調查檔案

支援的國家/地區:

您可以使用 Google Security Operations,根據特定檔案的 MD5、SHA-1 或 SHA-256 雜湊值搜尋資料。

如果客戶的 Google SecOps 帳戶中找到檔案雜湊值,且有其他相關資訊,系統會自動將這些資訊新增至相關聯的 UDM 事件。您可以使用 UDM 搜尋或規則,手動搜尋這些 UDM 事件。

查看檔案雜湊值

如要查看檔案雜湊值,請按照下列步驟操作:

  • 直接在「檔案雜湊」檢視畫面中查看檔案

  • 從其他檢視畫面前往「檔案雜湊」檢視畫面

直接在檔案雜湊檢視畫面中查看檔案

如要直接開啟「檔案雜湊」檢視畫面,請在 Google SecOps 搜尋欄位中輸入雜湊值,然後按一下「搜尋」

Google SecOps 會提供檔案的其他資訊,包括:

  • 偵測到檔案的合作夥伴引擎:偵測到檔案的其他安全廠商。

  • 屬性/中繼資料:檔案的已知屬性。

  • VT 提交/ITW 檔案名稱:提交至 VirusTotal 的已知惡意 ITW 惡意軟體。

您也可以在其他檢視畫面 (例如「資產」檢視畫面) 中調查資產時,按照下列步驟前往「檔案雜湊」檢視畫面:

  1. 開啟調查檢視畫面。舉例來說,選取素材資源即可在素材資源檢視畫面中查看。

  2. 在左側的「時間軸」中,捲動至與程序或檔案修改相關的任何事件,例如「網路連線」

    在資產檢視中選取活動 在素材資源檢視中選取活動

  3. 按一下「時間軸」中的開啟圖示,開啟原始記錄和 UDM 檢視器。

  4. 如要開啟檔案的「檔案雜湊」檢視畫面,請在顯示的 UDM 事件中按一下雜湊值 (例如 principal.process.file.md5)。

注意事項

雜湊檢視畫面有下列限制:

  • 您只能篩選這個檢視畫面中顯示的事件。
  • 這個檢視畫面只會填入 DNS、EDR、Webproxy 和警示事件類型。 這個檢視畫面中填入的首次和上次出現資訊,也僅限於這些事件類型。
  • 一般事件不會顯示在任何精選檢視畫面中。這類項目只會顯示在原始記錄和 UDM 搜尋中。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。