在“哈希”视图中过滤数据

“哈希”视图允许您根据文件的哈希值来搜索和调查文件。

打开“哈希”视图

您可以通过以下方式打开“哈希”视图:

  • 直接搜索文件哈希值
  • 在“资产”视图中查看基于进程或基于文件的事件时,切换到“哈希”视图

直接搜索文件哈希值

如需直接打开“哈希”视图,请执行以下操作:

  1. 在 Chronicle 搜索字段中输入哈希值。点击搜索

    搜索哈希 在着陆页中搜索哈希值

  2. 从“哈希”下拉菜单中选择哈希值。

    哈希搜索自动检测菜单 Chronicle 搜索自动检测菜单

  3. 即会显示“哈希”视图。

    “哈希”视图 “哈希”视图

您也可以在调查“资产”视图中的资产时转到“哈希”视图。

  1. 搜索资产并在“资产”视图中查看。

    搜索资产 在着陆页上搜索资产

  2. 即会显示“资产”视图。

    “资产”视图 “资产”视图

  3. 在左侧的 TIMELINE 标签页中,向下滚动到与进程或文件修改关联的任何事件,例如 PROCESS_LAUNCH。

    在“资产”视图中扩大时间范围 扩大时间范围以查找事件

  4. 展开文件可查看详细信息并进行调查。

    查找与进程或文件相关的事件 查找与进程或文件相关的事件

  5. 您可以通过点击“资产”视图中的哈希值来打开文件的“哈希”视图。

    点击哈希值以打开“哈希”视图 “资产”视图中的哈希值链接

  6. 即会显示“哈希”视图。

    “哈希”视图 “哈希”视图

“哈希”视图中的“过滤”选项

“哈希”视图中提供了以下“过程过滤”选项:

  • 资产
  • 事件类型
  • 日志源
  • PID
  • 进程名称

“过滤”选项 “哈希”视图过滤选项