Indagine su un file

Supportato in:

Puoi utilizzare Google Security Operations per cercare nei tuoi dati un file specifico in base al valore hash MD5, SHA-1 o SHA-256.

Se sono disponibili informazioni aggiuntive per un hash di file trovato nell'account Google SecOps di un cliente, queste informazioni vengono aggiunte automaticamente agli eventi UDM associati. Puoi cercare questi eventi UDM manualmente utilizzando la ricerca UDM o tramite le regole.

Visualizzare l'hash di un file

Per visualizzare l'hash di un file, puoi:

  • Visualizzare direttamente un file nella visualizzazione Hash file

  • Passare alla visualizzazione Hash file da un'altra visualizzazione

Visualizzare direttamente un file nella visualizzazione Hash file

Per aprire direttamente la visualizzazione Hash file, inserisci il valore hash nel campo di ricerca di Google SecOps e fai clic su Cerca.

Google SecOps fornisce ulteriori informazioni sul file, tra cui le seguenti:

  • Motori partner che rilevano: altri fornitori di sicurezza che hanno rilevato il file.

  • Proprietà/metadati: proprietà note del file.

  • Nomi file inviati a VT/ITW: malware dannoso noto in the wild (ITW) inviato a VirusTotal.

Puoi anche passare alla visualizzazione Hash file mentre esamini una risorsa in un'altra visualizzazione (ad esempio, la visualizzazione Risorsa) completando i seguenti passaggi:

  1. Apri una visualizzazione dell'indagine. Ad esempio, seleziona un asset per visualizzarlo nella visualizzazione Asset.

  2. Nella Cronologia a sinistra, scorri fino a un evento collegato a un processo o alla modifica di un file, ad esempio Connessione di rete.

    Selezionare un evento nella visualizzazione asset Selezionare un evento nella visualizzazione Asset

  3. Apri il visualizzatore di log non elaborati e UDM facendo clic sull'icona di apertura nella sequenza temporale.

  4. Puoi aprire la visualizzazione Hash file per il file facendo clic sul valore hash (ad esempio principal.process.file.md5) all'interno dell'evento UDM visualizzato.

Considerazioni

La visualizzazione hash presenta le seguenti limitazioni:

  • Puoi filtrare solo gli eventi visualizzati in questa visualizzazione.
  • In questa visualizzazione vengono compilati solo i tipi di eventi DNS, EDR, Webproxy e Avviso. Le informazioni relative alla prima e all'ultima visualizzazione inserite in questa visualizzazione sono limitate anche a questi tipi di eventi.
  • Gli eventi generici non vengono visualizzati in nessuna delle visualizzazioni curate. Vengono visualizzati solo nei log grezzi e nelle ricerche UDM.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.