Daten in der Hash-Ansicht filtern

In der Hash-Ansicht können Sie Dateien anhand ihres Hashwerts suchen und untersuchen.

Hash-Ansicht öffnen

Sie können die Hash-Ansicht auf folgende Arten öffnen:

Datei-Hash direkt suchen
Beim Ansehen eines prozess- oder dateibasierten Ereignisses in der Asset-Ansicht zur Hash-Ansicht wechseln

So öffnen Sie die Hash-Ansicht direkt:

Geben Sie den Hashwert in das Chronicle-Suchfeld ein. Klicken Sie auf SUCHEN.

Auf der Landingpage nach Hash suchen
Wählen Sie den Hashwert aus dem Drop-down-Menü HASHES aus.

Menü für automatische Erkennung in Chronicle Search
Die Hash-Ansicht wird angezeigt.

Hash-Ansicht

Sie können auch die Hash-Ansicht aufrufen, während Sie ein Asset in der Asset-Ansicht untersuchen.

Suchen Sie nach einem Asset und rufen Sie es in der Asset-Ansicht auf.

Auf der Landingpage nach dem Asset suchen
Die Asset-Ansicht wird angezeigt.

Asset-Ansicht
Scrollen Sie auf dem Tab TIMELINE nach unten zu einem Ereignis im Zusammenhang mit einem Prozess oder einer Dateiänderung, z. B. PROCESS_LAUNCH.

Hinweis: Wenn Sie PROCESS_LAUNCH nicht in der Spalte „Ereignis“ finden, ändern Sie das Startdatum in der linken oberen Ecke in einige Tage vor dem aktuellen Datum. Stellen Sie außerdem den Zeitschieberegler rechts oben auf 1 Tag ein. Dadurch wird der Bereich ZEITACHSE aktualisiert und alle anderen erforderlichen Ereignisse werden angezeigt.

Zeitraum zum Suchen von Ereignissen verlängern
Maximieren Sie die Datei, um Details aufzurufen und die Ursache zu untersuchen.

Prozess- oder dateibezogenes Ereignis suchen
Sie können die Hash-Ansicht für die Datei öffnen, indem Sie in der Asset-Ansicht auf den Hashwert klicken.

Link zum Hashwert in der Asset-Ansicht
Die Hash-Ansicht wird angezeigt.

Hash-Ansicht

In der Hash-Ansicht sind die folgenden Optionen für die prozedurale Filterung verfügbar:

Filteroptionen für Hash-Ansichten