検出詳細
以下のタイルは、検出の詳細を示しています。
•名前 - 脅威名。
•発生 - 発生日時。
•トリガープロセス - トリガープロセスの名前と整合性レベル。
•コマンドライン - トリガープロセスが使用したコマンドライン。
•ユーザー名 - イベントが発生したときにログインしたユーザーの名前。
•ユーザーロール - ユーザー名にリストされているユーザーのロール。
•コンピューター - 検出を行ったコンピューターの名前コンピューター名をクリックすると、コンピューター詳細が開きます。
•親グループ- 特定のコンピューターが割り当てられているコンピューターグループの名前。ESET PROTECTでコンピューターのグループを変更できます。
•前回接続—ブロックされたハッシュ通知を待機したり、ファイルのダウンロードを要求したり、プロセスを強制終了したりするために作成された、90秒ごとに更新される永続的な接続。
•優先度 - 検出の優先度。[優先度]ボタンで変更できます。
•重大度 -検出の重大度を示します。脅威
、警告
または情報
•重大度スコア - 正確な重大度の定義。1–39 > 情報 ; 40–69 > 警告 ; 70–100 > 脅威
•解決済み - 検出が解決されたかどうかを示すインジケーター。[優先度]ボタンで変更できます。
•トリガープロセス - 検出をトリガーしたプロセスの名前とID。名前をクリックすると、プロセスの詳細が開きます。
•コマンドライン - コマンドラインのファイル名。
•パス - ブロックされたハッシュまたはESET Endpoint Securityが検出をトリガーした場合に表示されるリンク。
検出タイプ
•ルール - ルールに基づいてトリガーされた検出をフィルタリングします。
•ブロック - その他セクションのリストに表示されているブロックされたハッシュの一致によってトリガーされた検出が表示されます。
•ウイルス対策 - [スキャン]または[リアルタイム検出]の後に、ESET Endpoint Securityによってトリガーされた検出を表示します。
•ファイアウォール - ファイアウォールルールがトリガーされた場合など、ESET Endpoint Securityによってトリガーされた検出が表示されます。
•HIPS—HIPS保護が侵入を検出したときにESET Endpoint Securityによってトリガーされた検出を表示します。
•フィルタリングされたWebサイト - Webサイトがブラックリスト(PUA、内部、またはフィッシング対策)に登録されている場合にESET Endpoint Securityによってトリガーされた検出を表示します。
脅威のタイプ
脅威のタイプは、ブロックされたハッシュまたはESET Endpoint Securityによって検出がトリガーされた場合に表示されます。
•マルウェア - 望ましくない可能性のあるアプリケーション
•望ましくない可能性のあるアプリケーション(PUA) - PUAは悪意がないかもしれませんが、コンピューターのパフォーマンスに悪影響を与える可能性があります。
•ESET Inspectによってブロックされたハッシュ - ファイルはブロックされたハッシュセクションに追加したハッシュによってブロックされました。
•不審なアプリケーション - パッカーまたはプロテクターによって圧縮されたプログラム。マルウェアの作成者は、これらを悪用して検出を回避します。
•脅威名 - 脅威の名前。詳細は、https://www.microsoft.com/en-us/wdsi/threats/threat-searchなどのページで検索してください。
トリガー実行ファイル
検出をトリガーした実行可能ファイル。名前をクリックすると、実行ファイル詳細に移動します。
•SHA-1 - 実行ファイルのハッシュ。
ハッシュの横にある歯車の
アイコンをクリックしてコンテキストメニューを表示します。次の2つのオプションがあります。
•設定タブで定義できるウイルス合計検索ページを開きます。
•クリップボードにコピーして、ハッシュをクリップボードに追加します。
•署名タイプ—署名されている場合、署名タイプ。信頼できる、有効、なし、無効、または不明です。値がPresentの場合、実行ファイルは署名されますが、ESET Inspectでは証明書のステータスを識別できません。Windowsではまれですが、MacOSでは、エンドポイントは署名を検証せず、状態はPresentまたはNoneのみです。
