Datei prüfen

Sie können Google Security Operations verwenden, um in Ihren Daten nach einer bestimmten Datei zu suchen, seinen MD5-, SHA-1- oder SHA-256-Hashwert.

Sind zusätzliche Informationen für einen Datei-Hash verfügbar, der im Google Security Operations-Konto werden diese zusätzlichen Informationen automatisch verknüpfte UDM-Ereignisse. Sie können nach diesen UDM-Ereignissen suchen mit der UDM-Suche oder mithilfe von Regeln.

Datei-Hash ansehen

So rufen Sie einen Datei-Hash auf:

  • Datei direkt in der Ansicht Datei-Hash ansehen

  • Ansicht Datei-Hash aus einer anderen Ansicht aufrufen

Datei direkt in der Ansicht „Datei-Hash“ ansehen

Wenn Sie die Ansicht Datei-Hash direkt öffnen möchten, geben Sie den Hashwert in das Feld im Suchfeld von Google Security Operations auf und klicken Sie auf Suchen.

Google Security Operations stellt zusätzliche Informationen zur Datei bereit, einschließlich der Folgendes:

  • Erkennung durch Partner-Engines: Andere Sicherheitsanbieter, die den -Datei.

  • Eigenschaften/Metadaten: Bekannte Eigenschaften der Datei.

  • Von VT eingereichte/ITW-Dateinamen: bekannte schädliche In-the-Wild-Malware (ITW) an VirusTotal gesendet.

Sie können auch die Ansicht Datei-Hash aufrufen, während Sie ein Asset in einem eine andere Datenansicht aufrufen (z. B. die Asset-Ansicht). Gehen Sie dazu so vor:

  1. Öffnen Sie eine Prüfansicht. Wählen Sie beispielsweise ein Asset aus, um es in Asset-Ansicht

  2. Scrollen Sie links in der Zeitachse zu einem Ereignis, das mit einem Prozess oder Dateiänderungen, z. B. Network Connection.

    Auswählen eines Ereignisses in der Asset-Ansicht Ereignis in der Asset-Ansicht auswählen

  3. Öffnen Sie den Raw Log- und UDM-Viewer, indem Sie auf der Zeitachse auf das Symbol „Öffnen“ klicken.

  4. Sie können die Ansicht Datei-Hash für die Datei öffnen, indem Sie auf den Hashwert klicken (für Beispiel principal.process.file.md5) in das angezeigte UDM-Ereignis ein.

Hinweise

Für die Hash-Ansicht gelten die folgenden Einschränkungen:

  • Sie können nur Ereignisse filtern, die in dieser Ansicht angezeigt werden.
  • In dieser Ansicht werden nur die Ereignistypen DNS, EDR, Webproxy und Benachrichtigungen dargestellt. Die Informationen „zuerst gesehen“ und „zuletzt gesehen“ in dieser Ansicht sind ebenfalls eingeschränkt zu diesen Ereignistypen hinzufügen.
  • Allgemeine Ereignisse werden in den ausgewählten Ansichten nicht angezeigt. Sie erscheinen nur in mit unformatierten Log- und UDM-Suchanfragen.