Investigar un archivo

Compatible con:

Puedes usar Google Security Operations para buscar los datos de un archivo específico según su valor de hash MD5, SHA-1 o SHA-256.

Si hay información adicional disponible para un hash de archivo que se encuentra en la cuenta de Google Security Operations de un cliente, esta información adicional se agrega automáticamente a los eventos de la UDM asociados. Puedes buscar estos eventos de la UDM manualmente con la Búsqueda de la UDM o con reglas.

Cómo ver el hash de un archivo

Para ver un hash de archivo, puedes hacer lo siguiente:

  • Visualiza un archivo en la vista Hash de archivo directamente.

  • Navega a la vista File hash desde otra vista.

Cómo ver un archivo directamente en la vista de hash de archivos

Para abrir la vista Hash de archivo directamente, ingresa el valor de hash en el campo de búsqueda de Google Security Operations y haz clic en Buscar.

Google Security Operations proporciona información adicional sobre el archivo, incluido lo siguiente:

  • Detección de motores de socios: Otros proveedores de seguridad que detectaron el .

  • Propiedades o metadatos: Son las propiedades conocidas del archivo.

  • Nombres de archivos de VT enviados o de ITW: Software malicioso conocido y malicioso en el entorno (ITW) enviados a VirusTotal.

También puedes navegar a la vista Hash del archivo mientras investigas un activo en una otra vista (por ejemplo, la vista de Activo) siguiendo estos pasos:

  1. Abre una vista de investigación. Por ejemplo, selecciona un recurso para verlo en Vista de recursos.

  2. En el Cronograma de la izquierda, desplázate hasta cualquier evento vinculado a un proceso o modificación de archivo, como Conexión de red.

    Cómo seleccionar un evento en la vista de recursos Cómo seleccionar un evento en la vista de recursos

  3. Para abrir el visor de registros sin procesar y UDM, haz clic en el ícono de abrir en Línea de tiempo.

  4. Puedes abrir la vista File hash del archivo haciendo clic en el valor de hash (para (ejemplo, principal.process.file.md5) dentro del evento de UDM que se muestra.

Consideraciones

La vista de hash tiene las siguientes limitaciones:

  • Solo puedes filtrar los eventos que se muestran en esta vista.
  • Solo se propagan los tipos de eventos DNS, EDR, Webproxy y Alert en esta vista. También se limita la información de primer y último caso que aparece en esta vista. a estos tipos de eventos.
  • Los eventos genéricos no aparecen en ninguna de las vistas seleccionadas. Solo aparecen en en las búsquedas de UDM y registros sin procesar.