Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Investigar um arquivo

Use o Chronicle para pesquisar um arquivo específico nos seus dados com base no valor de hash MD5, SHA-1 ou SHA-256. Verifique se você está processando e normalizando dados de dispositivos na sua rede, como dados EDR. É possível abrir a visualização de hash da seguinte maneira:

  • Ver um arquivo na visualização de hash diretamente

  • Como navegar até a visualização de hash da visualização de recursos

Ver um arquivo na visualização de hash diretamente

Para abrir a visualização de hash diretamente, digite o valor de hash no campo de pesquisa do Chronicle e clique em Pesquisar.

Visualização de hash Visualização de hash

O Chronicle fornece mais informações sobre o arquivo, incluindo as seguintes:

  • Detecção de mecanismos de parceiros: outros fornecedores de segurança que detectaram o arquivo.

  • Propriedades/metadados: propriedades conhecidas do arquivo.

  • Nomes de arquivo VT enviados / ITW: malware conhecido na vida selvagem (ITW, na sigla em inglês) enviado ao VirusTotal.

Você também pode acessar a visualização de hash e investigar um recurso na visualização de recursos concluindo as seguintes etapas:

  1. Selecione um recurso e visualize-o na visualização de recursos.

  2. No CRONOGRAMA à esquerda, role para baixo até qualquer evento vinculado a um processo ou modificação de arquivo, como a Conexão de rede.

    Como selecionar um evento na visualização de recursos Como selecionar um evento na visualização de recursos

  3. Abra o visualizador de registros brutos/UDM clicando no ícone no CRONOGRAMA.

  4. É possível abrir a visualização de hash do arquivo clicando no valor de hash (principal.process.file.md5) para o evento UDM.