Esta página foi traduzida pela API Cloud Translation.

Investigar um arquivo

Use as Operações de segurança do Google para pesquisar seus dados em busca de um arquivo específico com base no valor de hash MD5, SHA-1 ou SHA-256.

Se outras informações estiverem disponíveis para um hash de arquivo encontrado na conta de operações de segurança do Google de um cliente, elas serão adicionadas automaticamente aos eventos de UDM associados. É possível pesquisar esses eventos de UDM manualmente usando a pesquisa do UDM ou regras.

Ver um hash de arquivo

Para conferir um hash de arquivo, você pode:

Acessar um arquivo diretamente na visualização Hash do arquivo
Acesse a visualização Hash do arquivo em outra visualização.

Acessar um arquivo diretamente na visualização "Hash de arquivo"

Para abrir a visualização Hash do arquivo diretamente, insira o valor de hash no campo de pesquisa do Google Security Operations e clique em Search.

O Google Security Operations fornece mais informações sobre o arquivo, incluindo:

Detecção de mecanismos de parceiros: outros fornecedores de segurança que detectaram o arquivo.
Propriedades/metadados: propriedades conhecidas do arquivo.
Nomes de arquivo VT enviados/ITW: malware conhecido e mal-intencionado (ITW, na sigla em inglês) enviado ao VirusTotal.

Navegar para a visualização "Hash de arquivo" em outra visualização

Você também pode navegar até a visualização Hash do arquivo ao investigar um recurso em outra visualização (por exemplo, Recurso) seguindo estas etapas:

Abra uma visualização de investigação. Por exemplo, selecione um recurso para visualizá-lo na visualização de recursos.
Na Linha do tempo à esquerda, role até qualquer evento vinculado a um processo ou modificação de arquivo, como Conexão de rede.

Selecionar um evento na visualização "Recursos"
Clique no ícone de abrir na linha do tempo para abrir o registro bruto e o visualizador de UDM.
Para abrir a visualização Hash do arquivo do arquivo, clique no valor de hash (por exemplo, principal.process.file.md5) no evento UDM exibido.

Considerações

A visualização de hash tem as seguintes limitações:

Só é possível filtrar eventos que são exibidos nessa vista da propriedade.
Somente os tipos de evento DNS, EDR, Webproxy e alerta são preenchidos nessa visualização. As informações preenchidas pela primeira vez e pela última vez exibidas nessa visualização também estão limitadas a esses tipos de evento.
Eventos genéricos não aparecem em nenhuma das visualizações selecionadas. Eles só aparecem em registros brutos e pesquisas de UDM.