Investigar un archivo

Compatible con:

Puedes usar Google Security Operations para buscar un archivo específico en tus datos según su valor de hash MD5, SHA-1 o SHA-256.

Si hay información adicional disponible para un hash de archivo que se encuentra en la cuenta de Google Security Operations de un cliente, esta información adicional se agrega automáticamente a los eventos de la AUA asociados. Puedes buscar estos eventos de la UDM manualmente con la Búsqueda de la UDM o con reglas.

Cómo ver un hash de archivo

Para ver el hash de un archivo, puedes hacer lo siguiente:

  • Cómo ver un archivo directamente en la vista Hash de archivo

  • Cómo navegar a la vista Hash de archivo desde otra vista

Cómo ver un archivo directamente en la vista de hash de archivos

Para abrir la vista de Hash de archivo directamente, ingresa el valor de hash en el campo de búsqueda de Google Security Operations y haz clic en Buscar.

Google Security Operations proporciona información adicional sobre el archivo, incluido lo siguiente:

  • Motores de socios que detectan: Otros proveedores de seguridad que detectaron el archivo

  • Propiedades o metadatos: Son las propiedades conocidas del archivo.

  • Nombres de archivos enviados a VT o de ITW: Software malicioso conocido en estado salvaje (ITW) que se envió a VirusTotal.

También puedes navegar a la vista Hash de archivo mientras investigas un activo en otra vista (por ejemplo, la vista Activo). Para ello, completa los siguientes pasos:

  1. Abre una vista de investigación. Por ejemplo, selecciona un recurso para verlo en la vista de recursos.

  2. En el Cronograma de la izquierda, desplázate hasta cualquier evento vinculado a un proceso o modificación de archivo, como Conexión de red.

    Cómo seleccionar un evento en la vista de recursos Cómo seleccionar un evento en la vista de recursos

  3. Para abrir el visor de registros sin procesar y UDM, haz clic en el ícono de abrir en la Línea de tiempo.

  4. Para abrir la vista File hash del archivo, haz clic en el valor de hash (por ejemplo, principal.process.file.md5) dentro del evento de la UDM que se muestra.

Consideraciones

La vista de hash tiene las siguientes limitaciones:

  • Solo puedes filtrar los eventos que se muestran en esta vista.
  • Solo se completan los tipos de eventos DNS, EDR, Webproxy y Alert en esta vista. La información de la primera y la última vez que se vio que se propaga en esta vista también se limita a estos tipos de eventos.
  • Los eventos genéricos no aparecen en ninguna de las vistas seleccionadas. Solo aparecen en las búsquedas de registros sin procesar y de la AUA.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.