파일 조사

Chronicle을 사용하여 데이터에서 MD5, SHA-1 또는 SHA-256 해시 값을 사용하는 특정 파일을 검색할 수 있습니다. EDR 등 네트워크의 기기로부터 데이터를 수집하고 정규화해야 합니다. 다음과 같은 방법으로 해시 뷰를 열 수 있습니다.

  • 해시 뷰에서 파일 직접 보기

  • 애셋 뷰에서 해시 뷰로 이동

해시 뷰에서 파일 직접 보기

해시 뷰를 직접 열려면 Chronicle 검색창에 해시 값을 입력하고 검색을 클릭합니다.

해시 뷰 해시 뷰

Chronicle에서는 다음을 포함한 파일에 대한 추가 정보를 제공합니다.

  • 파트너 엔진 감지—파일을 감지한 기타 보안 공급업체

  • 속성/메타데이터—파일의 알려진 속성

  • VT 제출됨/ITW 파일 이름—VirusTotal에 제출된 일치하는 파일 이름

또한 다음 단계를 따르면 애셋 뷰에서 애셋을 조사할 때 해시 뷰로 이동할 수 있습니다.

  1. 애셋을 선택하여 애셋 뷰에 표시합니다.

  2. 왼쪽의 타임라인에서 프로세스 또는 파일 수정과 관련된 이벤트(예: process_start, childproc 또는 proc)가 나올 때까지 아래로 스크롤합니다.

    애셋 뷰에서 프로세스 선택 애셋 뷰에서 프로세스 선택

  3. 현재 프로세스, 상위 프로세스 또는 대상 파일을 클릭하여 파일을 조사합니다.

  4. 애셋 뷰에서 해시 값을 클릭하면 파일의 해시 뷰를 열 수 있습니다.