调查文件

您可以使用 Chronicle 根据 MD5、SHA-1 或 SHA-256 哈希值在数据中搜索特定文件。确保从您网络中的设备中提取和规范化数据,例如 EDR 数据。您可以按如下方式打开“哈希”视图:

  • 直接在“哈希”视图中查看文件

  • 从“资产”视图导航到“哈希”视图

直接在“哈希”视图中查看文件

如需直接打开“哈希”视图,请在 Chronicle 搜索字段中输入哈希值,然后点击搜索

“哈希”视图 “哈希”视图

Chronicle 提供有关该文件的其他信息,包括:

  • 合作伙伴引擎检测 - 检测到文件的其他安全供应商

  • 属性/元数据 - 文件的已知属性

  • VT 提交的/ITW 文件名 - 匹配提交到 VirusTotal 的文件名

您也可以在“资产”视图中查看资产时,前往“哈希”视图,具体操作步骤如下:

  1. 选择资产并在“资产”视图中查看。

  2. 在左侧的 TIMELINE 中,向下滚动到与进程或文件修改关联的任何事件,例如 process_startchildprocproc

    在“资产”视图中选择进程 在“资产”视图中选择进程

  3. 点击当前进程父级进程目标文件以调查该文件。

  4. 您可以通过点击“资产”视图中的哈希值来打开文件的“哈希”视图。