Se usó la API de Cloud Translation para traducir esta página.

Investigar un archivo

Compatible con:

Google SecOps SIEM

Puedes usar Google Security Operations para buscar un archivo específico en tus datos según su valor de hash MD5, SHA-1 o SHA-256.

Si hay información adicional disponible para un hash de archivo que se encuentra en la cuenta de Google SecOps de un cliente, esta información se agrega automáticamente a los eventos de UDM asociados. Puedes buscar estos eventos de UDM de forma manual con la Búsqueda de UDM o con reglas.

Cómo ver el hash de un archivo

Para ver el hash de un archivo, puedes hacer lo siguiente:

Cómo ver un archivo directamente en la vista Hash del archivo
Cómo navegar a la vista Hash del archivo desde otra vista

Cómo ver un archivo directamente en la vista Hash de archivo

Para abrir la vista Hash del archivo directamente, ingresa el valor del hash en el campo de búsqueda de Google SecOps y haz clic en Buscar.

Google SecOps proporciona información adicional sobre el archivo, incluida la siguiente:

Motores de socios que detectaron el archivo: Otros proveedores de seguridad que detectaron el archivo.
Propiedades/metadatos: Son las propiedades conocidas del archivo.
Nombres de archivos enviados a VT o detectados en la naturaleza: Software malicioso conocido detectado en la naturaleza (ITW) enviado a VirusTotal.

Cómo navegar a la vista de hash de archivo desde otra vista

También puedes navegar a la vista Hash del archivo mientras investigas un activo en otra vista (por ejemplo, la vista Activo) siguiendo estos pasos:

Abrir una vista de investigación Por ejemplo, selecciona un recurso para verlo en la vista de recursos.
En la línea de tiempo de la izquierda, desplázate hasta cualquier evento vinculado a un proceso o a una modificación de archivo, como Conexión de red.

Cómo seleccionar un evento en la vista de recursos
Haz clic en el ícono de abrir en la línea de tiempo para abrir el visor de registros sin procesar y de UDM.
Para abrir la vista Hash del archivo del archivo, haz clic en el valor de hash (por ejemplo, principal.process.file.md5) dentro del evento del UDM que se muestra.

Consideraciones

La vista de hash tiene las siguientes limitaciones:

Solo puedes filtrar los eventos que se muestran en esta vista.
En esta vista, solo se completan los tipos de eventos DNS, EDR, Webproxy y Alerta. La información de la primera y la última vez que se vio que se propaga en esta vista también se limita a estos tipos de eventos.
Los eventos genéricos no aparecen en ninguna de las vistas seleccionadas. Solo aparecen en las búsquedas de UDM y en los registros sin procesar.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.