Examiner un fichier

Vous pouvez utiliser Chronicle pour rechercher un fichier spécifique en fonction de sa valeur de hachage MD5, SHA-1 ou SHA-256. Assurez-vous d'ingérer et de normaliser les données des appareils de votre réseau, telles que les données EDR. Vous pouvez ouvrir la vue de hachage de la manière suivante:

  • Afficher directement un fichier dans la vue "Hash"

  • Accéder à la vue "Hash" à partir de la vue des éléments

Afficher directement un fichier dans la vue "Hash"

Pour ouvrir directement la vue de hachage, saisissez la valeur de hachage dans le champ de recherche Chronicle, puis cliquez sur Rechercher.

Hachage Affichage de hachage

Chronicle fournit des informations supplémentaires sur le fichier, telles que:

  • Détection des moteurs partenaires : autres fournisseurs de sécurité ayant détecté le fichier

  • Propriétés/Métadonnées : propriétés connues du fichier

  • Noms de fichiers VT envoyés/ITW : correspondance des noms de fichiers envoyés à VirusTotal

Vous pouvez également accéder à la vue "Hash" pendant l'analyse d'un élément dans la vue des éléments en procédant comme suit:

  1. Sélectionnez un élément et affichez-le dans la vue des éléments.

  2. Dans le TIMELINE situé à gauche, faites défiler la page vers le bas jusqu'à un événement lié à un processus ou une modification de fichier, tel que process_start, childproc ou proc.

    Sélectionner un processus dans la vue des éléments Sélectionner un processus dans la vue des éléments

  3. Cliquez sur Processus en cours, Processus parent ou Fichier cible pour rechercher le fichier.

  4. Vous pouvez ouvrir la vue de hachage du fichier en cliquant sur la valeur de hachage dans la vue des éléments.