Datei prüfen

Mit Chronicle können Sie in Ihren Daten anhand des MD5-, SHA-1- oder SHA-256-Hashwerts nach einer bestimmten Datei suchen. Achten Sie darauf, dass Sie Daten von Geräten in Ihrem Netzwerk aufnehmen und normalisieren, z. B. EDR-Daten.

Wenn für einen Datei-Hash in einem Chronicle-Konto eines Kunden zusätzliche Informationen verfügbar sind, werden diese zusätzlichen Informationen automatisch den zugehörigen UDM-Ereignissen hinzugefügt. Sie können diese UDM-Ereignisse mit der UDM-Suche oder mithilfe von Regeln suchen.

So können Sie sich einen Datei-Hash ansehen:

  • Dateien direkt in der Hash-Ansicht ansehen

  • Von einer anderen Ansicht aus zur Hash-Ansicht wechseln

Dateien direkt in der Hash-Ansicht ansehen

Wenn Sie die Hash-Ansicht direkt öffnen möchten, geben Sie den Hash-Wert in das Chronicle-Suchfeld ein und klicken Sie auf Suchen.

Hash-Ansicht Hash-Ansicht

Chronicle bietet zusätzliche Informationen zur Datei, darunter:

  • Partner-Engines erkennen: Andere Sicherheitsanbieter, die die Datei erkannt haben

  • Eigenschaften/Metadaten: Bekannte Eigenschaften der Datei.

  • VT Gesendet / ITW-Dateinamen: Bekannte bösartige In-the-Wild-Malware (ITW) an VirusTotal gesendet.

Sie können die Hash-Ansicht auch aufrufen, während Sie ein Asset in einer anderen Ansicht untersuchen, z. B. in der Asset-Ansicht, indem Sie die folgenden Schritte ausführen:

  1. Öffnen Sie eine Prüfansicht. Sie können beispielsweise ein Asset auswählen, um es in der Asset-Ansicht aufzurufen.

  2. Scrollen Sie in der ZEITACHSE links zu einem Ereignis, das mit einem Prozess oder einer Dateiänderung verknüpft ist, z. B. Netzwerkverbindung.

    Ereignis in der Asset-Ansicht auswählen Ereignis in der Asset-Ansicht auswählen

  3. Öffnen Sie den Raw Log/UDM-Viewer, indem Sie in der ZEITACHSE auf das Symbol zum Öffnen klicken.

  4. Sie können die Hash-Ansicht für die Datei öffnen, indem Sie im angezeigten UDM-Ereignis auf den Hashwert klicken, z. B. „main.process.file.md5“.