Datei prüfen
Sie können Google Security Operations verwenden, um in Ihren Daten nach einer bestimmten Datei zu suchen, seinen MD5-, SHA-1- oder SHA-256-Hashwert.
Sind zusätzliche Informationen für einen Datei-Hash verfügbar, der im Google Security Operations-Konto werden diese zusätzlichen Informationen automatisch verknüpfte UDM-Ereignisse. Sie können nach diesen UDM-Ereignissen suchen mit der UDM-Suche oder mithilfe von Regeln.
Datei-Hash ansehen
So rufen Sie einen Datei-Hash auf:
Datei direkt in der Ansicht Datei-Hash ansehen
Ansicht Datei-Hash aus einer anderen Ansicht aufrufen
Datei direkt in der Ansicht „Datei-Hash“ ansehen
Wenn Sie die Ansicht Datei-Hash direkt öffnen möchten, geben Sie den Hashwert in das Feld im Suchfeld von Google Security Operations auf und klicken Sie auf Suchen.
Google Security Operations stellt zusätzliche Informationen zur Datei bereit, einschließlich der Folgendes:
Erkennung durch Partner-Engines: Andere Sicherheitsanbieter, die den -Datei.
Eigenschaften/Metadaten: Bekannte Eigenschaften der Datei.
Von VT eingereichte/ITW-Dateinamen: bekannte schädliche In-the-Wild-Malware (ITW) an VirusTotal gesendet.
Ansicht „Datei-Hash“ aus einer anderen Ansicht aufrufen
Sie können auch die Ansicht Datei-Hash aufrufen, während Sie ein Asset in einem eine andere Datenansicht aufrufen (z. B. die Asset-Ansicht). Gehen Sie dazu so vor:
Öffnen Sie eine Prüfansicht. Wählen Sie beispielsweise ein Asset aus, um es in Asset-Ansicht
Scrollen Sie links in der Zeitachse zu einem Ereignis, das mit einem Prozess oder Dateiänderungen, z. B. Network Connection.
Ereignis in der Asset-Ansicht auswählen
Öffnen Sie den Raw Log- und UDM-Viewer, indem Sie auf der Zeitachse auf das Symbol „Öffnen“ klicken.
Sie können die Ansicht Datei-Hash für die Datei öffnen, indem Sie auf den Hashwert klicken (für Beispiel principal.process.file.md5) in das angezeigte UDM-Ereignis ein.
Hinweise
Für die Hash-Ansicht gelten die folgenden Einschränkungen:
- Sie können nur Ereignisse filtern, die in dieser Ansicht angezeigt werden.
- In dieser Ansicht werden nur die Ereignistypen DNS, EDR, Webproxy und Benachrichtigungen dargestellt. Die Informationen „zuerst gesehen“ und „zuletzt gesehen“ in dieser Ansicht sind ebenfalls eingeschränkt zu diesen Ereignistypen hinzufügen.
- Allgemeine Ereignisse werden in den ausgewählten Ansichten nicht angezeigt. Sie erscheinen nur in mit unformatierten Log- und UDM-Suchanfragen.