Indagine su un file

Supportato in:

Puoi utilizzare Google Security Operations per cercare nei tuoi dati un file specifico in base al suo valore hash MD5, SHA-1 o SHA-256.

Se sono disponibili ulteriori informazioni per un hash di file trovato all'interno del Google Security Operations, queste informazioni aggiuntive vengono aggiunte al automaticamente eventi UDM associati. Puoi cercare questi eventi UDM manualmente usando la ricerca UDM o usando le regole.

Visualizzare l'hash di un file

Per visualizzare l'hash di un file, puoi:

  • Visualizza un file direttamente nella visualizzazione Hash del file

  • Passa alla visualizzazione Hash del file da un'altra vista

Visualizzare direttamente un file nella visualizzazione Hash file

Per aprire direttamente la visualizzazione Hash file, inserisci il valore dell'hash nel campo di ricerca di Google Security Operations e fai clic su Cerca.

Google Security Operations fornisce informazioni aggiuntive sul file, tra cui: seguenti:

  • Motori partner che rilevano: altri fornitori di soluzioni di sicurezza che hanno rilevato il file.

  • Proprietà/metadati: proprietà note del file.

  • Nomi file inviati a VT/ITW: malware noti dannosi rilevati in rete (ITW) inviati a VirusTotal.

Puoi anche passare alla visualizzazione Hash file durante l'indagine di una risorsa in un'altra visualizzazione (ad es. la visualizzazione Risorsa) completando i seguenti passaggi:

  1. Apri una visualizzazione dell'indagine. Ad esempio, seleziona un asset per visualizzarlo nella vista Asset.

  2. In Sequenza temporale a sinistra, scorri fino a un evento legato a un processo oppure file di modifica, ad esempio Connessione di rete.

    Selezionare un evento nella visualizzazione Asset Selezionare un evento nella visualizzazione Asset

  3. Apri il log non elaborato e il visualizzatore UDM facendo clic sull'icona Apri in Spostamenti.

  4. Puoi aprire la visualizzazione Hash file per il file facendo clic sul valore hash (ad es. principal.process.file.md5) all'interno dell'evento UDM visualizzato.

Considerazioni

La vista hash presenta le seguenti limitazioni:

  • Puoi filtrare solo gli eventi visualizzati in questa visualizzazione.
  • In questa visualizzazione vengono compilati solo i tipi di eventi DNS, EDR, Webproxy e Avviso. Anche le informazioni relative alla prima e all'ultima visualizzazione compilate in questa visualizzazione sono limitate a questi tipi di eventi.
  • Gli eventi generici non vengono mostrati in nessuna delle visualizzazioni selezionate. Appaiono solo in log non elaborati e ricerche UDM.