Indagine su un file

Puoi utilizzare Google Security Operations per cercare nei tuoi dati un file specifico in base al relativo valore hash MD5, SHA-1 o SHA-256.

Se sono disponibili ulteriori informazioni per un hash di file trovato nell'account Google Security Operations di un cliente, queste vengono aggiunte automaticamente agli eventi UDM associati. Puoi cercare questi eventi UDM manualmente utilizzando la ricerca UDM o le regole.

Visualizzare l'hash di un file

Per visualizzare l'hash di un file, puoi:

  • Visualizza un file direttamente nella visualizzazione Hash del file

  • Passa alla visualizzazione Hash del file da un'altra vista

Visualizzare un file direttamente nella visualizzazione Hash dei file

Per aprire direttamente la visualizzazione Hash del file, inserisci il valore hash nel campo di ricerca di Google Security Operations e fai clic su Cerca.

Google Security Operations fornisce informazioni aggiuntive sul file, tra cui:

  • Rilevamento dei motori partner: altri fornitori di servizi di sicurezza che hanno rilevato il file.

  • Proprietà/metadati: proprietà note del file.

  • Nomi file VT/ITW: malware noto e dannoso in-the-wild (ITW) inviato a VirusTotal.

Puoi anche accedere alla visualizzazione Hash del file mentre esamini un asset in un'altra vista (ad esempio, la vista Asset) completando i seguenti passaggi:

  1. Apri una vista di indagine. Ad esempio, seleziona un asset per visualizzarlo nella visualizzazione Asset.

  2. In Sequenza temporale a sinistra, scorri fino a un evento legato a un processo o alla modifica di un file, ad esempio Connessione di rete.

    Selezione di un evento nella visualizzazione asset Selezione di un evento nella vista Asset

  3. Apri il log non elaborato e il visualizzatore UDM facendo clic sull'icona Apri in Spostamenti.

  4. Puoi aprire la visualizzazione Hash del file per il file facendo clic sul valore hash (ad esempio, principal.process.file.md5) all'interno dell'evento UDM visualizzato.

Considerazioni

La vista hash presenta le seguenti limitazioni:

  • Puoi filtrare solo gli eventi mostrati in questa visualizzazione.
  • In questa vista vengono compilati solo i tipi di eventi DNS, EDR, Webproxy e Alert. Anche le informazioni relative alla prima e all'ultima visualizzazione compilate in questa vista sono limitate a questi tipi di eventi.
  • Gli eventi generici non vengono mostrati in nessuna delle visualizzazioni selezionate. Vengono visualizzati solo nelle ricerche nei log non elaborati e UDM.