Analisi di un file
Puoi utilizzare Chronicle per cercare nei dati un file specifico in base al valore hash MD5, SHA-1 o SHA-256. Assicurati di importare e normalizzare i dati dei dispositivi sulla rete, ad esempio i dati EDR. Puoi aprire la visualizzazione Hash nel modo seguente:
Visualizzare direttamente un file in visualizzazione hash
Passare alla visualizzazione hash dalla visualizzazione risorse
Visualizzare direttamente un file in visualizzazione hash
Per aprire direttamente la visualizzazione hash, inserisci il valore hash nel campo di ricerca Chronicle e fai clic su Cerca.
Visualizzazione hash
Chronicle fornisce ulteriori informazioni sul file, tra cui:
Rilevamento dei motori partner: altri fornitori di servizi di sicurezza che hanno rilevato il file
Proprietà/metadati: proprietà note del file
Nomi dei file inviati/ITW VT: nomi file corrispondenti inviati a VirusTotal
Passa alla visualizzazione hash dalla visualizzazione delle risorse
Puoi accedere alla vista Hash anche mentre analizzi una risorsa nella Visualizzazione risorse completando i seguenti passaggi:
Seleziona un asset e visualizzalo in Visualizzazione asset.
Nella Sequenza temporale a sinistra, scorri verso il basso fino a qualsiasi evento associato a un processo o a una modifica del file, ad esempio
process_start
,childproc
oproc
.Selezione di un processo in Visualizzazione risorse
Fai clic su Processo attuale, Processo principale o File di destinazione per esaminare il file.
Puoi aprire la visualizzazione Hash del file facendo clic sul valore hash nella visualizzazione Asset.