Investigar um arquivo

Compatível com:

Você pode usar as Operações de segurança do Google para pesquisar seus dados em busca de um arquivo específico com base no o valor de hash MD5, SHA-1 ou SHA-256.

Se houver mais informações disponíveis sobre um hash de arquivo encontrado no hash de um cliente na conta de Operações de Segurança do Google, eventos de UDM associados automaticamente. Você pode pesquisar estes eventos de UDM usando a pesquisa UDM ou regras.

Ver um hash de arquivo

Para conferir um hash de arquivo, você pode:

  • Acessar um arquivo diretamente na visualização Hash do arquivo

  • Acesse a visualização Hash do arquivo em outra visualização.

Acessar um arquivo diretamente na visualização "Hash de arquivo"

Para abrir a visualização Hash de arquivo diretamente, insira o valor de hash no campo de pesquisa do Google Security Operations e clique em Pesquisar.

As Operações de segurança do Google fornecem mais informações sobre o arquivo, incluindo as seguintes:

  • Detecção de mecanismos de parceiros: outros fornecedores de segurança que detectaram a .

  • Propriedades/metadados: propriedades conhecidas do arquivo.

  • Nomes de arquivo VT enviados/ITW: malware conhecido e malicioso em segundo plano (ITW, na sigla em inglês). enviados ao VirusTotal.

Você também pode acessar a visualização Hash do arquivo ao investigar um recurso em uma outra vista (por exemplo, visualização Recurso) concluindo as seguintes etapas:

  1. Abra uma visualização de investigação. Por exemplo, selecione um recurso para visualizá-lo Visualização de recursos.

  2. Na Linha do tempo à esquerda, role até qualquer evento vinculado a um processo ou modificação de arquivo, como Conexão de rede.

    Seleção de um evento na visualização de recursos Como selecionar um evento na visualização "Recursos"

  3. Clique no ícone de abrir na linha do tempo para abrir o registro bruto e o visualizador de UDM.

  4. Para abrir a visualização Hash do arquivo do arquivo, clique no valor de hash (em exemplo, principal.process.file.md5) no evento de UDM exibido.

Considerações

A visualização de hash tem as seguintes limitações:

  • Só é possível filtrar os eventos que aparecem nessa visualização.
  • Somente os tipos de evento DNS, EDR, Webproxy e alerta são preenchidos nessa visualização. As informações preenchidas pela primeira e última visualização nessa visualização também são limitadas a esses tipos de evento.
  • Eventos genéricos não aparecem em nenhuma das visualizações selecionadas. Eles aparecem somente em registros brutos e pesquisas UDM.