Como investigar um arquivo

Você pode usar o Chronicle para pesquisar seus dados em busca de um arquivo específico com base no valor de hash MD5, SHA-1 ou SHA-256. Verifique se você está processando e normalizando dados de dispositivos na sua rede, como dados de EDR. Abra a visualização de hash da seguinte forma:

  • Ver um arquivo diretamente na visualização "Hash"

  • Como navegar para a visualização de hash a partir da visualização de recursos

Ver um arquivo diretamente na visualização "Hash"

Para abrir a visualização de hash diretamente, digite o valor do hash no campo de pesquisa do Chronicle e clique em Pesquisar.

Visualização de hash Visualização de hash

O Chronicle fornece informações adicionais sobre o arquivo, incluindo o seguinte:

  • Detecção de mecanismos de parceiros: outros fornecedores de segurança que detectaram o arquivo

  • Propriedades/metadados: propriedades conhecidas do arquivo

  • Nomes de arquivos VT enviados/ITW: nomes de arquivo correspondentes enviados para o VirusTotal

Também é possível acessar a visualização de hash enquanto investiga um recurso seguindo as etapas a seguir:

  1. Selecione um recurso e visualize-o na visualização de recursos.

  2. Na LINHA DO TEMPO à esquerda, role para baixo até qualquer evento vinculado a um processo ou uma modificação de arquivo, como process_start, childproc ou proc.

    Como selecionar um processo na visualização de recursos Como selecionar um processo na Visualização de recursos

  3. Clique em Current Process, Parent Process ou Target file para investigar o arquivo.

  4. Para abrir a visualização de hash do arquivo, clique no valor de hash na visualização "Asset".