Datei prüfen
Sie können Chronicle verwenden, um Ihre Daten anhand ihres MD5-, SHA-1- oder SHA-256-Hashwerts nach einer bestimmten Datei zu suchen.
Wenn zusätzliche Informationen für einen Datei-Hash verfügbar sind, der im Chronicle-Konto eines Kunden gefunden wurde, werden diese zusätzlichen Informationen automatisch den zugehörigen UDM-Ereignissen hinzugefügt. Sie können nach diesen UDM-Ereignissen suchen, indem Sie die UDM-Suche oder Regeln verwenden.
Datei-Hash ansehen
So können Sie sich einen Datei-Hash ansehen:
Datei direkt in der Ansicht Datei-Hash ansehen
Rufen Sie in einer anderen Ansicht die Ansicht Datei-Hash auf.
Datei direkt in der Ansicht „Datei-Hash“ ansehen
Wenn Sie die Ansicht Datei-Hash direkt öffnen möchten, geben Sie den Hashwert in das Suchfeld von Chronicle ein und klicken Sie auf Search (Suchen).
Chronicle bietet unter anderem folgende zusätzliche Informationen zur Datei:
Erkennung von Partner-Engines: Andere Sicherheitsanbieter, die die Datei erkannt haben.
Attribute/metadata: Bekannte Attribute der Datei.
VT-eingereichte/ITW-Dateinamen: Bekannte, schädliche In-the-Wild-Malware (ITW), die an VirusTotal gesendet wurde.
Zur Ansicht „Datei-Hash“ aus einer anderen Ansicht wechseln
Sie können auch zur Ansicht Datei-Hash wechseln, während Sie ein Asset in einer anderen Ansicht (z. B. Asset) untersuchen. Gehen Sie dazu so vor:
Öffnen Sie eine Prüfungsansicht. Sie können beispielsweise ein Asset auswählen, um es in der Asset-Ansicht aufzurufen.
Scrollen Sie in der Zeitachse links zu jedem Ereignis im Zusammenhang mit einem Prozess oder einer Dateiänderung, z. B. Netzwerkverbindung.
Ereignis in der Asset-Ansicht auswählen
Öffnen Sie das Rohdatenprotokoll und den UDM-Viewer, indem Sie in der Zeitachse auf das Symbol zum Öffnen klicken.
Sie können die Ansicht Datei-Hash für die Datei öffnen, indem Sie im angezeigten UDM-Ereignis auf den Hash-Wert klicken (z. B. principal.process.file.md5).
Hinweise
Für die Hash-Ansicht gelten folgende Einschränkungen:
- Sie können nur Ereignisse filtern, die in dieser Ansicht angezeigt werden.
- In dieser Ansicht werden nur die Ereignistypen DNS, EDR, Webproxy und Benachrichtigung ausgefüllt. Die „zuerst erfasst“ und „zuletzt gesehen“ in dieser Ansicht sind ebenfalls auf diese Ereignistypen beschränkt.
- Allgemeine Ereignisse werden in keiner der ausgewählten Ansichten angezeigt. Sie werden nur in Log-Rohdaten- und UDM-Suchen angezeigt.