在“哈希”视图中过滤数据
支持的平台:
Google SecOps
SIEM
“哈希”视图允许您根据文件的哈希值来搜索和调查文件。
打开“哈希”视图
您可以通过以下方式打开“哈希”视图:
- 直接搜索文件哈希值
- 在“资产”视图中查看基于进程或基于文件的事件时,切换到“哈希”视图
直接搜索文件哈希值
如需直接打开“哈希”视图,请执行以下操作:
在 Google Security Operations 搜索字段中输入哈希值。点击搜索。
从哈希菜单中选择哈希值。即会显示“哈希”视图。
从“资产”视图导航到“哈希”视图
您也可以在调查“资产”视图中的资产时转到“哈希”视图。
搜索资产并在“资产”视图中查看。即会显示“资产”视图。
在左侧的 Timeline 标签页中,滚动到与进程或文件修改关联的任何事件,例如 PROCESS_LAUNCH。
展开文件可查看详细信息并进行调查。
您可以通过点击“资产”视图中的哈希值来打开文件的“哈希”视图。即会显示“哈希”视图。
“哈希”视图中的“过滤”选项
“哈希”视图中提供了以下“过程过滤”选项:
- 资产
- 事件类型
- 日志源
- PID
- 进程名称