Examiner un fichier
Vous pouvez utiliser Chronicle pour rechercher un fichier spécifique en fonction de sa valeur de hachage MD5, SHA-1 ou SHA-256. Assurez-vous d'ingérer et de normaliser des données provenant d'appareils de votre réseau, comme les données EDR.
Si des informations supplémentaires sont disponibles pour un hachage de fichier trouvé dans le compte Chronicle d'un client, ces informations supplémentaires sont automatiquement ajoutées aux événements UDM associés. Vous pouvez rechercher ces événements UDM manuellement à l'aide de la recherche UDM ou des règles.
Pour afficher un hachage de fichier:
Afficher directement un fichier dans la vue Hachage
Accéder à la vue Hachage à partir d'une autre vue
Afficher directement un fichier dans la vue Hachage
Pour ouvrir directement la vue de hachage, saisissez la valeur de hachage dans le champ de recherche Chronicle, puis cliquez sur Rechercher.
Vue hachée
Chronicle fournit des informations supplémentaires sur le fichier, par exemple:
Détection des moteurs partenaires : autres fournisseurs de sécurité ayant détecté le fichier.
Propriétés/Métadonnées : propriétés connues du fichier.
VT noms de fichier envoyés / ITW : logiciels malveillants malveillants connus en informatique envoyés à VirusTotal.
Accéder à la vue Hachage à partir d'une autre vue
Vous pouvez également accéder à la vue Hachage tout en examinant un asset dans une autre vue (par exemple, la vue "Asset") en procédant comme suit:
Ouvrez une vue d'enquête. Par exemple, sélectionnez un asset pour l'afficher dans la vue "Asset".
Dans le panneau CALENDRIER de gauche, faites défiler la page vers le bas jusqu'à un événement lié à un processus ou à une modification de fichier, comme Connexion réseau.
Sélectionner un événement dans la vue "Assets"
Ouvrez la visionneuse de journaux/UDM bruts en cliquant sur l'icône d'ouverture dans la chronologie.
Vous pouvez ouvrir la vue de hachage du fichier en cliquant sur la valeur de hachage (par exemple, principal.process.file.md5) dans l'événement UDM affiché.