컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

파일 조사

Chronicle을 사용하여 데이터에서 MD5, SHA-1 또는 SHA-256 해시 값을 사용하는 특정 파일을 검색할 수 있습니다. EDR 등 네트워크의 기기로부터 데이터를 수집하고 정규화해야 합니다. 다음과 같은 방법으로 해시 뷰를 열 수 있습니다.

  • 해시 뷰에서 파일 직접 보기

  • 애셋 뷰에서 해시 뷰로 이동

해시 뷰에서 파일 직접 보기

해시 뷰를 직접 열려면 Chronicle 검색창에 해시 값을 입력하고 검색을 클릭합니다.

해시 뷰 해시 뷰

Chronicle에서는 다음을 포함한 파일에 대한 추가 정보를 제공합니다.

  • 파트너 엔진 감지—파일을 감지한 기타 보안 공급업체

  • 속성/메타데이터—파일의 알려진 속성

  • 제출된 VT/ITW 파일 이름—VirusTotal에 제출된 알려진 악성 내장형(ITW) 멀웨어

또한 다음 단계를 따르면 애셋 뷰에서 애셋을 조사할 때 해시 뷰로 이동할 수 있습니다.

  1. 애셋을 선택하여 애셋 뷰에 표시합니다.

  2. 왼쪽의 타임라인에서 프로세스나 파일 수정과 관련된 이벤트(예: 네트워크 연결)까지 아래로 스크롤합니다.

    애셋 뷰에서 이벤트 선택 애셋 뷰에서 이벤트 선택

  3. 타임라인에서 아이콘을 클릭하여 원시 로그/UDM 뷰어를 엽니다.

  4. UDM 이벤트의 해시 값(principal.process.file.md5)을 클릭하여 파일의 해시 뷰를 열 수 있습니다.