Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Investigar un archivo

Puedes usar Chronicle para buscar en tus datos un archivo específico según su valor de hash MD5, SHA-1 o SHA-256. Asegúrate de transferir y normalizar los datos de dispositivos en tu red, como los datos de EDR. Puedes abrir la vista de hash de la siguiente manera:

  • Cómo ver un archivo en la vista de hash directamente

  • Cómo navegar a la vista de hash desde la vista de elementos

Cómo ver un archivo en la vista de hash directamente

Para abrir la vista de hash directamente, ingresa el valor de hash en el campo de búsqueda de Chronicle y haz clic en Search.

Vista de hashVista de hash

Chronicle proporciona información adicional sobre el archivo, incluida la siguiente:

  • Detección de motores de socios: Otros proveedores de seguridad que detectaron el archivo.

  • Propiedades/Metadatos: Son las propiedades conocidas del archivo.

  • Nombres de archivo de VT enviados / ITW: software malicioso conocido como software malicioso conocido (ITW) enviado a VirusTotal.

También puedes seguir estos pasos para navegar a la vista de hash mientras investigas un elemento en la vista de elementos:

  1. Selecciona un elemento y visualízalo en la vista de elementos.

  2. En la LÍNEA DE TIEMPO a la izquierda, desplácese hacia abajo hasta cualquier evento vinculado a un proceso o una modificación de archivo, como Conexión de red.

    Cómo seleccionar un evento en la Vista de elementos Seleccionar un evento en la vista Activo

  3. Haz clic en el ícono de CRONOGRAMA para abrir el visor de registros/UDM sin procesar.

  4. Para abrir la vista de hash del archivo, haz clic en el valor de hash (principal.process.file.md5) del evento de UDM.