Investiga un archivo

Puedes usar Chronicle para buscar los datos de un archivo específico en función de su valor de hash MD5, SHA-1 o SHA-256. Asegúrate de transferir y normalizar los datos de los dispositivos de tu red, como los datos de EDR. Puedes abrir la vista de hash de la siguiente manera:

  • Cómo ver un archivo directamente en la vista Hash

  • Cómo navegar a la vista Hash desde la vista Activos

Cómo ver un archivo directamente en la vista Hash

Para abrir la vista de hash directamente, ingresa el valor de hash en el campo de búsqueda de Chronicle y haz clic en Buscar.

Vista de hash Vista de hash

Chronicle proporciona información adicional sobre el archivo, incluida la siguiente:

  • Detección de motores de socios: otros proveedores de seguridad que detectaron el archivo

  • Propiedades/metadatos: Propiedades conocidas del archivo

  • VT: Nombres de archivos de ITW: los nombres de archivo coincidentes enviados a VirusTotal

También puedes navegar a la vista Hash mientras investigas un elemento en la vista Activo. Para ello, sigue estos pasos:

  1. Seleccionar un elemento y visualizarlo en la vista de elementos

  2. A la izquierda, en TIMELINE, desplácese hacia abajo hasta cualquier evento vinculado a un proceso o modificación de archivo, como process_start, childproc o proc.

    Cómo seleccionar un proceso en la vista de elementos Seleccionar un proceso en la vista de elementos

  3. Haz clic en Proceso actual, Proceso superior o Archivo de destino para investigar el archivo.

  4. Para abrir la vista de hash del archivo, haz clic en el valor correspondiente en la vista de activos.