Desde una investigación recién creada o en curso

Para realizar un análisis de un elemento cualquiera perteneciente a una investigación, sigue los pasos mostrados a continuación:

  • En el menú superior Investigaciones crea una nueva investigación. En la barra de herramientas haz clic en el y elige Investigación de equipos. Se abrirá una ventana emergente para introducir los datos del equipo a analizar y la fecha en la que se centrará la investigación.

Ventana de acceso a la consola de investigación

  • Haz clic en el selector dependiendo del elemento que se quiera investigar:

    • MUID

    • MD5

    • MUID + MD5

    • Nombre del equipo

  • Introduce la información dependiendo del selector. En los apartados siguientes se detallan los tipos de datos requeridos.

Investigación de un equipo: MUID

  • Escribe el identificador único del equipo a analizar, el intervalo en el que se centrará la investigación (máximo 48 horas) y zona horaria del intervalo elegido. Para acelerar la selección haz clic en la caja de texto MUID y se desplegarán todas las entidades de interés compatibles creadas en la investigación. También puedes escribir un MUID directamente.

  • Si no conoces el MUID del equipo consulta Herramienta de conversión de nombres de equipo a MUID.

  • Haz clic en el botón Aceptar. Se creará una nueva pestaña con el nombre del equipo y entre paréntesis su MUID, que contendrá los eventos del equipo seleccionado en la fecha indicada.

Investigación de un fichero: MD5

  • Escribe el hash del fichero a investigar. Para acelerar la selección haz clic en la caja de texto MD5 y se desplegarán todas las entidades de interés compatibles creadas en la investigación.

  • Haz clic en el botón Aceptar. Se creará una nueva pestaña con el MD5, y que contendrá el panel Equipos encontrados con un listado de todos los equipos que han generado eventos que involucran al fichero MD5 buscado, así como la fecha en la que se han producido dichos eventos y la información mostrada a continuación:

Panel de Equipos encontrados

  • MUID: identificador único del equipo donde se han producido los eventos relacionados con el fichero MD5.

  • Pandaid: identificador único del cliente al que pertenece el equipo encontrado.

  • Lastseen: fecha en la que se registró por última vez un evento que involucra al fichero MD5 encontrado en el equipo seleccionado.

  • Firstseen: fecha en la que se registró por primera vez un evento que involucra al fichero MD5 encontrado en el equipo seleccionado.

  • Lastpath: última ruta registrada del elemento buscado en el equipo.

En la parte superior de la ventana se muestra la zona de herramientas:

  • Buscar: herramienta de filtrado que admite la búsqueda por subcadenas en el contenido de todos los campos del listado.

  • Numero de resultados: número de registros mostrados en el listado.

Investigación de un fichero almacenado en un equipo: MUID y MD5

  • Escribe el identificador único del equipo y el hash del fichero a investigar. Para acelerar la selección haz clic en las cajas de texto MUID y MD5 para desplegar todas las entidades de interés compatibles creadas en la investigación. También puedes escribirlas directamente.

  • Si no conoces el MUID del equipo consulta Herramienta de conversión de nombres de equipo a MUID.

  • Haz clic en el botón Aceptar. Se creará una nueva pestaña que contendrá el panel Equipos encontrados con un listado de todos los equipos que han generado eventos que involucran al fichero MD5 buscado, así como la fecha en la que se han producido dichos eventos. Consulta Investigación de un fichero: MD5.

Investigación de un equipo por su nombre

  • Escribe el nombre del equipo Windows a analizar, el intervalo en el que se centrará la investigación y la zona horaria del intervalo elegido.

  • Escribe el cliente al que pertenece el equipo, dado que un mismo nombre de equipo podría repetirse en varios clientes.

  • Haz clic en el botón Aceptar. Se creará una nueva pestaña con el nombre del equipo con su MUID entre paréntesis, y que contendrá los datos del equipo seleccionado en la fecha indicada.