Datei prüfen
Mit Chronicle können Sie in Ihren Daten anhand des MD5-, SHA-1- oder SHA-256-Hashwerts nach einer bestimmten Datei suchen. Achten Sie darauf, dass Sie Daten von Geräten in Ihrem Netzwerk aufnehmen und normalisieren, z. B. EDR-Daten.
Wenn für einen Datei-Hash in einem Chronicle-Konto eines Kunden zusätzliche Informationen verfügbar sind, werden diese zusätzlichen Informationen automatisch den zugehörigen UDM-Ereignissen hinzugefügt. Sie können diese UDM-Ereignisse mit der UDM-Suche oder mithilfe von Regeln suchen.
So können Sie sich einen Datei-Hash ansehen:
Dateien direkt in der Hash-Ansicht ansehen
Von einer anderen Ansicht aus zur Hash-Ansicht wechseln
Dateien direkt in der Hash-Ansicht ansehen
Wenn Sie die Hash-Ansicht direkt öffnen möchten, geben Sie den Hash-Wert in das Chronicle-Suchfeld ein und klicken Sie auf Suchen.
Hash-Ansicht
Chronicle bietet zusätzliche Informationen zur Datei, darunter:
Partner-Engines erkennen: Andere Sicherheitsanbieter, die die Datei erkannt haben
Eigenschaften/Metadaten: Bekannte Eigenschaften der Datei.
VT Gesendet / ITW-Dateinamen: Bekannte bösartige In-the-Wild-Malware (ITW) an VirusTotal gesendet.
Von einer anderen Ansicht aus zur Hash-Ansicht wechseln
Sie können die Hash-Ansicht auch aufrufen, während Sie ein Asset in einer anderen Ansicht untersuchen, z. B. in der Asset-Ansicht, indem Sie die folgenden Schritte ausführen:
Öffnen Sie eine Prüfansicht. Sie können beispielsweise ein Asset auswählen, um es in der Asset-Ansicht aufzurufen.
Scrollen Sie in der ZEITACHSE links zu einem Ereignis, das mit einem Prozess oder einer Dateiänderung verknüpft ist, z. B. Netzwerkverbindung.
Ereignis in der Asset-Ansicht auswählen
Öffnen Sie den Raw Log/UDM-Viewer, indem Sie in der ZEITACHSE auf das Symbol zum Öffnen klicken.
Sie können die Hash-Ansicht für die Datei öffnen, indem Sie im angezeigten UDM-Ereignis auf den Hashwert klicken, z. B. „main.process.file.md5“.