Datei untersuchen

Mit Chronicle können Sie in Ihren Daten anhand des MD5-, SHA-1- oder SHA-256-Hashwerts nach einer bestimmten Datei suchen. Achten Sie darauf, dass Sie Daten von Geräten in Ihrem Netzwerk aufnehmen und normalisieren, z. B. EDR-Daten. Sie können die Hash-Ansicht folgendermaßen öffnen:

  • Datei direkt in der Hash-Ansicht ansehen

  • Von der Asset-Ansicht zur Hash-Ansicht wechseln

Datei direkt in der Hash-Ansicht ansehen

Um die Hash-Ansicht direkt zu öffnen, geben Sie den Hash-Wert in das Suchfeld von Chronicle ein und klicken Sie auf Suchen.

Hash-Ansicht Hash-Ansicht

Chronicle bietet zusätzliche Informationen zur Datei, darunter:

  • Partner-Engines-Erkennung – Andere Sicherheitsanbieter, die die Datei erkannt haben

  • Eigenschaften/Metadaten – Bekannte Eigenschaften der Datei

  • VT-Einreichungs-/ITW-Dateinamen: übereinstimmende Dateinamen, die an VirusTotal gesendet wurden

Sie können auch während der Untersuchung eines Assets in der Asset-Ansicht die Hash-Ansicht aufrufen. Gehen Sie dazu so vor:

  1. Wählen Sie ein Asset aus und sehen Sie es sich in der Asset-Ansicht an.

  2. Scrollen Sie in der ZEITACHSE links nach unten zu jedem Ereignis, das mit einem Prozess oder einer Dateiänderung verknüpft ist, z. B. process_start, childproc oder proc.

    Prozess in Asset-Ansicht auswählen Prozess in der Asset-Ansicht auswählen

  3. Klicken Sie auf Aktueller Prozess, Übergeordneter Prozess oder Zieldatei, um die Datei zu untersuchen.

  4. Sie können die Hash-Ansicht für die Datei öffnen, indem Sie auf den Hash-Wert in der Asset-Ansicht klicken.