Investigar um arquivo

Você pode usar o Chronicle para pesquisar seus dados em busca de um arquivo específico com base no valor de hash MD5, SHA-1 ou SHA-256.

Se mais informações estiverem disponíveis para um hash de arquivo encontrado na conta do Chronicle de um cliente, elas serão adicionadas automaticamente aos eventos de UDM associados. É possível pesquisar esses eventos de UDM manualmente usando a Pesquisa de UDM ou regras.

Ver um hash de arquivo

Para conferir um hash de arquivo, faça o seguinte:

  • Acessar um arquivo diretamente na visualização Hash do arquivo

  • Acesse a visualização Hash do arquivo em outra visualização.

Acessar um arquivo diretamente na visualização "Hash de arquivo"

Para abrir a visualização de Hash do arquivo diretamente, insira o valor do hash no campo de pesquisa do Chronicle e clique em Pesquisar.

O Chronicle fornece mais informações sobre o arquivo, incluindo:

  • Detecção de mecanismos de parceiros: outros fornecedores de segurança que detectaram o arquivo.

  • Propriedades/metadados: propriedades conhecidas do arquivo.

  • Nomes de arquivos VT/ITW: malware conhecido e malicioso in the Wild (ITW, na sigla em inglês) enviado ao VirusTotal.

Também é possível navegar até a visualização Hash do arquivo ao investigar um recurso em outra (por exemplo, visualização Recurso) seguindo estas etapas:

  1. Abra uma visualização de investigação. Por exemplo, selecione um recurso para mostrá-lo na "Visualização de recursos".

  2. Na Linha do tempo à esquerda, role até qualquer evento vinculado a um processo ou modificação de arquivo, como Conexão de rede.

    Seleção de um evento na Visualização de recursos Selecionar um evento na visualização "Recursos"

  3. Para abrir o registro bruto e o visualizador de UDM, clique no ícone aberto na linha do tempo.

  4. Para abrir a visualização Hash do arquivo, clique no valor do hash (por exemplo, principal.process.file.md5) no evento UDM exibido.

Considerações

A visualização de hash tem as seguintes limitações:

  • Só é possível filtrar eventos que são mostrados nesta visualização.
  • Somente os tipos de evento DNS, EDR, Webproxy e alerta são preenchidos nessa visualização. As informações visualizadas pela primeira e pela última vez preenchidas nessa visualização também são limitadas a esses tipos de evento.
  • Eventos genéricos não aparecem em nenhuma das vistas selecionadas. Eles aparecem apenas nas pesquisas de registros brutos e UDMs.