Datei prüfen

Unterstützt in:

Mit Google Security Operations können Sie in Ihren Daten nach einer bestimmten Datei suchen, die anhand ihres MD5-, SHA-1- oder SHA-256-Hashwerts identifiziert wird.

Wenn für einen Datei-Hash, der im Google Security Operations-Konto eines Kunden gefunden wurde, zusätzliche Informationen verfügbar sind, werden diese automatisch den zugehörigen UDM-Ereignissen hinzugefügt. Sie können manuell mit der UDM-Suche oder mithilfe von Regeln nach diesen UDM-Ereignissen suchen.

Datei-Hash ansehen

So rufen Sie einen Datei-Hash auf:

  • Dateien direkt in der Ansicht Datei-Hash ansehen

  • Von einer anderen Ansicht zur Ansicht Datei-Hash wechseln

Dateien direkt in der Datei-Hash-Ansicht ansehen

Wenn Sie die Ansicht Datei-Hash direkt öffnen möchten, geben Sie den Hash-Wert in das Suchfeld von Google Security Operations ein und klicken Sie auf Suchen.

Google Security Operations stellt zusätzliche Informationen zur Datei bereit, darunter:

  • Partner-Suchmaschinen: Andere Sicherheitsanbieter, die die Datei erkannt haben.

  • Eigenschaften/Metadaten: Bekannte Eigenschaften der Datei.

  • VT-eingereichte/ITW-Dateinamen: Bekannte schädliche Malware, die in freier Wildbahn (ITW) gefunden und an VirusTotal gesendet wurde.

Sie können die Ansicht Datei-Hash auch aufrufen, während Sie ein Asset in einer anderen Ansicht (z. B. in der Asset-Ansicht) untersuchen. Gehen Sie dazu so vor:

  1. Öffnen Sie eine Prüfungsansicht. Wählen Sie beispielsweise ein Asset aus, um es in der Asset-Ansicht aufzurufen.

  2. Scrollen Sie in der Zeitachse nach links zu einem Ereignis, das mit einer Prozess- oder Dateiänderung verknüpft ist, z. B. Netzwerkverbindung.

    Ereignis in der Asset-Ansicht auswählen Ereignis in der Asset-Ansicht auswählen

  3. Öffnen Sie den Viewer für Rohprotokolle und UDM, indem Sie auf das Öffnen-Symbol in der Zeitachse klicken.

  4. Sie können die Ansicht Datei-Hash für die Datei öffnen, indem Sie im angezeigten UDM-Ereignis auf den Hash-Wert (z. B. principal.process.file.md5) klicken.

Hinweise

Für Hash-Ansicht gelten die folgenden Einschränkungen:

  • Sie können nur Ereignisse filtern, die in dieser Ansicht angezeigt werden.
  • In dieser Ansicht werden nur DNS-, EDR-, Webproxy- und Benachrichtigungsereignisse erfasst. Die Informationen zum ersten und letzten Aufruf, die in dieser Ansicht angezeigt werden, sind ebenfalls auf diese Ereignistypen beschränkt.
  • Allgemeine Ereignisse werden in keiner der ausgewählten Ansichten angezeigt. Sie werden nur in Rohlogs und UDM-Suchanfragen angezeigt.