Analisi di un file

Puoi utilizzare Chronicle per cercare nei dati un file specifico in base al valore hash MD5, SHA-1 o SHA-256. Assicurati di importare e normalizzare i dati dei dispositivi sulla rete, ad esempio i dati EDR. Puoi aprire la visualizzazione Hash nel modo seguente:

  • Visualizzare direttamente un file in visualizzazione hash

  • Passare alla visualizzazione hash dalla visualizzazione risorse

Visualizzare direttamente un file in visualizzazione hash

Per aprire direttamente la visualizzazione hash, inserisci il valore hash nel campo di ricerca Chronicle e fai clic su Cerca.

Visualizzazione hash Visualizzazione hash

Chronicle fornisce ulteriori informazioni sul file, tra cui:

  • Rilevamento dei motori partner: altri fornitori di servizi di sicurezza che hanno rilevato il file

  • Proprietà/metadati: proprietà note del file

  • Nomi dei file inviati/ITW VT: nomi file corrispondenti inviati a VirusTotal

Puoi accedere alla vista Hash anche mentre analizzi una risorsa nella Visualizzazione risorse completando i seguenti passaggi:

  1. Seleziona un asset e visualizzalo in Visualizzazione asset.

  2. Nella Sequenza temporale a sinistra, scorri verso il basso fino a qualsiasi evento associato a un processo o a una modifica del file, ad esempio process_start, childproc o proc.

    Selezione di un processo in Visualizzazione Asset Selezione di un processo in Visualizzazione risorse

  3. Fai clic su Processo attuale, Processo principale o File di destinazione per esaminare il file.

  4. Puoi aprire la visualizzazione Hash del file facendo clic sul valore hash nella visualizzazione Asset.