Cómo filtrar datos en la vista Hash

La vista de hash te permite buscar e investigar archivos en función de su valor de hash.

Abrir vista de hash

Puedes abrir la vista de hash de las siguientes maneras:

Busca directamente el hash del archivo
Pivotar a vista de hash cuando se visualiza un evento basado en archivos o procesos en la vista de elementos

Para abrir la vista de hash directamente, haz lo siguiente:

Ingresa el valor de hash en el campo de búsqueda de Chronicle. Haga clic en BUSCAR.

Buscar el hash en la página de destino
Selecciona el valor de hash en el menú desplegable HASHES.

Menú de detección automática de la búsqueda de Chronicle
Se muestra la vista de hash.

Vista de hash

También puedes navegar a la vista de hash mientras investigas un activo en la vista de activos.

Busca un activo y míralo en la vista de activos.

Buscar el elemento desde la página de destino
Se mostrará la vista de elementos.

Vista de elementos
Desde la pestaña TIMELINE a la izquierda, desplázate hacia abajo hasta cualquier evento vinculado a un proceso o modificación de archivo, como Process_LAUNCH.

Nota: Si no puedes ubicar PROCESS_LAUNCH en la columna Event, cambia la fecha de inicio en la esquina superior izquierda unos días antes de la fecha actual. Además, desliza el control deslizante de tiempo en la esquina superior derecha hasta 1 día. Al hacerlo, se actualizará el panel TIMELINE y se mostrarán los demás eventos obligatorios.

Aumente el intervalo de tiempo para encontrar eventos
Expande el archivo para ver los detalles y poder investigar.

Buscar un proceso o un evento relacionado con archivos
Para abrir la vista de hash del archivo, haz clic en el valor de hash en la vista de elementos.

Vínculo de valor de hash en la vista de elementos
Se muestra la vista de hash.

Vista de hash

Las siguientes opciones de filtrado de procedimientos están disponibles en la vista de hash:

Opciones de filtrado de vistas de hash