ファイルを調査する

Google Security Operations を使用すると、MD5、SHA-1、SHA-256 のハッシュ値に基づいて特定のファイルのデータを検索できます。

お客様の Google Security Operations アカウント内のファイル ハッシュに関して、利用可能な追加情報がある場合、この追加情報は関連する UDM イベントに自動的に追加されます。これらの UDM イベントは、UDM 検索またはルールを使用して手動で検索できます。

ファイル ハッシュを表示する

ファイルのハッシュは、次の方法で表示できます。

  • [ファイル ハッシュ] ビューでファイルを直接表示する

  • 別のビューから [ファイ ルハッシュ] ビューに移動する

[ファイル ハッシュ] ビューでファイルを直接表示する

[ファイル ハッシュ] ビューを直接開くには、Google セキュリティ オペレーションの検索フィールドにハッシュ値を入力して、[検索] をクリックします。

Google Security Operations では、ファイルに関する次のような追加情報が提供されます。

  • パートナー エンジンの検出: ファイルを検出した他のセキュリティ ベンダー。

  • プロパティ / メタデータ: ファイルの既知のプロパティ。

  • VT に送信済み / ITW ファイル名: VirusTotal に送信された既知の不正な野放しの(ITW)マルウェア。

以下の手順に沿って、別のビュー([アセット] ビューなど)でアセットを調べているときに、[ファイル ハッシュ] ビューに移することも動できます。

  1. 調査ビューを開きます。たとえば、アセットを選択して、[アセット] ビュー内で表示します。

  2. 左側の [タイムライン] で、プロセスやファイルの変更に関連付けられているイベント([ネットワーク接続] など)までスクロールします。

    アセットビューでのイベントの選択 アセットビューでのイベントの選択

  3. [タイムライン] のオープン アイコンをクリックして、未加工のログと UDM ビューアを開きます。

  4. 表示された UDM イベント内でハッシュ値(principal.process.file.md5 など)をクリックすると、[ファイル ハッシュ] ビューが開きます。

考慮事項

[Hash] ビューには次の制限があります。

  • フィルタできるのは、このビューに表示されるイベントのみです。
  • このビューには、DNS、EDR、Webproxy、アラートのイベントタイプのみが入力されます。このビューに入力される最初の検知と最後の検知の情報も、これらのイベントタイプに限定されます。
  • 汎用イベントは、キュレートされたビューには表示されません。未加工ログと UDM 検索にのみ表示されます。