Indagine su un file
Puoi utilizzare Chronicle per cercare nei tuoi dati un file specifico in base al relativo valore hash MD5, SHA-1 o SHA-256. Assicurati di importare e normalizzare dati da dispositivi nella tua rete, ad esempio dati EDR. Puoi aprire la visualizzazione Hash nel seguente modo:
Visualizzare un file in visualizzazione hash direttamente
Passaggio alla visualizzazione Hash dalla visualizzazione Asset
Visualizzare un file in visualizzazione hash direttamente
Per aprire direttamente la visualizzazione Hash, inserisci il valore hash nel campo di ricerca di Chronicle e fai clic su Search (Cerca).
Vista hash
Chronicle fornisce ulteriori informazioni sul file, tra cui:
Rilevamento dei motori partner: altri fornitori di servizi di sicurezza che hanno rilevato il file.
Proprietà/Metadati: proprietà note del file.
Nomi file VT inviati / ITW: malware sconosciuto in-wild (ITW) inviato a VirusTotal.
Vai alla visualizzazione Hash dalla visualizzazione Asset
Puoi accedere alla vista Hash anche mentre analizzi un asset nella visualizzazione Asset procedendo nel seguente modo:
Seleziona un asset e visualizzalo nella visualizzazione Asset.
Nella Sequenza temporale a sinistra, scorri verso il basso fino a un evento legato a un processo o a una modifica di un file, ad esempio Connessione di rete.
Selezionare un evento nella visualizzazione AssetApri il visualizzatore log non criptato/UDM facendo clic sull'icona in Sequenza.
Puoi aprire la visualizzazione hash per il file facendo clic sul valore hash (principal.process.file.md5) per l'evento UDM.