Investigar um arquivo

Compatível com:

Você pode usar o Google Security Operations para pesquisar um arquivo específico nos dados com base no valor de hash MD5, SHA-1 ou SHA-256.

Se houver outras informações disponíveis para um hash de arquivo encontrado na conta do Google Security Operations de um cliente, elas serão adicionadas automaticamente aos eventos do UDM associados. Você pode pesquisar estes eventos de UDM usando a pesquisa UDM ou regras.

Conferir o hash de um arquivo

Para conferir um hash de arquivo, você pode:

  • Acessar um arquivo na visualização Hash de arquivo

  • Navegar até a visualização Hash de arquivo de outra visualização

Acessar um arquivo diretamente na visualização "Hash de arquivo"

Para abrir a visualização Hash de arquivo diretamente, insira o valor de hash no campo de pesquisa do Google Security Operations e clique em Pesquisar.

O Google Security Operations fornece mais informações sobre o arquivo, incluindo as seguintes:

  • Mecanismos de parceiros detectando: outros fornecedores de segurança que detectaram o arquivo.

  • Propriedades/metadados: propriedades conhecidas do arquivo.

  • VT submitted/ITW filenames: malware conhecido e malicioso enviado ao VirusTotal.

Você também pode acessar a visualização Hash do arquivo ao investigar um recurso em uma outra vista (por exemplo, visualização Recurso) concluindo as seguintes etapas:

  1. Abra uma visualização de investigação. Por exemplo, selecione um recurso para visualizá-lo Visualização de recursos.

  2. Na Linha do tempo à esquerda, role até qualquer evento vinculado a um processo ou modificação de arquivo, como Conexão de rede.

    Seleção de um evento na visualização de recursos Como selecionar um evento na visualização de recursos

  3. Abra o visualizador de registros brutos e da UDM clicando no ícone de abertura na Linha do tempo.

  4. Para abrir a visualização Hash do arquivo, clique no valor do hash (por exemplo, principal.process.file.md5) no evento UDM exibido.

Considerações

A visualização de hash tem as seguintes limitações:

  • Só é possível filtrar os eventos que aparecem nessa visualização.
  • Somente os tipos de evento DNS, EDR, Webproxy e Alert são preenchidos nessa visualização. As informações de primeira e última visualização preenchidas nessa visualização também são limitadas a esses tipos de evento.
  • Os eventos genéricos não aparecem em nenhuma das visualizações selecionadas. Eles aparecem somente em registros brutos e pesquisas UDM.