•署名者名 - ファイルの署名者(該当する場合)。
•確認 - ファイルが検出されたコンピューター。確認をクリックすると、コンピューター]ビューに移動し、フィルター処理されたリストが表示されます。
•ファイルの説明 - ファイルの完全な説明。
•初回の表示—実行ファイルが任意のコンピューターで最初に表示された日時。
•レピュテーション(LiveGrid®) -ファイルの安全性を示す1~9までの数字で、1~2 (赤)は悪意がある、3~7 (黄)は不審、8~9 (緑)は安全です。
•人気(LiveGrid®)—実行ファイルをLiveGrid®に報告したコンピューターの数。
•最初の確認(LiveGrid®)—実行ファイルがLiveGrid®に接続された任意のコンピューターで最初に確認された日時。
発生数 |
LiveGrid®の影響を受けるコンピューター数 |
色 |
説明 |
|---|---|---|---|
0 |
0 |
赤 |
未確認 |
1 |
1–9 |
赤 |
低 |
2 |
10–99 |
イエロー |
中 |
3 |
100–999 |
イエロー |
中 |
4 |
1 000–9 999 |
イエロー |
中 |
5 |
10 000–99 999 |
緑 |
高 |
6 |
100 000–999 999 |
緑 |
高 |
7 |
1 000 000–9 999 999 |
緑 |
高 |
8 |
10 000 000–99 999 999 |
緑 |
高 |
9 |
100 000 000–999 999 999 |
緑 |
高 |
10 |
1 000 000 000–9 999 999 999 |
緑 |
高 |
11 |
10 000 000 000–99 999 999 999 |
緑 |
高 |
•IPプロトコル—使用されるIPプロトコル。
•ソースソケット—攻撃の発信元となる可能性のあるIPアドレス。
•ターゲットソケット—攻撃の標的となった可能性のあるIPアドレス。
•報告インターフェース—使用可能な場合は、アラームの原因となったパケットを受信したネットワークアダプターのMACアドレス。
•発生 - プロセスの発生日時。
•トリガー - 検出がトリガーされた日時。
•脅威の処理—検出に対してアクションが実行されたかどうかを示します。
•再起動が必要—検出を解決するために再起動が必要かどうかを示します。
実行されたアクション
•駆除 - 実行ファイルから有害なコードが消去されました。
•削除 - 実行ファイルが削除されました。
•接続終了 - 感染が害を及ぼす前に接続が終了しました。
•削除して駆除 - 実行ファイルが削除されました。
•削除されたオブジェクトの一部 - 実行ファイルは削除されたアーカイブの一部でした。
•削除予定に設定 - 実行ファイルはアクセスできず、手動削除対象に設定されています。
•ブロック - アクセスはブロックされましたが、実行ファイルは残ります。
|
Windowsシステムプロセスや実行ファイル(svchost.exeなど)をブロックまたは強制終了しないでください。オペレーティングシステムがクラッシュする可能性があります。 |
インテグリティ―レベル
プロセスツリーの矢印、[検出]タブのグリッド、およびプロセス名が存在する場所のすべてで表示されます。インテグリティレベルは次のとおりです。
•信頼できない - 青色の下矢印
。大部分のオブジェクトに対するほとんどの書き込みアクセスをブロックします。
•低 - 青色の下矢印。レジストリキーとファイルオブジェクトへのほとんどの書き込みアクセスをブロックします。
•中 - アイコンはありません。これは、UACが有効な場合のほとんどのプロセスの既定の設定です。
•高 - 赤色の上矢印
。UACが無効になっており、管理者が現在ログインしているユーザーである場合、ほとんどのプロセスでこの設定が適用されます。
•システム - 赤色の上矢印。この設定は、システムレベルのコンポーネント用に予約されています。
•保護されたプロセス - 赤色の矢印。一部のマルウェア対策サービスでは、これを使用して、信頼された署名付きコードを読み込み、コード インジェクション攻撃に対する組み込みの防御策が含まれています。
コンピュータ
検出がトリガーされたコンピューターの名前が表示されます。コンピューター名をクリックして、コンピューター詳細を見つけます。このコンピューターの検出を表示をクリックして、特定のコンピューターの検出リストを開きます。
