Investigar um arquivo

Compatível com:

Você pode usar o Google Security Operations para pesquisar um arquivo específico nos dados com base no valor de hash MD5, SHA-1 ou SHA-256.

Se houver outras informações disponíveis para um hash de arquivo encontrado na conta do Google Security Operations de um cliente, elas serão adicionadas automaticamente aos eventos do UDM associados. É possível pesquisar esses eventos da UDM manualmente usando a Pesquisa da UDM ou regras.

Conferir um hash de arquivo

Para conferir um hash de arquivo, você pode:

  • Acessar um arquivo na visualização Hash de arquivo

  • Navegar até a visualização Hash de arquivo de outra visualização

Acessar um arquivo na visualização de hash de arquivo diretamente

Para abrir a visualização Hash de arquivo diretamente, insira o valor de hash no campo de pesquisa do Google Security Operations e clique em Pesquisar.

O Google Security Operations fornece mais informações sobre o arquivo, incluindo as seguintes:

  • Mecanismos de parceiros detectando: outros fornecedores de segurança que detectaram o arquivo.

  • Propriedades/metadados: propriedades conhecidas do arquivo.

  • VT submitted/ITW filenames: malware malicioso conhecido (ITW, na sigla em inglês) enviado ao VirusTotal.

Você também pode navegar até a visualização Hash de arquivo enquanto investiga um recurso em outra visualização (por exemplo, Recurso) seguindo estas etapas:

  1. Abra uma visualização de investigação. Por exemplo, selecione um recurso para visualizá-lo na visualização de recursos.

  2. Na Linha do tempo à esquerda, role até qualquer evento vinculado a um processo ou modificação de arquivo, como Conexão de rede.

    Como selecionar um evento na visualização de recursos Como selecionar um evento na visualização de recursos

  3. Abra o visualizador de registros brutos e da UDM clicando no ícone de abertura na Linha do tempo.

  4. Para abrir a visualização Hash de arquivo do arquivo, clique no valor do hash (por exemplo, principal.process.file.md5) no evento UDM exibido.

Considerações

A visualização de hash tem as seguintes limitações:

  • Só é possível filtrar os eventos que aparecem nessa visualização.
  • Somente os tipos de evento DNS, EDR, Webproxy e Alert são preenchidos nessa visualização. As informações de primeira e última visualização preenchidas nessa visualização também são limitadas a esses tipos de evento.
  • Os eventos genéricos não aparecem em nenhuma das visualizações selecionadas. Eles aparecem apenas em registros brutos e pesquisas da UDM.