Examiner un fichier

Vous pouvez utiliser Google Security Operations pour rechercher un fichier spécifique dans vos données en fonction sa valeur de hachage MD5, SHA-1 ou SHA-256.

Si des informations supplémentaires sont disponibles pour un hachage de fichier trouvé dans la Google Security Operations, ces informations supplémentaires sont ajoutées au les événements UDM associés automatiquement. Vous pouvez rechercher ces événements UDM manuellement à l'aide de la recherche UDM ou de règles.

Afficher un hachage de fichier

Pour afficher un hachage de fichier, vous pouvez:

  • Afficher directement un fichier dans la vue Hachage de fichier

  • Accédez à la vue File hash (Hachage de fichier) depuis une autre vue.

Afficher directement un fichier dans la vue "Hachage de fichier"

Pour ouvrir directement la vue File hash (Hachage de fichier), saisissez la valeur de hachage dans Champ de recherche Google Security Operations et cliquez sur Rechercher.

Google Security Operations fournit des informations supplémentaires sur le fichier, y compris les suivantes:

  • Moteurs partenaires détectant: autres fournisseurs de solutions de sécurité ayant détecté le .

  • Properties/metadata (Propriétés/métadonnées) : propriétés connues du fichier

  • Noms de fichiers "VTC"/ITW envoyés: logiciel malveillant connu en circulation à VirusTotal.

Vous pouvez également accéder à la vue Hachage de fichier lorsque vous examinez un élément dans un une autre vue (par exemple, la vue Asset) en procédant comme suit:

  1. Ouvrez une vue d'investigation. Par exemple, sélectionnez un asset pour l'afficher dans Vue des éléments.

  2. Dans la chronologie sur la gauche, faites défiler la page jusqu'à un événement lié à un processus ou modification de fichier, telle qu'une connexion réseau.

    Sélectionner un événement dans la vue des éléments Sélectionner un événement dans la vue des éléments

  3. Ouvrez le journal brut et le lecteur UDM en cliquant sur l'icône d'ouverture dans la chronologie.

  4. Vous pouvez ouvrir la vue Hachage de fichier du fichier en cliquant sur la valeur de hachage (par principal.process.file.md5) dans l'événement UDM affiché.

Remarques

La vue avec hachage présente les limites suivantes:

  • Vous ne pouvez filtrer que les événements affichés dans cette vue.
  • Seuls les types d'événements DNS, EDR, Webproxy et d'alerte sont renseignés dans cette vue. Les informations "Première occurrence" et "Dernière occurrence" renseignées dans cette vue sont également limitées à ces types d'événements.
  • Les événements génériques n'apparaissent dans aucune des vues sélectionnées. Elles n'apparaissent que dans dans les journaux bruts et les recherches UDM.