ユーザー名
検出がトリガーされたときにログインしていたユーザーまたはアカウントの名前が表示されます。Active Directoryから次の詳細が取得されます。
•氏名
•ジョブポジション
•ユーザー部門
•ユーザー説明
|
ユーザーの詳細を表示するには、Active Directoryで次のパラメーターを定義する必要があります。
次に、同期タスクを実行して更新します。 |
監査ログ
検出アクションを表示します。[解決済み]、[未解決]、[コメント付き]、[優先度変更]です。
コメント
コメントを追加します。
|
[メモ]フィールドは廃止予定です。既存のすべてのノートは自動的にコメントに移行されます。 |
アクションボタン
画面下部のボタンで検出を管理できます。
検出
•コンピューターを開く - 検出をトリガーしたコンピューターのコンピューター詳細を開きます。
•プロセスを開く - ルールによって検出がトリガーされた場合は、プロセス詳細を開きます。
•親プロセスを開く - 検出に親プロセスがある場合は、親プロセス詳細を開きます。
•解決済みに設定 -検出を解決済みに設定します。
•未解決に設定 -検出を未解決に設定します。
•除外の作成 -選択したルールの除外タスクを作成します。ルール除外の作成にリダイレクトされます。
•ルールの編集 -ルールによって検出が発生した場合は、ルールの編集セクションにリダイレクトされます。
•ユーザーアクションの編集 -ユーザーアクションの編集ウィンドウが開き、選択した検出ルールのユーザーアクションの編集が表示されます。
•優先度 -検出を優先度なし/優先度I/優先度II/優先度IIIに設定します。
•コメントの追加 -コメントを追加します。
•タグ - 既存のリストから検出タグを割り当てるか、カスタムタグを作成します。
•監査ログ -監査ログタブに移動します。
•診断情報 - 選択したルールの追加の診断データ収集を有効にします。
o収集の開始 - 次にルールがトリガーされたときに、診断情報が収集され、ダウンロードできるようになります。
oダウンロード - パスワードで保護されたZIPアーカイブと診断データをダウンロードします。パスワードはダウンロード画面に表示されます。ダウンロード後、収集は停止します。
インシデント
oインシデントレポートの作成
o現在のインシデントに追加
o最近のインシデントに追加。直近の3件のインシデントを表示します
o追加するインシデントを選択
修正
•ネットワークの保護:
o実行ファイルをブロック - SHA-1ハッシュとSHA-256ハッシュに基づいて実行ファイルをブロックして、実行ファイルの実行を防止します。ブロックされた実行可能ファイルは、ブロックされたハッシュセクションに表示されます。
o実行ファイルを駆除してブロック - 実行ファイルを削除して、[ブロックされたハッシュ]に追加し、今後の発生を防ぎます。
oネットワークから分離 - ESETセキュリティ製品間を除き、コンピューターのすべてのネットワーク通信をブロックします。
•コンピューターの保護:
oこのコンピューターのプロセスを終了—検出をトリガーした実行中のプロセスを強制終了します。
oコンピューターのマルウェアをスキャン - オンデマンドコンピュータースキャンを実行します。
oコンピュータをシャットダウン - コンピューターをシャットダウンします。
プロセスの強制終了
このコンピューターで選択したプロセスを強制終了します。
コンピュータ
•検査 - エンドポイントにコマンドを送信して、コンピューターのスキャンをすぐに開始します。
•SysInspectorログ -SysInspectorログを生成し、コンピューターの詳細で確認できます。
•再起動/シャットダウン—コンピューターを再起動またはシャットダウンするコマンドを送信します。
•隔離 -コンピューターをネットワークから隔離します(ESETセキュリティ製品間の接続のみ使用可能です)。また、分離を終了することもできます(Windowsエンドポイントでのみ使用可能。7.2.12003.0以降のファイルセキュリティ)。
•詳細(Protect) -ESET PROTECT Webコンソールに移動します。
実行ファイル
•ブロックハッシュのブロックタブに移動します。
•ファイルのダウンロード - 影響を受けるプロセスのダウンロードウィンドウが表示されます。
•に送信するESET LiveGuard -ESET LiveGuard分析のためにファイルを手動で送信します。