调查文件
您可以使用 Chronicle 根据特定文件的 MD5、SHA-1 或 SHA-256 哈希值搜索该文件。
如果在客户的 Chronicle 帐号中找到的文件哈希有其他可用信息,则这些额外信息会自动添加到关联的 UDM 事件中。您可以使用 UDM 搜索或规则手动搜索这些 UDM 事件。
查看文件哈希值
如需查看文件哈希值,您可以执行以下操作:
直接在文件哈希视图中查看文件
从其他视图转到文件哈希视图
直接在文件哈希视图中查看文件
如需直接打开文件哈希视图,请在 Chronicle 搜索字段中输入哈希值,然后点击搜索。
Chronicle 提供了有关该文件的其他信息,包括以下内容:
合作伙伴引擎检测:检测到文件的其他安全供应商。
属性/元数据:文件的已知属性。
提交的 VT/ITW 文件名:提交到 VirusTotal 的已知恶意野外 (ITW) 恶意软件。
从其他视图转到“文件哈希”视图
您也可以完成以下步骤,在另一个视图(例如,素材资源视图)中调查资产时,前往文件哈希视图:
打开调查视图。例如,选择一个素材资源即可在“素材资源”视图中查看该素材资源。
在左侧的时间轴中,滚动到与进程或文件修改相关的任何事件,例如网络连接。
在“素材资源”视图中选择事件
点击时间轴中的打开图标,打开原始日志和 UDM 查看器。
您可以点击显示的 UDM 事件中的哈希值(例如 principal.process.file.md5),打开文件的文件哈希视图。
注意事项
哈希视图具有以下限制:
- 您只能过滤此视图中显示的事件。
- 此视图中仅填充 DNS、EDR、Webproxy 和提醒事件类型。 在此视图中填充的“首次出现”和“上次出现时间”信息也仅限于这些事件类型。
- 常规事件不会出现在任何精选视图中。它们仅出现在原始日志和 UDM 搜索结果中。