Investigar um arquivo
Use as Operações de segurança do Google para pesquisar seus dados em busca de um arquivo específico com base no valor de hash MD5, SHA-1 ou SHA-256.
Se outras informações estiverem disponíveis para um hash de arquivo encontrado na conta de operações de segurança do Google de um cliente, elas serão adicionadas automaticamente aos eventos de UDM associados. É possível pesquisar esses eventos de UDM manualmente usando a pesquisa do UDM ou regras.
Ver um hash de arquivo
Para conferir um hash de arquivo, você pode:
Acessar um arquivo diretamente na visualização Hash do arquivo
Acesse a visualização Hash do arquivo em outra visualização.
Acessar um arquivo diretamente na visualização "Hash de arquivo"
Para abrir a visualização Hash do arquivo diretamente, insira o valor de hash no campo de pesquisa do Google Security Operations e clique em Search.
O Google Security Operations fornece mais informações sobre o arquivo, incluindo:
Detecção de mecanismos de parceiros: outros fornecedores de segurança que detectaram o arquivo.
Propriedades/metadados: propriedades conhecidas do arquivo.
Nomes de arquivo VT enviados/ITW: malware conhecido e mal-intencionado (ITW, na sigla em inglês) enviado ao VirusTotal.
Navegar para a visualização "Hash de arquivo" em outra visualização
Você também pode navegar até a visualização Hash do arquivo ao investigar um recurso em outra visualização (por exemplo, Recurso) seguindo estas etapas:
Abra uma visualização de investigação. Por exemplo, selecione um recurso para visualizá-lo na visualização de recursos.
Na Linha do tempo à esquerda, role até qualquer evento vinculado a um processo ou modificação de arquivo, como Conexão de rede.
Selecionar um evento na visualização "Recursos"
Clique no ícone de abrir na linha do tempo para abrir o registro bruto e o visualizador de UDM.
Para abrir a visualização Hash do arquivo do arquivo, clique no valor de hash (por exemplo, principal.process.file.md5) no evento UDM exibido.
Considerações
A visualização de hash tem as seguintes limitações:
- Só é possível filtrar eventos que são exibidos nessa vista da propriedade.
- Somente os tipos de evento DNS, EDR, Webproxy e alerta são preenchidos nessa visualização. As informações preenchidas pela primeira vez e pela última vez exibidas nessa visualização também estão limitadas a esses tipos de evento.
- Eventos genéricos não aparecem em nenhuma das visualizações selecionadas. Eles só aparecem em registros brutos e pesquisas de UDM.