Cette page a été traduite par l'API Cloud Translation.

Filtrer les données dans la vue Hachage

Compatible avec:

Google SecOps SIEM

La vue "Hachage" vous permet de rechercher et d'examiner des fichiers en fonction de leur valeur de hachage.

Ouvrir la vue de hachage

Vous pouvez ouvrir la vue "Hachage" de l'une des manières suivantes :

Rechercher directement le hachage du fichier
Passer à la vue "Hachage" lorsque vous consultez un événement basé sur un processus ou un fichier dans la vue "Éléments"

Pour ouvrir directement la vue "Hachage" :

Saisissez la valeur de hachage dans le champ de recherche de Google Security Operations. Cliquez sur Rechercher.
Sélectionnez la valeur de hachage dans le menu Hachages. Une vue hachée s'affiche.

Vous pouvez également accéder à la vue hachée lorsque vous examinez un élément dans la vue des éléments.

Recherchez un asset et affichez-le dans la vue "Asset" (Élément). La vue de l'élément s'affiche.
Dans l'onglet Chronologie à gauche, faites défiler l'écran jusqu'à un événement associé à une modification de processus ou de fichier, comme PROCESS_LAUNCH.

Remarque : Si vous ne parvenez pas à trouver PROCESS_LAUNCH dans la colonne "Événement", définissez la date de début en haut à gauche sur quelques jours avant la date actuelle. Déplacez également le curseur "Durée" en haut à droite sur "1 jour". Le panneau "Chronologie" s'actualise et les autres événements requis s'affichent.
Développez le fichier pour afficher les détails et examiner le problème.
Vous pouvez ouvrir la vue de hachage du fichier en cliquant sur la valeur de hachage dans Vue des éléments. La vue hachage s'affiche.

Les options de filtrage procédural suivantes sont disponibles dans la vue "Hachage" :