Analyser un fichier
Vous pouvez utiliser Chronicle pour rechercher des fichiers spécifiques dans vos données en fonction de leur valeur de hachage MD5, SHA-1 ou SHA-256. Assurez-vous d'ingérer et de normaliser les données issues des appareils de votre réseau, telles que les données EDR. Vous pouvez ouvrir la vue Hachage comme suit:
Afficher directement un fichier en mode Hachage
Accéder à la vue Hachage depuis la vue "Éléments"
Afficher directement un fichier en mode Hachage
Pour ouvrir directement la vue Hash, saisissez la valeur de hachage dans le champ de recherche Chronicle, puis cliquez sur Rechercher.
Affichage par hachage
Chronicle fournit des informations supplémentaires sur le fichier, y compris:
Détection des moteurs partenaires : autres fournisseurs de sécurité qui ont détecté le fichier
Propriétés/Métadonnées : propriétés connues du fichier
Noms de fichiers soumis par VT/ITW : noms de fichiers correspondants envoyés à VirusTotal
Accéder à la vue Hachage
Vous pouvez également accéder à la vue Hachage lorsque vous examinez un élément dans la vue "Éléments" en procédant comme suit:
Sélectionnez un élément et affichez-le dans la vue des éléments.
Dans la chronologie située à gauche, faites défiler la page vers le bas jusqu'à un événement lié à un processus ou à une modification de fichier, tel que
process_start
,childproc
ouproc
.Sélectionner un processus dans la vue des éléments
Cliquez sur Processus en cours, Processus parent ou Fichier cible pour examiner le fichier.
Vous pouvez ouvrir la vue de hachage du fichier en cliquant sur la valeur de hachage dans la vue "Éléments".