Investigar un archivo

Compatible con:

Puedes usar Google Security Operations para buscar un archivo específico en tus datos según su valor de hash MD5, SHA-1 o SHA-256.

Si hay información adicional disponible para un hash de archivo que se encuentra en la etiqueta del cliente cuenta de Google Security Operations, esta información adicional se agrega al eventos UDM asociados automáticamente. Puedes buscar estos eventos de la UDM manualmente con la Búsqueda de la UDM o con reglas.

Cómo ver el hash de un archivo

Para ver un hash de archivo, puedes hacer lo siguiente:

  • Visualiza un archivo en la vista Hash de archivo directamente.

  • Navega a la vista File hash desde otra vista.

Cómo ver un archivo en la vista Hash de archivo directamente

Para abrir directamente la vista File hash, ingresa el valor de hash en Campo de búsqueda de Google Security Operations y haz clic en Search.

Google Security Operations proporciona información adicional sobre el archivo, incluida la lo siguiente:

  • Detección de motores de socios: Otros proveedores de seguridad que detectaron el .

  • Propiedades/metadatos: Propiedades conocidas del archivo

  • Nombres de archivos de VT enviados o de ITW: Software malicioso conocido y malicioso en el entorno (ITW) enviados a VirusTotal.

También puedes navegar a la vista Hash del archivo mientras investigas un activo en una otra vista (por ejemplo, la vista de Activo) siguiendo estos pasos:

  1. Abre una vista de investigación. Por ejemplo, selecciona un recurso para verlo en la vista de recursos.

  2. A la izquierda, en Cronograma, desplázate hasta cualquier evento vinculado a un proceso o una modificación de archivo, como Network Connection.

    Cómo seleccionar un evento en la vista de recursos Selecciona un evento en la vista Asset

  3. Haz clic en el ícono de abrir en Cronograma para abrir el visor de registros sin procesar y de UDM.

  4. Puedes abrir la vista File hash del archivo haciendo clic en el valor de hash (para (ejemplo, principal.process.file.md5) dentro del evento de UDM que se muestra.

Consideraciones

La vista de hash tiene las siguientes limitaciones:

  • Solo puedes filtrar los eventos que se muestran en esta vista.
  • En esta vista, solo se propagan los tipos de eventos DNS, EDR, Webproxy y Alerta. También se limita la información sobre el primer y el último caso que se muestra en esta vista. a estos tipos de eventos.
  • Los eventos genéricos no aparecen en ninguna de las vistas seleccionadas. Solo aparecen en en las búsquedas de UDM y registros sin procesar.