Menyelidiki file

Anda dapat menggunakan Chronicle untuk menelusuri file tertentu di data Anda berdasarkan nilai hash MD5, SHA-1, atau SHA-256.

Jika tersedia informasi tambahan untuk hash file yang ditemukan dalam akun Chronicle pelanggan, informasi tambahan ini akan otomatis ditambahkan ke peristiwa UDM terkait. Anda dapat menelusuri peristiwa UDM ini secara manual menggunakan Penelusuran UDM atau menggunakan aturan.

Melihat hash file

Untuk melihat hash file, Anda dapat:

  • Melihat file dalam tampilan Hash file secara langsung

  • Membuka tampilan Hash file dari tampilan lain

Melihat file dalam tampilan hash File secara langsung

Untuk membuka tampilan File hash secara langsung, masukkan nilai hash di kolom penelusuran Chronicle, lalu klik Search.

Chronicle memberikan informasi tambahan tentang file, termasuk hal berikut:

  • Deteksi mesin partner: Vendor keamanan lain yang telah mendeteksi file.

  • Properti/metadata: Properti file yang diketahui.

  • Nama file VT yang dikirimkan/ITW: Malware berbahaya yang terdeteksi di alam (ITW) yang diketahui dan dikirimkan ke VirusTotal.

Anda juga dapat membuka tampilan Hash file saat menyelidiki aset di tampilan lain (misalnya, tampilan Asset) dengan menyelesaikan langkah-langkah berikut:

  1. Buka tampilan investigasi. Misalnya, pilih aset untuk melihatnya dalam Asset view.

  2. Pada Linimasa di sebelah kiri, scroll ke peristiwa yang terkait dengan proses atau perubahan file, seperti Koneksi Jaringan.

    Memilih Peristiwa di Tampilan Aset Memilih Peristiwa di tampilan Aset

  3. Buka penampil Log Mentah dan UDM dengan mengklik ikon buka di Linimasa.

  4. Anda dapat membuka tampilan File hash untuk file dengan mengklik nilai hash (misalnya, principal.process.file.md5) dalam peristiwa UDM yang ditampilkan.

Pertimbangan

Tampilan hash memiliki batasan berikut:

  • Anda hanya dapat memfilter acara yang ditampilkan di tampilan ini.
  • Hanya jenis peristiwa DNS, EDR, Webproxy, dan Notifikasi yang diisi di tampilan ini. Informasi yang pertama dilihat dan terakhir dilihat yang diisi dalam tampilan ini juga terbatas untuk jenis peristiwa ini.
  • Peristiwa umum tidak muncul di tampilan hasil seleksi mana pun. Laporan ini hanya muncul di penelusuran log mentah dan UDM.