Menyelidiki file
Anda dapat menggunakan Chronicle untuk menelusuri file tertentu di data Anda berdasarkan nilai hash MD5, SHA-1, atau SHA-256.
Jika tersedia informasi tambahan untuk hash file yang ditemukan dalam akun Chronicle pelanggan, informasi tambahan ini akan otomatis ditambahkan ke peristiwa UDM terkait. Anda dapat menelusuri peristiwa UDM ini secara manual menggunakan Penelusuran UDM atau menggunakan aturan.
Melihat hash file
Untuk melihat hash file, Anda dapat:
Melihat file dalam tampilan Hash file secara langsung
Membuka tampilan Hash file dari tampilan lain
Melihat file dalam tampilan hash File secara langsung
Untuk membuka tampilan File hash secara langsung, masukkan nilai hash di kolom penelusuran Chronicle, lalu klik Search.
Chronicle memberikan informasi tambahan tentang file, termasuk hal berikut:
Deteksi mesin partner: Vendor keamanan lain yang telah mendeteksi file.
Properti/metadata: Properti file yang diketahui.
Nama file VT yang dikirimkan/ITW: Malware berbahaya yang terdeteksi di alam (ITW) yang diketahui dan dikirimkan ke VirusTotal.
Membuka tampilan hash File dari tampilan lain
Anda juga dapat membuka tampilan Hash file saat menyelidiki aset di tampilan lain (misalnya, tampilan Asset) dengan menyelesaikan langkah-langkah berikut:
Buka tampilan investigasi. Misalnya, pilih aset untuk melihatnya dalam Asset view.
Pada Linimasa di sebelah kiri, scroll ke peristiwa yang terkait dengan proses atau perubahan file, seperti Koneksi Jaringan.
Memilih Peristiwa di tampilan Aset
Buka penampil Log Mentah dan UDM dengan mengklik ikon buka di Linimasa.
Anda dapat membuka tampilan File hash untuk file dengan mengklik nilai hash (misalnya, principal.process.file.md5) dalam peristiwa UDM yang ditampilkan.
Pertimbangan
Tampilan hash memiliki batasan berikut:
- Anda hanya dapat memfilter acara yang ditampilkan di tampilan ini.
- Hanya jenis peristiwa DNS, EDR, Webproxy, dan Notifikasi yang diisi di tampilan ini. Informasi yang pertama dilihat dan terakhir dilihat yang diisi dalam tampilan ini juga terbatas untuk jenis peristiwa ini.
- Peristiwa umum tidak muncul di tampilan hasil seleksi mana pun. Laporan ini hanya muncul di penelusuran log mentah dan UDM.