SentinelOneのインシデント画面（VirusTotalの参照）

SentinelOneのインシデント画面における、VirusTotalの参照についてご紹介します。

管理コンソールからVirusTotalを参照するには

VirusTotalとは、Googleが提供するパブリックサービスで該当ファイルが既知のマルウェアなのか、他のセキュリティ製品での検知傾向はどうか、などの情報を知ることができます。

SentinelOneでは、管理コンソールのインシデント画面から
SHA1の値 > Open in VirusTotal をクリックすることでSentinelOneで検知したファイルの「ハッシュ値」をVirusTotal にクエリし、検索をしてくれます。

もちろん、未知や亜種のマルウェアも生み出され続ける現在、仮にVirusTotalのデータベース上で脅威該当とされる結果がなくても完全にシロと決定づけることはできません。

一方で、VirusTotalのデータベース上、例えば、30社以上のセキュリティ製品で、脅威と捉えたファイルであればやはりクロと判断して、調査を終える、という使い方もできると考えます。

ひとつの指標として、インシデント調査の手助けになるものと思いますので是非ご活用ください。