Analyser un fichier

Vous pouvez utiliser Chronicle pour rechercher des fichiers spécifiques dans vos données en fonction de leur valeur de hachage MD5, SHA-1 ou SHA-256. Assurez-vous d'ingérer et de normaliser les données issues des appareils de votre réseau, telles que les données EDR. Vous pouvez ouvrir la vue Hachage comme suit:

  • Afficher directement un fichier en mode Hachage

  • Accéder à la vue Hachage depuis la vue "Éléments"

Afficher directement un fichier en mode Hachage

Pour ouvrir directement la vue Hash, saisissez la valeur de hachage dans le champ de recherche Chronicle, puis cliquez sur Rechercher.

Hachage Affichage par hachage

Chronicle fournit des informations supplémentaires sur le fichier, y compris:

  • Détection des moteurs partenaires : autres fournisseurs de sécurité qui ont détecté le fichier

  • Propriétés/Métadonnées : propriétés connues du fichier

  • Noms de fichiers soumis par VT/ITW : noms de fichiers correspondants envoyés à VirusTotal

Vous pouvez également accéder à la vue Hachage lorsque vous examinez un élément dans la vue "Éléments" en procédant comme suit:

  1. Sélectionnez un élément et affichez-le dans la vue des éléments.

  2. Dans la chronologie située à gauche, faites défiler la page vers le bas jusqu'à un événement lié à un processus ou à une modification de fichier, tel que process_start, childproc ou proc.

    Sélectionner un processus dans la vue des éléments Sélectionner un processus dans la vue des éléments

  3. Cliquez sur Processus en cours, Processus parent ou Fichier cible pour examiner le fichier.

  4. Vous pouvez ouvrir la vue de hachage du fichier en cliquant sur la valeur de hachage dans la vue "Éléments".