Datei untersuchen
Mit Chronicle können Sie in Ihren Daten anhand des MD5-, SHA-1- oder SHA-256-Hashwerts nach einer bestimmten Datei suchen. Achten Sie darauf, dass Sie Daten von Geräten in Ihrem Netzwerk aufnehmen und normalisieren, z. B. EDR-Daten. Sie können die Hash-Ansicht folgendermaßen öffnen:
Datei direkt in der Hash-Ansicht ansehen
Von der Asset-Ansicht zur Hash-Ansicht wechseln
Datei direkt in der Hash-Ansicht ansehen
Um die Hash-Ansicht direkt zu öffnen, geben Sie den Hash-Wert in das Suchfeld von Chronicle ein und klicken Sie auf Suchen.
Hash-Ansicht
Chronicle bietet zusätzliche Informationen zur Datei, darunter:
Partner-Engines-Erkennung – Andere Sicherheitsanbieter, die die Datei erkannt haben
Eigenschaften/Metadaten – Bekannte Eigenschaften der Datei
VT-Einreichungs-/ITW-Dateinamen: übereinstimmende Dateinamen, die an VirusTotal gesendet wurden
Von der Asset-Ansicht zur Hash-Ansicht wechseln
Sie können auch während der Untersuchung eines Assets in der Asset-Ansicht die Hash-Ansicht aufrufen. Gehen Sie dazu so vor:
Wählen Sie ein Asset aus und sehen Sie es sich in der Asset-Ansicht an.
Scrollen Sie in der ZEITACHSE links nach unten zu jedem Ereignis, das mit einem Prozess oder einer Dateiänderung verknüpft ist, z. B.
process_start
,childproc
oderproc
.Prozess in der Asset-Ansicht auswählen
Klicken Sie auf Aktueller Prozess, Übergeordneter Prozess oder Zieldatei, um die Datei zu untersuchen.
Sie können die Hash-Ansicht für die Datei öffnen, indem Sie auf den Hash-Wert in der Asset-Ansicht klicken.