Cómo filtrar datos en la vista Hash

La vista de hash te permite buscar y, también, investigar archivos en función de su valor de hash.

Abrir vista de hash

Puedes abrir la vista de hash de las siguientes maneras:

Cómo buscar directamente el hash del archivo
Pivotar a vista de hash cuando se visualiza un evento basado en procesos o archivos en la vista de activos

Para abrir la vista de hash directamente, haz lo siguiente:

Ingresa el valor de hash en el campo de búsqueda de Chronicle. Haga clic en BUSCAR.

Busque el hash en la página de destino
Selecciona el valor de hash en el menú desplegable HASHES.

Menú de detección automática de la búsqueda de Chronicle
Se muestra la vista de hash.

Vista de hash

También puedes navegar a la vista Hash mientras investigas un elemento en la vista Activo.

Buscar un elemento y visualizarlo en la vista de elementos

Busque el elemento en la página de destino
Se mostrará la vista de elementos.

Vista de elementos
En la pestaña TIMELINE de la izquierda, desplázate hacia abajo hasta cualquier evento vinculado a un proceso o modificación de archivo, como PROCESS_LAUNCH.

Nota: Si no puedes ubicar PROCESS_LAUNCH en la columna Evento, cambia la fecha de inicio en la esquina superior izquierda por unos días antes de la fecha actual. Además, desliza el control deslizante de tiempo en la esquina superior derecha a 1 día. Cuando lo hagas, se actualizará el panel TIMELINE y se mostrarán los demás eventos necesarios.

Aumente el intervalo de tiempo para encontrar eventos
Expande el archivo para ver los detalles y, luego, investigar.

Buscar un proceso o evento relacionado con archivos
Para abrir la vista de hash del archivo, haz clic en el valor de hash de la vista de activos.

Vínculo de valor hash en la vista Activo
Se muestra la vista de hash.

Vista de hash

Las siguientes opciones de filtrado de procedimientos están disponibles en la vista de hash:

Opciones de filtrado de vistas de hash