Datei untersuchen

Mit Chronicle können Sie in Ihren Daten anhand des MD5-, SHA-1- oder SHA-256-Hashwerts nach einer bestimmten Datei suchen. Achten Sie darauf, dass Sie Daten von Geräten in Ihrem Netzwerk aufnehmen und normalisieren, z. B. EDR-Daten. Sie können die Hash-Ansicht so öffnen:

  • Dateien in der Hash-Ansicht direkt aufrufen

  • Von der Asset-Ansicht zur Hash-Ansicht wechseln

Dateien in der Hash-Ansicht direkt aufrufen

Um die Hash-Ansicht direkt zu öffnen, geben Sie den Hash-Wert in das Suchfeld von Chronicle ein und klicken Sie auf Search (Suchen).

Hash-Ansicht Hash-Ansicht

Chronicle bietet zusätzliche Informationen zur Datei, einschließlich der folgenden:

  • Partner Engines-Erkennung: andere Sicherheitsanbieter, die die Datei erkannt haben

  • Eigenschaften/Metadaten: Bekannte Eigenschaften der Datei

  • VT Gesendet/ITW-Dateinamen: übereinstimmende Dateinamen, die an VirusTotal gesendet werden

Sie können auch während der Untersuchung eines Assets in der Asset-Ansicht zur Hash-Ansicht wechseln. Gehen Sie dazu so vor:

  1. Wählen Sie ein Asset aus und sehen Sie es sich in der Asset-Ansicht an.

  2. Scrollen Sie in der Zeitachse links nach unten zu den Ereignissen, die mit einem Prozess oder einer Dateiänderung verknüpft sind, z. B. process_start, childproc oder proc.

    Prozess in Asset-Ansicht auswählen Prozess in der Asset-Ansicht auswählen

  3. Klicken Sie auf Aktueller Prozess, Übergeordneter Prozess oder Zieldatei, um die Datei zu untersuchen.

  4. Sie können die Hash-Ansicht für die Datei öffnen, indem Sie in der Asset-Ansicht auf den Hash-Wert klicken.