Chronicle을 사용하여 데이터에서 MD5, SHA-1 또는 SHA-256 해시 값을 사용하는 특정 파일을 검색할 수 있습니다. EDR 등 네트워크의 기기로부터 데이터를 수집하고 정규화해야 합니다. 다음과 같은 방법으로 해시 뷰를 열 수 있습니다.
해시 뷰에서 파일 직접 보기
애셋 뷰에서 해시 뷰로 이동
해시 뷰에서 파일 직접 보기
해시 뷰를 직접 열려면 Chronicle 검색창에 해시 값을 입력하고 검색을 클릭합니다.
해시 뷰
Chronicle에서는 다음을 포함한 파일에 대한 추가 정보를 제공합니다.
파트너 엔진 감지—파일을 감지한 기타 보안 공급업체
속성/메타데이터—파일의 알려진 속성
VT 제출됨/ITW 파일 이름—VirusTotal에 제출된 일치하는 파일 이름
애셋 뷰에서 해시 뷰로 이동
또한 다음 단계를 따르면 애셋 뷰에서 애셋을 조사할 때 해시 뷰로 이동할 수 있습니다.
애셋을 선택하여 애셋 뷰에 표시합니다.
왼쪽의 타임라인에서 프로세스 또는 파일 수정과 관련된 이벤트(예:
process_start,childproc또는proc)가 나올 때까지 아래로 스크롤합니다.
애셋 뷰에서 프로세스 선택현재 프로세스, 상위 프로세스 또는 대상 파일을 클릭하여 파일을 조사합니다.
애셋 뷰에서 해시 값을 클릭하면 파일의 해시 뷰를 열 수 있습니다.