ハッシュビューでデータをフィルタする
以下でサポートされています。
Google SecOpsSIEM
[Hash] ビューを使用すると、ハッシュ値に基づいてファイルを検索して調査できます。
[Hash] ビューを開く
[Hash] ビューは次の方法で開くことができます。
- ファイル ハッシュを直接検索する
- [Asset] ビューでプロセスベースまたはファイルベースのイベントを表示すると、[Hash] ビューに移動する
ファイル ハッシュを直接検索する
[Hash] ビューを直接開くには:
Google Security Operations の検索フィールドにハッシュ値を入力します。[検索] をクリックします。
[ハッシュ] メニューからハッシュ値を選択します。[Hash] ビューが表示されます。
[Asset] ビューから[Hash] ビューに移動する
[Asset] ビューでアセットを調べているときに、[Hash] ビューにも移動できます。
アセットを検索し、[Asset] ビューで表示します。 [Asset] ビューが表示されます。
左側の [タイムライン] タブで、プロセスやファイルの変更に関連付けられているイベント(PROCESS_LAUNCH など)までスクロールします。
ファイルを開いて詳細を表示し、調査します。
ファイルの [Hash] ビューを開くには、[Asset] ビューでハッシュ値をクリックします。 [Hash] ビューが表示されます。
[Hash] ビューのフィルタ オプション
[Hash] ビューで使用できる [Procedural Filtering] オプションは次のとおりです。
- アセット
- EVENT TYPE
- LOG SOURCE
- PID
- PROCESS NAME