Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

בדיקת קובץ

נתמך ב:

Google secops SIEM

אתם יכולים להשתמש ב-Google Security Operations כדי לחפש בקובץ נתונים מסוים על סמך ערך הגיבוב (hash) שלו בפורמט MD5,‏ SHA-1 או SHA-256.

אם יש מידע נוסף על גיבוב קבצים שנמצא בחשבון Google SecOps של לקוח, המידע הנוסף הזה יתווסף אוטומטית לאירועי UDM המשויכים. אפשר לחפש את אירועי ה-UDM האלה באופן ידני באמצעות UDM Search או באמצעות כללים.

הצגת גיבוב (hash) של קובץ

כדי להציג גיבוב (hash) של קובץ:

צפייה ישירה בקובץ בתצוגה גיבוב קובץ
מעבר לתצוגה File hash מתצוגה אחרת

הצגת קובץ ישירות בתצוגת הגיבוב (hashing) של הקובץ

כדי לפתוח ישירות את התצוגה File hash, מזינים את ערך הגיבוב בשדה החיפוש של Google SecOps ולוחצים על Search.

‫Google SecOps מספק מידע נוסף על הקובץ, כולל:

מנועי שותפים שמזהים: ספקי אבטחה אחרים שזיהו את הקובץ.
מאפיינים/מטא-נתונים: מאפיינים מוכרים של הקובץ.
שמות קבצים שנשלחו ל-VT או שמות קבצים של תוכנות זדוניות בטבע (ITW): תוכנות זדוניות ידועות בטבע (ITW) שנשלחו ל-VirusTotal.

מעבר לתצוגה של הגיבוב (hash) של הקובץ מתצוגה אחרת

אפשר גם לעבור לתצוגה File hash בזמן בדיקת נכס בתצוגה אחרת (לדוגמה, בתצוגה Asset). כדי לעשות זאת:

פותחים תצוגת חקירה. לדוגמה, בוחרים נכס כדי להציג אותו בתצוגת הנכסים.
בציר הזמן שמימין, גוללים לאירוע שקשור לתהליך או לשינוי בקובץ, כמו Network Connection (חיבור לרשת).

בחירת אירוע בתצוגת הנכסים
כדי לפתוח את הכלי Raw Log and UDM viewer (צפייה ביומן הגולמי וב-UDM), לוחצים על סמל הפתיחה בציר הזמן.
כדי לפתוח את התצוגה File hash של הקובץ, לוחצים על ערך הגיבוב (למשל, principal.process.file.md5) באירוע UDM שמוצג.

לתשומת ליבכם

ההגבלות הבאות חלות על תצוגת הגיבוב:

אפשר לסנן רק אירועים שמוצגים בתצוגה הזו.
רק סוגי האירועים DNS,‏ EDR,‏ Webproxy ו-Alert מאוכלסים בתצוגה הזו. גם המידע על הפעם הראשונה והפעם האחרונה שבהן נצפו אירועים, שמאוכלס בתצוגה הזו, מוגבל לסוגי האירועים האלה.
אירועים כלליים לא מופיעים באף אחת מהתצוגות המאורגנות. הם מופיעים רק בחיפושים ביומן הגולמי וב-UDM.

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.