Investiga un archivo

Puedes usar Chronicle para buscar tus datos de un archivo específico basado en su valor de hash MD5, SHA-1 o SHA-256. Asegúrate de transferir y normalizar los datos de los dispositivos de tu red, como los datos de EDR. Puedes abrir la vista de hash de la siguiente manera:

  • Cómo ver un archivo directamente en la vista de hash

  • Cómo navegar a la vista Hash desde la vista de elementos

Cómo ver un archivo directamente en la vista de hash

Para abrir la vista de hash directamente, ingresa el valor de hash en el campo de búsqueda de Chronicle y haz clic en Buscar.

Vista de hash Vista de hash

Chronicle proporciona información adicional sobre el archivo, incluida la siguiente:

  • Detección de motores de socios: otros proveedores de seguridad que detectaron el archivo

  • Propiedades/metadatos: propiedades del archivo conocidas

  • Nombres de archivos de VT enviados o ITW: nombres de archivo coincidentes que se envían a VirusTotal

También puedes navegar a la vista de hash mientras investigas un activo en la vista de activos. Para ello, completa los siguientes pasos:

  1. Selecciona un activo y míralo en la vista de activos.

  2. En TIMELINE, a la izquierda, desplácese hacia abajo hasta cualquier evento vinculado a un proceso o modificación de archivo, como process_start, childproc o proc.

    Cómo seleccionar un proceso en la vista de recursos Seleccionar un proceso en la vista de elementos

  3. Haga clic en Proceso actual, Proceso superior o Archivo de destino para investigar el archivo.

  4. Para abrir la vista de hash del archivo, haz clic en el valor de hash en la vista de elementos.