Investigar un archivo

Disponible en:

Puedes usar Google Security Operations para buscar un archivo específico en tus datos en función de su valor de hash MD5, SHA-1 o SHA-256.

Si hay información adicional disponible sobre un hash de archivo encontrado en la cuenta de Google SecOps de un cliente, esta información se añade automáticamente a los eventos de UDM asociados. Puedes buscar estos eventos de UDM manualmente con la búsqueda de UDM o mediante reglas.

Ver el hash de un archivo

Para ver el hash de un archivo, puedes hacer lo siguiente:

  • Ver un archivo directamente en la vista Hash de archivo

  • Ir a la vista Hash de archivo desde otra vista

Ver un archivo directamente en la vista de hash de archivo

Para abrir directamente la vista Hash de archivo, introduce el valor del hash en el campo de búsqueda de Google SecOps y haz clic en Buscar.

Google SecOps proporciona información adicional sobre el archivo, como la siguiente:

  • Buscadores de partners que lo detectan: otros proveedores de seguridad que han detectado el archivo.

  • Propiedades o metadatos: propiedades conocidas del archivo.

  • Nombres de archivos enviados a VT o ITW: malware malicioso conocido en la naturaleza enviado a VirusTotal.

También puede ir a la vista Hash de archivo mientras investiga un recurso en otra vista (por ejemplo, la vista Recurso) siguiendo estos pasos:

  1. Abre una vista de investigación. Por ejemplo, selecciona un recurso para verlo en la vista de recursos.

  2. En la cronología de la izquierda, desplázate hasta cualquier evento vinculado a un proceso o a una modificación de un archivo, como Conexión de red.

    Seleccionar un evento en la vista de recursos Seleccionar un evento en la vista Recursos

  3. Para abrir el registro sin procesar y el visor de UDM, haz clic en el icono de abrir de la línea de tiempo.

  4. Para abrir la vista Hash del archivo del archivo, haga clic en el valor de hash (por ejemplo, principal.process.file.md5) del evento de UDM que se muestra.

Cuestiones importantes

La vista de hash tiene las siguientes limitaciones:

  • Solo puedes filtrar los eventos que se muestran en esta vista.
  • En esta vista solo se rellenan los tipos de evento DNS, EDR, Webproxy y Alert. La información sobre la primera y la última vez que se ha visto que se muestra en esta vista también se limita a estos tipos de eventos.
  • Los eventos genéricos no aparecen en ninguna de las vistas seleccionadas. Solo aparecen en los registros sin procesar y en las búsquedas de UDM.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.