Vous pouvez utiliser Chronicle pour rechercher un fichier spécifique en fonction de sa valeur de hachage MD5, SHA-1 ou SHA-256. Assurez-vous d'ingérer et de normaliser les données des appareils de votre réseau, telles que les données EDR. Vous pouvez ouvrir la vue de hachage de la manière suivante:
Afficher directement un fichier dans la vue "Hash"
Accéder à la vue "Hash" à partir de la vue des éléments
Afficher directement un fichier dans la vue "Hash"
Pour ouvrir directement la vue de hachage, saisissez la valeur de hachage dans le champ de recherche Chronicle, puis cliquez sur Rechercher.
Affichage de hachage
Chronicle fournit des informations supplémentaires sur le fichier, telles que:
Détection des moteurs partenaires : autres fournisseurs de sécurité ayant détecté le fichier
Propriétés/Métadonnées : propriétés connues du fichier
Noms de fichiers VT envoyés/ITW : correspondance des noms de fichiers envoyés à VirusTotal
Accéder à la vue "Hash" de la vue des éléments
Vous pouvez également accéder à la vue "Hash" pendant l'analyse d'un élément dans la vue des éléments en procédant comme suit:
Sélectionnez un élément et affichez-le dans la vue des éléments.
Dans le TIMELINE situé à gauche, faites défiler la page vers le bas jusqu'à un événement lié à un processus ou une modification de fichier, tel que
process_start,childprocouproc.
Sélectionner un processus dans la vue des élémentsCliquez sur Processus en cours, Processus parent ou Fichier cible pour rechercher le fichier.
Vous pouvez ouvrir la vue de hachage du fichier en cliquant sur la valeur de hachage dans la vue des éléments.