调查文件

支持的语言:

您可以使用 Google Security Operations 根据 MD5、SHA-1 或 SHA-256 哈希值在数据中搜索特定文件。

如果客户的 Google SecOps 账号中发现的文件哈希有其他信息,系统会自动将这些其他信息添加到关联的 UDM 事件中。您可以使用 UDM 搜索功能手动搜索这些 UDM 事件,也可以使用规则进行搜索。

查看文件哈希

如需查看文件哈希,您可以执行以下操作:

  • 直接在文件哈希视图中查看文件

  • 从其他视图导航到文件哈希视图

直接在“文件哈希”视图中查看文件

如需直接打开文件哈希视图,请在 Google SecOps 搜索字段中输入哈希值,然后点击搜索

Google SecOps 提供有关该文件的其他信息,包括:

  • 检测到文件的合作伙伴引擎:检测到文件的其他安全供应商。

  • 属性/元数据:文件的已知属性。

  • VT 提交的/ITW 文件名:提交到 VirusTotal 的已知恶意在野 (ITW) 恶意软件。

您也可以在其他视图(例如资产视图)中查看资产时,前往文件哈希视图,具体操作步骤如下:

  1. 打开调查视图。例如,选择某个素材资源可在“素材资源”视图中查看该素材资源。

  2. 在左侧的 Timeline 中,滚动到与进程或文件修改关联的任何事件,例如 Network Connection

    在“资产”视图中选择事件 在“资产”视图中选择事件

  3. 点击时间轴中的“打开”图标,打开原始日志和 UDM 查看器。

  4. 您可以通过点击显示的 UDM 事件中的哈希值(例如 principal.process.file.md5)来打开文件的文件哈希视图。

注意事项

哈希视图具有以下限制:

  • 您只能过滤此视图中显示的事件。
  • 此视图中仅填充了 DNS、EDR、Webproxy 和提醒事件类型。 此视图中填充的“首次发现”和“上次发现”信息也仅限于这些事件类型。
  • 通用事件不会显示在任何精选视图中。它们仅会出现在原始日志和 UDM 搜索中。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。