在“哈希”视图中过滤数据

支持的平台:

“哈希”视图允许您根据文件的哈希值来搜索和调查文件。

打开“哈希”视图

您可以通过以下方式打开“哈希”视图:

  • 直接搜索文件哈希值
  • 在“资产”视图中查看基于进程或基于文件的事件时,切换到“哈希”视图

直接搜索文件哈希值

如需直接打开“哈希”视图,请执行以下操作:

  1. 在 Google Security Operations 搜索字段中输入哈希值。点击搜索

  2. 哈希菜单中选择哈希值。即会显示“哈希”视图。

您也可以在调查“资产”视图中的资产时转到“哈希”视图。

  1. 搜索资产并在“资产”视图中查看。即会显示“资产”视图。

  2. 在左侧的 Timeline 标签页中,滚动到与进程或文件修改关联的任何事件,例如 PROCESS_LAUNCH。

  3. 展开文件可查看详细信息并进行调查。

  4. 您可以通过点击“资产”视图中的哈希值来打开文件的“哈希”视图。即会显示“哈希”视图。

“哈希”视图中的“过滤”选项

“哈希”视图中提供了以下“过程过滤”选项:

  • 资产
  • 事件类型
  • 日志源
  • PID
  • 进程名称

需要更多帮助?向社区成员和 Google SecOps 专业人士寻求解答。