Indagine su un file

Puoi utilizzare Chronicle per cercare tra i dati un file specifico in base al relativo valore hash MD5, SHA-1 o SHA-256.

Se sono disponibili informazioni aggiuntive per un hash file trovato all'interno dell'account Chronicle di un cliente, queste informazioni aggiuntive vengono aggiunte automaticamente agli eventi UDM associati. Puoi cercare questi eventi UDM manualmente utilizzando la ricerca UDM o le regole.

Visualizzare un hash del file

Per visualizzare l'hash del file, puoi:

  • Visualizzare un file direttamente nella visualizzazione Hash del file

  • Passa alla visualizzazione Hash del file da un'altra visualizzazione

Visualizzare un file direttamente nella visualizzazione Hash del file

Per aprire direttamente la visualizzazione Hash del file, inserisci il valore hash nel campo di ricerca di Chronicle e fai clic su Cerca.

Chronicle fornisce informazioni aggiuntive sul file, tra cui:

  • Rilevamento dei motori partner: altri fornitori di servizi di sicurezza che hanno rilevato il file.

  • Proprietà/metadati: proprietà note del file.

  • Nomi file VT/ITW: malware noto in-the-wild (ITW) dannoso inviato a VirusTotal.

Puoi anche accedere alla vista Hash del file mentre esamini un asset in un'altra vista (ad esempio, la vista Risorsa) completando i seguenti passaggi:

  1. Apri una visualizzazione indagine. Ad esempio, seleziona un asset per visualizzarlo nella visualizzazione Asset.

  2. Nella sezione Sequenza a sinistra, scorri fino a un evento associato a un processo o a una modifica di file, ad esempio Connessione di rete.

    Selezione di un evento in visualizzazione asset Selezionare un evento nella visualizzazione Asset

  3. Apri il log non elaborato e il visualizzatore UDM facendo clic sull'icona di apertura in Sequenza temporale.

  4. Puoi aprire la visualizzazione Hash del file del file facendo clic sul valore hash (ad esempio, principal.process.file.md5) all'interno dell'evento UDM visualizzato.

Considerazioni

La visualizzazione hash presenta le seguenti limitazioni:

  • Puoi filtrare solo gli eventi mostrati in questa visualizzazione.
  • In questa visualizzazione vengono compilati solo i tipi di eventi DNS, EDR, Webproxy e Alert. Anche le informazioni relative alla prima visualizzazione e all'ultimo accesso inserite in questa visualizzazione sono limitate a questi tipi di eventi.
  • Gli eventi generici non vengono mostrati in nessuna delle viste selezionate. Appaiono solo nelle ricerche di log non elaborati e UDM.