Investigar un archivo
Puedes usar Chronicle para buscar en tus datos un archivo específico según su valor de hash MD5, SHA-1 o SHA-256. Asegúrate de transferir y normalizar los datos de los dispositivos de la red, como los datos de EDR.
Si hay información adicional disponible para un hash de archivo que se encuentra dentro de la cuenta de Chronicle de un cliente, esta información adicional se agrega de forma automática a los eventos de UDM asociados. Puedes buscar estos eventos de UDM de forma manual mediante la Búsqueda de UDM o reglas.
Para ver un hash de archivo, puedes hacer lo siguiente:
Cómo ver un archivo en la vista de hash directamente
Cómo navegar a la vista de hash desde otra vista
Cómo ver un archivo en la vista de hash directamente
Para abrir la vista de hash directamente, ingresa el valor de hash en el campo de búsqueda de Chronicle y haz clic en Search (Buscar).
Vista de hash
Chronicle proporciona información adicional sobre el archivo, incluida la siguiente:
Detección de motores de socios: otros proveedores de seguridad que detectaron el archivo.
Propiedades/Metadatos: Propiedades conocidas del archivo
VT enviados / nombres de archivo ITW: software malicioso malicioso conocido en etapa salvaje (ITW) enviado a VirusTotal.
Cómo navegar a la vista de hash desde otra vista
También puede navegar a la vista de Hash mientras investiga un elemento en otra vista (por ejemplo, Vista de elementos) si completa los siguientes pasos:
Abre una vista de investigación. Por ejemplo, seleccione un elemento para verlo en la Vista de elementos.
En la LÍNEA DE TIEMPO a la izquierda, desplácese hacia abajo hasta cualquier evento vinculado a un proceso o una modificación de un archivo, como Conexión de red.
Selecciona un evento en la vista AssetPara abrir el visor de registros/UDM sin procesar, haz clic en el ícono de abrir en CRONOGRAMA.
Puedes abrir la vista de hash para el archivo haciendo clic en el valor de hash (por ejemplo, principal.process.file.md5) dentro del evento de UDM mostrado.