Examiner un fichier

Vous pouvez utiliser Chronicle pour rechercher un fichier spécifique dans vos données en fonction de sa valeur de hachage MD5, SHA-1 ou SHA-256.

Si des informations supplémentaires sont disponibles pour un hachage de fichier trouvé dans le compte Chronicle d'un client, elles sont automatiquement ajoutées aux événements UDM associés. Vous pouvez rechercher ces événements UDM manuellement à l'aide de la recherche UDM ou de règles.

Afficher un hachage de fichier

Pour afficher un hachage de fichier, vous pouvez:

  • Afficher directement un fichier dans la vue Hachage de fichier

  • Accéder à la vue Hachage de fichier depuis une autre vue

Afficher directement un fichier dans la vue de hachage de fichier

Pour ouvrir directement la vue Hachage de fichier, saisissez la valeur de hachage dans le champ de recherche Chronicle, puis cliquez sur Rechercher.

Chronicle fournit des informations supplémentaires sur le fichier, y compris les suivantes:

  • Détection des moteurs partenaires: autres fournisseurs de sécurité ayant détecté le fichier.

  • Propriétés/Métadonnées: propriétés connues du fichier.

  • Noms de fichiers VT envoyés/ITW: malwares malveillants connus (ITW) qui ont été envoyés à VirusTotal.

Vous pouvez également accéder à la vue File hash (Hachage de fichier) lorsque vous examinez un élément dans une autre vue (par exemple, la vue Asset) (Élément), en procédant comme suit:

  1. Ouvrez une vue d'investigation. Par exemple, sélectionnez un élément pour l'afficher dans la vue des éléments.

  2. Dans la chronologie à gauche, faites défiler la page jusqu'à n'importe quel événement lié à une modification de processus ou de fichier, telle que Connexion réseau.

    Sélectionner un événement dans la vue des éléments Sélectionner un événement dans la vue des composants

  3. Ouvrez le journal brut et la visionneuse UDM en cliquant sur l'icône d'ouverture dans la timeline.

  4. Vous pouvez ouvrir la vue File hash (Hachage de fichier) du fichier en cliquant sur la valeur de hachage (par exemple, principal.process.file.md5) dans l'événement UDM affiché.

Remarques

La vue de hachage présente les limites suivantes:

  • Vous ne pouvez filtrer que les événements affichés dans cette vue.
  • Seuls les types d'événements DNS, EDR, Webproxy et Alert sont affichés dans cette vue. Les informations sur la première occurrence et la dernière occurrence qui sont renseignées dans cette vue sont également limitées à ces types d'événements.
  • Les événements génériques n'apparaissent dans aucune des vues sélectionnées. Elles n'apparaissent que dans les recherches de journaux bruts et UDM.