调查文件
您可以使用 Google Security Operations 根据以下信息搜索特定文件: 其 MD5、SHA-1 或 SHA-256 哈希值。
如果在客户的文件哈希值中找到了其他信息 Google Security Operations 账号,这些额外信息将添加到 关联的 UDM 事件。你可以搜索这些 UDM 活动 使用 UDM 搜索或规则手动创建。
查看文件哈希值
如需查看文件哈希值,您可以执行以下操作:
直接在文件哈希视图中查看文件
从其他视图中转到文件哈希视图
直接在文件哈希视图中查看文件
如需直接打开文件哈希视图,请在 Google Security Operations 搜索字段,然后点击 Search。
Google Security Operations 会提供有关该文件的更多信息,包括 以下:
合作伙伴引擎正在检测:检测到其他安全供应商的 文件。
属性/元数据:文件的已知属性。
VT 提交的文件名/ITW 文件名:已知的恶意全局 (ITW) 恶意软件 提交至 VirusTotal
从其他视图转到“文件哈希”视图
在调查某个资产时,您也可以导航到文件哈希视图 其他数据视图(例如素材资源视图),请按以下步骤操作:
打开调查视图。例如,选择要在哪个素材资源中查看该素材资源 素材资源视图。
在左侧的时间轴中,滚动到与某个进程相关联的任何事件,或 文件修改,例如网络连接。
在“资产”视图中选择一个事件
点击时间轴中的“打开”图标,打开原始日志和 UDM 查看器。
您可以点击文件的哈希值(例如, (例如 principal.process.file.md5)。
注意事项
哈希视图具有以下限制:
- 您只能过滤此数据视图中显示的事件。
- 此视图中仅填充了 DNS、EDR、Webproxy 和 Alert 事件类型。 此视图中填充的首次出现和最后一次出现的信息也有限 这些事件类型
- 常规事件不会显示在任何精选视图中。它们仅出现在 原始日志和 UDM 搜索。