Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Datei prüfen

Mit Chronicle können Sie anhand des MD5-, SHA-1- oder SHA-256-Hashwerts in Ihren Daten nach einer bestimmten Datei suchen. Achten Sie darauf, dass Sie Daten von Geräten in Ihrem Netzwerk aufnehmen und normalisieren, z. B. EDR-Daten. So öffnen Sie die Hash-Ansicht:

  • Dateien direkt in der Hash-Ansicht ansehen

  • Von der Asset-Ansicht zur Hash-Ansicht wechseln

Dateien direkt in der Hash-Ansicht ansehen

Wenn Sie die Hash-Ansicht direkt öffnen möchten, geben Sie den Hash-Wert in das Chronicle-Suchfeld ein und klicken Sie auf Suchen.

Hash-Ansicht Hash-Ansicht

Chronicle bietet zusätzliche Informationen zu der Datei, darunter:

  • Erkennung von Partner-Engines: andere Sicherheitsanbieter, die die Datei erkannt haben

  • Eigenschaften/Metadaten: Bekannte Attribute der Datei.

  • VT eingereicht / ITW-Dateinamen: Bekannte schädliche In-the-wild-Malware (ITW) bei VirusTotal

Sie können die Hash-Ansicht auch aufrufen, während Sie ein Asset in der Asset-Ansicht untersuchen. Gehen Sie dazu so vor:

  1. Wählen Sie ein Asset aus und rufen Sie es in der Asset-Ansicht auf.

  2. Scrollen Sie links in der Zeitachse zu einem Ereignis, das mit einem Prozess oder einer Dateiänderung verknüpft ist, z. B. Netzwerkverbindung.

    Ereignis in der Asset-Ansicht auswählen Ereignis in der Asset-Ansicht auswählen

  3. Öffnen Sie das Rohdatenprotokoll/UDM-Viewer, indem Sie auf das Symbol in der ZEITACHSE klicken.

  4. Sie können die Hash-Ansicht der Datei öffnen, indem Sie auf den Hash-Wert (Principal.process.file.md5) des UDM-Ereignisses klicken.