Filtrar dados na visualização de hash

A visualização de hash permite que você pesquise e investigue arquivos com base no valor de hash.

Abrir visualização de hash

É possível abrir a visualização de hash das seguintes maneiras:

Pesquise o hash do arquivo diretamente
Mude para a visualização "Hash" ao conferir um evento baseado em processo ou arquivo na visualização "Recursos"

Para abrir a visualização de hash diretamente:

Digite o valor de hash no campo de pesquisa do Chronicle. Clique em PESQUISAR.

Pesquisar hash na página de destino
Selecione o valor de hash no menu suspenso HASHES.

Menu de detecção automática da pesquisa do Chronicle
A visualização de hash é mostrada.

Visualização de hash

Você também pode acessar a visualização de hash enquanto investiga um recurso na visualização de recursos.

Pesquise um recurso e abra-o na Visualização de recursos.

Pesquisar o recurso na página de destino
A visualização do recurso é exibida.

Visualização de recursos
Na guia "CRONOGRAMA" à esquerda, role para baixo até qualquer evento vinculado a um processo ou modificação de arquivo, como PROCESS_LAUNCH.

Observação :se você não encontrar PROCESS_LAUNCH na coluna "Evento", mude a data de início no canto superior esquerdo para alguns dias anteriores à data atual. Além disso, mova o controle deslizante de tempo no canto superior direito para mudar para 1 dia. Isso vai atualizar o painel TIMELINE e mostrar os outros eventos necessários.

Aumentar o período para encontrar eventos
Expanda o arquivo para ver os detalhes e investigar.

Encontrar um processo ou evento relacionado a um arquivo
Para abrir a visualização de hash do arquivo, clique no valor de hash na visualização de recursos.

Link do valor de hash na visualização "Recursos"
A visualização de hash é mostrada.

Visualização de hash

As seguintes opções de filtragem processual estão disponíveis na visualização de hash:

Opções de filtragem da visualização de hash