Investigar um arquivo
Você pode usar o Chronicle para pesquisar seus dados em busca de um arquivo específico com base no valor de hash MD5, SHA-1 ou SHA-256.
Se mais informações estiverem disponíveis para um hash de arquivo encontrado na conta do Chronicle de um cliente, elas serão adicionadas automaticamente aos eventos de UDM associados. É possível pesquisar esses eventos de UDM manualmente usando a Pesquisa de UDM ou regras.
Ver um hash de arquivo
Para conferir um hash de arquivo, faça o seguinte:
Acessar um arquivo diretamente na visualização Hash do arquivo
Acesse a visualização Hash do arquivo em outra visualização.
Acessar um arquivo diretamente na visualização "Hash de arquivo"
Para abrir a visualização de Hash do arquivo diretamente, insira o valor do hash no campo de pesquisa do Chronicle e clique em Pesquisar.
O Chronicle fornece mais informações sobre o arquivo, incluindo:
Detecção de mecanismos de parceiros: outros fornecedores de segurança que detectaram o arquivo.
Propriedades/metadados: propriedades conhecidas do arquivo.
Nomes de arquivos VT/ITW: malware conhecido e malicioso in the Wild (ITW, na sigla em inglês) enviado ao VirusTotal.
Acessar a visualização "Hash de arquivo" em outra visualização
Também é possível navegar até a visualização Hash do arquivo ao investigar um recurso em outra (por exemplo, visualização Recurso) seguindo estas etapas:
Abra uma visualização de investigação. Por exemplo, selecione um recurso para mostrá-lo na "Visualização de recursos".
Na Linha do tempo à esquerda, role até qualquer evento vinculado a um processo ou modificação de arquivo, como Conexão de rede.
Selecionar um evento na visualização "Recursos"
Para abrir o registro bruto e o visualizador de UDM, clique no ícone aberto na linha do tempo.
Para abrir a visualização Hash do arquivo, clique no valor do hash (por exemplo, principal.process.file.md5) no evento UDM exibido.
Considerações
A visualização de hash tem as seguintes limitações:
- Só é possível filtrar eventos que são mostrados nesta visualização.
- Somente os tipos de evento DNS, EDR, Webproxy e alerta são preenchidos nessa visualização. As informações visualizadas pela primeira e pela última vez preenchidas nessa visualização também são limitadas a esses tipos de evento.
- Eventos genéricos não aparecem em nenhuma das vistas selecionadas. Eles aparecem apenas nas pesquisas de registros brutos e UDMs.