Filtrer des données en mode Hachage
La vue hachée vous permet de rechercher et d'examiner les fichiers en fonction de leur valeur de hachage.
Ouvrir la vue Hachage
Vous pouvez ouvrir la vue Hachage comme suit:
- Rechercher directement le hachage de fichier
- Passer en mode Hachage lors de l'affichage d'un événement basé sur des processus ou des fichiers dans la vue "Éléments"
Rechercher directement le hachage de fichier
Pour ouvrir directement la vue Hachage:
Saisissez la valeur de hachage dans le champ de recherche Chronicle. Cliquez sur RECHERCHER.
Rechercher un hachage à partir de la page de destinationSélectionnez la valeur de hachage dans le menu déroulant "HAUSSE".
Menu de détection automatique de la recherche ChronicleLa vue du hachage s'affiche.
Affichage par hachage
Accéder à la vue Hachage
Vous pouvez également accéder à la vue Hachage lorsque vous examinez un élément dans la vue "Éléments".
Recherchez un élément et affichez-le dans la vue des éléments.
Rechercher un élément à partir de la page de destinationAffichage de l'élément.
Vue des élémentsDans l'onglet CHRONOLOGIE vers la gauche, faites défiler la page vers le bas jusqu'à tout événement lié à un processus ou à une modification de fichier, tel que PROCESS_LAUNCH.
Allongez la période de recherche des événements.Développez le fichier pour afficher des détails et procéder à une enquête.
Rechercher un processus ou un événement lié aux fichiersVous pouvez ouvrir la vue de hachage du fichier en cliquant sur la valeur de hachage dans la vue "Éléments".
Lien de valeur de hachage dans la vue des élémentsLa vue du hachage s'affiche.
Affichage par hachage
Options de filtre dans la vue Hachage
Les options suivantes de filtrage procédural sont disponibles dans la vue Hachage:
- ÉLÉMENTS
- TYPE D'ÉVÉNEMENT
- SOURCE DE JOURNAL
- ID d'achat
- NOM DU PROCÉDURE
Options de filtrage de la vue par hachage