Menyelidiki file

Didukung di:

Anda dapat menggunakan Google Security Operations untuk menelusuri data Anda guna menemukan file tertentu berdasarkan nilai hash MD5, SHA-1, atau SHA-256-nya.

Jika informasi tambahan tersedia untuk hash file yang ditemukan dalam akun Google Security Operations pelanggan, informasi tambahan ini akan otomatis ditambahkan ke peristiwa UDM terkait. Anda dapat menelusuri peristiwa UDM ini secara manual menggunakan Penelusuran UDM atau menggunakan aturan.

Melihat hash file

Untuk melihat hash file, Anda dapat:

  • Melihat file dalam tampilan File hash secara langsung

  • Membuka tampilan Hash file dari tampilan lain

Melihat file dalam tampilan Hash file secara langsung

Untuk membuka tampilan File hash secara langsung, masukkan nilai hash di kolom penelusuran Google Security Operations, lalu klik Telusuri.

Google Security Operations memberikan informasi tambahan tentang file, termasuk hal berikut:

  • Mesin partner mendeteksi: Vendor keamanan lain yang telah mendeteksi file.

  • Properti/metadata: Properti file yang diketahui.

  • Nama file ITW/yang dikirimkan VT: Malware berbahaya yang diketahui di alam liar (ITW) yang dikirimkan ke VirusTotal.

Anda juga dapat membuka tampilan File hash saat menyelidiki aset di tampilan lain (misalnya, tampilan Aset) dengan menyelesaikan langkah-langkah berikut:

  1. Buka tampilan investigasi. Misalnya, pilih aset untuk melihatnya dalam Tampilan aset.

  2. Di Linimasa di sebelah kiri, scroll ke peristiwa apa pun yang terkait dengan proses atau perubahan file, seperti Koneksi Jaringan.

    Memilih Peristiwa di Tampilan Aset Memilih Peristiwa di tampilan Aset

  3. Buka penampil Log Mentah dan UDM dengan mengklik ikon buka di Linimasa.

  4. Anda dapat membuka tampilan File hash untuk file dengan mengklik nilai hash (misalnya, principal.process.file.md5) dalam peristiwa UDM yang ditampilkan.

Pertimbangan

Tampilan hash memiliki batasan berikut:

  • Anda hanya dapat memfilter peristiwa yang ditampilkan di tampilan ini.
  • Hanya jenis peristiwa DNS, EDR, Webproxy, dan Notifikasi yang diisi di tampilan ini. Informasi pertama kali dilihat dan terakhir dilihat yang diisi dalam tampilan ini juga dibatasi untuk jenis peristiwa ini.
  • Peristiwa generik tidak muncul di tampilan pilihan mana pun. Log ini hanya muncul dalam log mentah dan penelusuran UDM.