Investigar un archivo

Puedes usar Google Security Operations para buscar en tus datos un archivo específico según su valor de hash MD5, SHA-1 o SHA-256.

Si hay información adicional disponible para un hash de archivo que se encuentra en la cuenta de Google Security Operations de un cliente, esta información adicional se agrega automáticamente a los eventos de UDM asociados. Puedes buscar estos eventos de UDM de forma manual con la búsqueda de UDM o con reglas.

Cómo ver un hash de archivo

Para ver un hash de archivo, puedes hacer lo siguiente:

  • Visualiza un archivo en la vista Hash de archivo directamente.

  • Navega a la vista File hash desde otra vista.

Cómo ver un archivo en la vista Hash de archivo directamente

Para abrir directamente la vista Hash de archivo, ingresa el valor de hash en el campo de búsqueda de Google Security Operations y haz clic en Buscar.

Google Security Operations proporciona información adicional sobre el archivo, incluida la siguiente:

  • Detección de motores de socios: Otros proveedores de seguridad que detectaron el archivo.

  • Propiedades/metadatos: Propiedades conocidas del archivo

  • Nombres de archivos de VT enviados/ITW: Software malicioso conocido y malicioso en el entorno (ITW) enviado a VirusTotal.

También puedes navegar a la vista Hash de archivo mientras investigas un elemento en otra vista (por ejemplo, la vista Asset). Para ello, sigue estos pasos:

  1. Abre una vista de investigación. Por ejemplo, selecciona un recurso para verlo en la vista de recursos.

  2. A la izquierda, en Timeline, desplázate hasta cualquier evento vinculado a un proceso o una modificación de archivo, como Network Connection.

    Cómo seleccionar un evento en la vista de recursos Selecciona un evento en la vista Asset

  3. Haz clic en el ícono de abrir en Cronograma para abrir el visor de registros sin procesar y de UDM.

  4. Puedes abrir la vista Hash de archivo del archivo si haces clic en el valor de hash (por ejemplo, principal.process.file.md5) dentro del evento de UDM que se muestra.

Consideraciones

La vista de hash tiene las siguientes limitaciones:

  • Solo puedes filtrar los eventos que se muestran en esta vista.
  • Solo los tipos de eventos DNS, EDR, Webproxy y alerta se propagan en esta vista. La información de primer y último caso que se propaga en esta vista también se limita a estos tipos de eventos.
  • Los eventos genéricos no aparecen en ninguna de las vistas seleccionadas. Solo aparecen en búsquedas de UDM y registros sin procesar.