知らせください(メーカーにて製品提供に必要な情報です)。
用途の要塞を
|
【必要事項】 |
※なお、Chronicle社と弊社 テガラ株式会社 とのリセラー契約により、VirusTotal Enterpriseは、弊社からエンドユーザー様への「直接販売」のみとなっております (商社さまなどの第三者経由での「再販」は、契約上、認められておりません)。恐れ入りますが、ご了承いただけますようお願いいたします。
|
■商品の詳細、お問い合わせはこちら
|
