Datei prüfen

Unterstützt in:

Sie können Google Security Operations verwenden, um in Ihren Daten nach einer bestimmten Datei zu suchen. seinen MD5-, SHA-1- oder SHA-256-Hashwert.

Wenn für einen Datei-Hash, der im Google Security Operations-Konto eines Kunden gefunden wurde, zusätzliche Informationen verfügbar sind, werden diese automatisch den zugehörigen UDM-Ereignissen hinzugefügt. Sie können manuell mit der UDM-Suche oder mithilfe von Regeln nach diesen UDM-Ereignissen suchen.

Datei-Hash ansehen

So rufen Sie einen Datei-Hash auf:

  • Datei direkt in der Ansicht Datei-Hash ansehen

  • Ansicht Datei-Hash aus einer anderen Ansicht aufrufen

Dateien direkt in der Datei-Hash-Ansicht ansehen

Wenn Sie die Ansicht Datei-Hash direkt öffnen möchten, geben Sie den Hash-Wert in das Suchfeld von Google Security Operations ein und klicken Sie auf Suchen.

Google Security Operations stellt zusätzliche Informationen zur Datei bereit, darunter:

  • Partner-Erkennungsmechanismen: Andere Sicherheitsanbieter, die die Datei erkannt haben.

  • Eigenschaften/Metadaten: Bekannte Eigenschaften der Datei.

  • Von VT eingereichte Dateien/ITW-Dateinamen: bekannte schädliche In-the-Wild-Malware (ITW) an VirusTotal gesendet.

Sie können auch die Ansicht Datei-Hash aufrufen, während Sie ein Asset in einem eine andere Datenansicht aufrufen (z. B. die Asset-Ansicht), indem Sie die folgenden Schritte ausführen:

  1. Öffnen Sie eine Prüfungsansicht. Wählen Sie beispielsweise ein Asset aus, um es in Asset-Ansicht

  2. Scrollen Sie links in der Zeitachse zu einem Ereignis, das mit einem Prozess oder Dateiänderungen, z. B. Network Connection.

    Ereignis in der Asset-Ansicht auswählen Ereignis in der Asset-Ansicht auswählen

  3. Öffnen Sie die Rohprotokoll- und UDM-Ansicht, indem Sie in der Zeitachse auf das Öffnen-Symbol klicken.

  4. Sie können die Ansicht Datei-Hash für die Datei öffnen, indem Sie im angezeigten UDM-Ereignis auf den Hash-Wert (z. B. principal.process.file.md5) klicken.

Hinweise

Für die Hash-Ansicht gelten die folgenden Einschränkungen:

  • Sie können nur Ereignisse filtern, die in dieser Ansicht angezeigt werden.
  • In dieser Ansicht werden nur DNS-, EDR-, Webproxy- und Benachrichtigungsereignisse erfasst. Die Informationen zum ersten und letzten Aufruf, die in dieser Ansicht angezeigt werden, sind ebenfalls auf diese Ereignistypen beschränkt.
  • Allgemeine Ereignisse werden in den ausgewählten Ansichten nicht angezeigt. Sie werden nur in Suchanfragen für Rohlogs und UDMs berücksichtigt.