Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Indagine su un file

Puoi utilizzare Chronicle per cercare nei tuoi dati un file specifico in base al relativo valore hash MD5, SHA-1 o SHA-256. Assicurati di importare e normalizzare dati da dispositivi nella tua rete, ad esempio dati EDR. Puoi aprire la visualizzazione Hash nel seguente modo:

  • Visualizzare un file in visualizzazione hash direttamente

  • Passaggio alla visualizzazione Hash dalla visualizzazione Asset

Visualizzare un file in visualizzazione hash direttamente

Per aprire direttamente la visualizzazione Hash, inserisci il valore hash nel campo di ricerca di Chronicle e fai clic su Search (Cerca).

Visualizzazione hash Vista hash

Chronicle fornisce ulteriori informazioni sul file, tra cui:

  • Rilevamento dei motori partner: altri fornitori di servizi di sicurezza che hanno rilevato il file.

  • Proprietà/Metadati: proprietà note del file.

  • Nomi file VT inviati / ITW: malware sconosciuto in-wild (ITW) inviato a VirusTotal.

Puoi accedere alla vista Hash anche mentre analizzi un asset nella visualizzazione Asset procedendo nel seguente modo:

  1. Seleziona un asset e visualizzalo nella visualizzazione Asset.

  2. Nella Sequenza temporale a sinistra, scorri verso il basso fino a un evento legato a un processo o a una modifica di un file, ad esempio Connessione di rete.

    Selezionare un evento nella visualizzazione asset Selezionare un evento nella visualizzazione Asset

  3. Apri il visualizzatore log non criptato/UDM facendo clic sull'icona in Sequenza.

  4. Puoi aprire la visualizzazione hash per il file facendo clic sul valore hash (principal.process.file.md5) per l'evento UDM.