Examiner un fichier

Vous pouvez utiliser Chronicle pour rechercher un fichier spécifique en fonction de sa valeur de hachage MD5, SHA-1 ou SHA-256. Assurez-vous d'ingérer et de normaliser les données des appareils de votre réseau, telles que les données EDR. Vous pouvez ouvrir la vue Hachage comme suit:

• Afficher directement un fichier dans la vue Hachage

• Accéder à la vue Hachage depuis la vue Asset

Afficher directement un fichier dans la vue Hachage

Pour ouvrir directement une vue de hachage, saisissez la valeur de hachage dans le champ de recherche Chronicle, puis cliquez sur Search (Rechercher).

Vue hachée

Chronicle fournit des informations supplémentaires sur le fichier, y compris les suivantes:

• Détection par les moteurs partenaires : autres fournisseurs de sécurité ayant détecté le fichier

• Propriétés/Métadonnées : propriétés connues du fichier

• Noms de fichiers VT envoyés / ITW : logiciels malveillants connus dans la nature malveillants envoyés à VirusTotal.

Accéder à la vue Hachage depuis la vue Asset

Vous pouvez également accéder à la vue Hachage lorsque vous examinez un asset dans la vue Assets en procédant comme suit:

1. Sélectionnez un asset et affichez-le dans la vue Assets.

2. Dans le panneau CALENDRIER à gauche, faites défiler la page jusqu'à un événement lié à un processus ou à une modification de fichier, tel que Connexion réseau.

   Sélectionner un événement dans la vue des éléments

3. Ouvrez la visionneuse de journaux bruts/UDM en cliquant sur l'icône dans la section CALENDRIER.

4. Vous pouvez ouvrir la vue Hachage du fichier en cliquant sur la valeur de hachage (principal.process.file.md5) pour l'événement UDM.