Examiner un fichier

Compatible avec :

Vous pouvez utiliser Google Security Operations pour rechercher un fichier spécifique dans vos données en fonction de sa valeur de hachage MD5, SHA-1 ou SHA-256.

Si des informations supplémentaires sont disponibles pour un hachage de fichier trouvé dans le compte Google SecOps d'un client, elles sont automatiquement ajoutées aux événements UDM associés. Vous pouvez rechercher manuellement ces événements UDM à l'aide de la recherche UDM ou à l'aide de règles.

Afficher le hachage d'un fichier

Pour afficher le hachage d'un fichier, vous pouvez :

  • Afficher directement un fichier dans la vue Hachage de fichier

  • Accéder à la vue Hachage du fichier depuis une autre vue

Afficher directement un fichier dans la vue Hachage de fichier

Pour ouvrir directement la vue Hachage du fichier, saisissez la valeur du hachage dans le champ de recherche Google SecOps, puis cliquez sur Rechercher.

Google SecOps fournit des informations supplémentaires sur le fichier, y compris les suivantes :

  • Moteurs partenaires ayant détecté le fichier : autres fournisseurs de sécurité ayant détecté le fichier.

  • Propriétés/Métadonnées : propriétés connues du fichier.

  • Noms de fichiers VT envoyés/ITW : logiciels malveillants connus en liberté (ITW) envoyés à VirusTotal.

Vous pouvez également accéder à la vue Hachage du fichier lorsque vous examinez un composant dans une autre vue (par exemple, la vue Composant) en procédant comme suit :

  1. Ouvrez une vue d'enquête. Par exemple, sélectionnez un composant pour l'afficher dans la vue des composants.

  2. Dans la chronologie à gauche, faites défiler la page jusqu'à un événement lié à une modification de processus ou de fichier, comme Connexion réseau.

    Sélectionner un événement dans la vue "Composant" Sélectionner un événement dans la vue "Composants"

  3. Ouvrez la visionneuse de journaux bruts et de données UDM en cliquant sur l'icône Ouvrir dans la timeline.

  4. Vous pouvez ouvrir la vue Hachage du fichier pour le fichier en cliquant sur la valeur de hachage (par exemple, principal.process.file.md5) dans l'événement UDM affiché.

Remarques

La vue hachée présente les limites suivantes :

  • Vous ne pouvez filtrer que les événements affichés dans cette vue.
  • Seuls les types d'événements DNS, EDR, Webproxy et Alerte sont renseignés dans cette vue. Les informations "Première vue" et "Dernière vue" renseignées dans cette vue sont également limitées à ces types d'événements.
  • Les événements génériques n'apparaissent dans aucune des vues sélectionnées. Elles n'apparaissent que dans les journaux bruts et les recherches UDM.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.