Datei prüfen

Sie können Chronicle verwenden, um Ihre Daten anhand ihres MD5-, SHA-1- oder SHA-256-Hashwerts nach einer bestimmten Datei zu suchen.

Wenn zusätzliche Informationen für einen Datei-Hash verfügbar sind, der im Chronicle-Konto eines Kunden gefunden wurde, werden diese zusätzlichen Informationen automatisch den zugehörigen UDM-Ereignissen hinzugefügt. Sie können nach diesen UDM-Ereignissen suchen, indem Sie die UDM-Suche oder Regeln verwenden.

Datei-Hash ansehen

So können Sie sich einen Datei-Hash ansehen:

  • Datei direkt in der Ansicht Datei-Hash ansehen

  • Rufen Sie in einer anderen Ansicht die Ansicht Datei-Hash auf.

Datei direkt in der Ansicht „Datei-Hash“ ansehen

Wenn Sie die Ansicht Datei-Hash direkt öffnen möchten, geben Sie den Hashwert in das Suchfeld von Chronicle ein und klicken Sie auf Search (Suchen).

Chronicle bietet unter anderem folgende zusätzliche Informationen zur Datei:

  • Erkennung von Partner-Engines: Andere Sicherheitsanbieter, die die Datei erkannt haben.

  • Attribute/metadata: Bekannte Attribute der Datei.

  • VT-eingereichte/ITW-Dateinamen: Bekannte, schädliche In-the-Wild-Malware (ITW), die an VirusTotal gesendet wurde.

Sie können auch zur Ansicht Datei-Hash wechseln, während Sie ein Asset in einer anderen Ansicht (z. B. Asset) untersuchen. Gehen Sie dazu so vor:

  1. Öffnen Sie eine Prüfungsansicht. Sie können beispielsweise ein Asset auswählen, um es in der Asset-Ansicht aufzurufen.

  2. Scrollen Sie in der Zeitachse links zu jedem Ereignis im Zusammenhang mit einem Prozess oder einer Dateiänderung, z. B. Netzwerkverbindung.

    Auswählen eines Ereignisses in der Asset-Ansicht Ereignis in der Asset-Ansicht auswählen

  3. Öffnen Sie das Rohdatenprotokoll und den UDM-Viewer, indem Sie in der Zeitachse auf das Symbol zum Öffnen klicken.

  4. Sie können die Ansicht Datei-Hash für die Datei öffnen, indem Sie im angezeigten UDM-Ereignis auf den Hash-Wert klicken (z. B. principal.process.file.md5).

Hinweise

Für die Hash-Ansicht gelten folgende Einschränkungen:

  • Sie können nur Ereignisse filtern, die in dieser Ansicht angezeigt werden.
  • In dieser Ansicht werden nur die Ereignistypen DNS, EDR, Webproxy und Benachrichtigung ausgefüllt. Die „zuerst erfasst“ und „zuletzt gesehen“ in dieser Ansicht sind ebenfalls auf diese Ereignistypen beschränkt.
  • Allgemeine Ereignisse werden in keiner der ausgewählten Ansichten angezeigt. Sie werden nur in Log-Rohdaten- und UDM-Suchen angezeigt.