Indagine su un file

Supportato in:

Puoi utilizzare Google Security Operations per cercare nei tuoi dati un file specifico in base al suo valore hash MD5, SHA-1 o SHA-256.

Se sono disponibili informazioni aggiuntive per un hash file trovato nell'account Google Security Operations di un cliente, queste informazioni vengono aggiunte automaticamente agli eventi UDM associati. Puoi cercare questi eventi UDM manualmente utilizzando la ricerca UDM o le regole.

Visualizzare l'hash di un file

Per visualizzare l'hash di un file, puoi:

  • Visualizzare direttamente un file nella visualizzazione Hash file

  • Passare alla visualizzazione Hash file da un'altra visualizzazione

Visualizzare direttamente un file nella visualizzazione Hash file

Per aprire direttamente la visualizzazione Hash file, inserisci il valore dell'hash nel campo di ricerca di Google Security Operations e fai clic su Cerca.

Google Security Operations fornisce informazioni aggiuntive sul file, tra cui:

  • Motori partner che rilevano: altri fornitori di soluzioni di sicurezza che hanno rilevato il file.

  • Proprietà/metadati: proprietà note del file.

  • Nomi file inviati a VT/malware ITW: malware ITW (in-the-wild) dannosi noti inviati a VirusTotal.

Puoi anche passare alla visualizzazione Hash file durante l'indagine di una risorsa in un'altra visualizzazione (ad es. la visualizzazione Risorsa) completando i seguenti passaggi:

  1. Apri una visualizzazione dell'indagine. Ad esempio, seleziona un asset per visualizzarlo nella vista Asset.

  2. Nella Cronologia a sinistra, scorri fino a un evento correlato a un processo o alla modifica di un file, ad esempio Connessione di rete.

    Selezionare un evento nella visualizzazione Asset Selezionare un evento nella visualizzazione Asset

  3. Apri il visualizzatore dei log non elaborati e di UDM facendo clic sull'icona Apri nella Sequenza temporale.

  4. Puoi aprire la visualizzazione Hash file per il file facendo clic sul valore hash (ad es. principal.process.file.md5) all'interno dell'evento UDM visualizzato.

Considerazioni

La visualizzazione hash presenta le seguenti limitazioni:

  • Puoi filtrare solo gli eventi visualizzati in questa visualizzazione.
  • In questa visualizzazione vengono compilati solo i tipi di eventi DNS, EDR, Webproxy e Avviso. Anche le informazioni su prima visualizzazione e ultima visualizzazione inserite in questa visualizzazione sono limitate a questi tipi di eventi.
  • Gli eventi generici non vengono visualizzati in nessuna delle visualizzazioni selezionate. Vengono visualizzati solo nelle ricerche dei log non elaborati e UDM.