スクリプト
最近の多くの攻撃/感染は、スクリプトが悪意のあるペイロードを配信したり、有害なアクティビティを実行したりするファイルレスマルウェアを使用しています。
ESET Inspectは企業内で実行されたすべてのスクリプトに関する詳細な洞察を提供します。どのような変更が加えられたか、スクリプトのいずれかが特定の動作ベースの検出をトリガーしたかどうかに関する詳細が表示されます。
セキュリティエンジニアは、イベント、プロセスツリー、および詳細なコマンドラインパラメーター(引数)に関する詳細にアクセスできます。徹底的なフォレンジック調査には、すべての情報が必要です。
コマンドラインでフィルターとグループスクリプトを使用して、異常や不審な可能性のあるアクティビティを特定します。
Visual Basic、PowerShell (WScript、およびCScript)スクリプトがサポートされています。
フィルタリング、タグ、およびテーブルオプション
画面上部のフィルターを使用して、表示される項目を絞り込みます。タグは、特定のコンピューター、検出、インシデント、実行ファイル、またはスクリプトを検索するときに強力な機能です。メインテーブルを管理するには、テーブルオプションの
歯車アイコンをクリックします。
プロセスグループ
•グループ化解除 - プロセス名(ID)で並べ替えます。
•最初の子実行ファイル - スクリプトの下位プロセスである最初の子プロセスでグループ化します。
•親実行ファイル - スクリプトの上位プロセスである親プロセスごとにグループ化します。
•コマンドライン - 実行ファイルの実行に使用されたコマンドライン/プロセス名(ID)でグループ化します。
指定したスクリプトの除外を作成します。基本セクションで、タスクに関する基本情報(除外名 や除外の詳細な説明のためのメモなど)を入力します。続行をクリックして、タスクの設定を構成します。 条件 組み込みの条件を使用できます。 •プロセス名 - 除外に適用するプロセス名を入力します。 •コマンドライン - パラメーターで除外する場合は、プロセスパラメータを入力します。 •ユーザー - 除外に適用するすべてのユーザー名を入力します。 ターゲット 割り当てをクリックして、この除外を適用するコンピューターまたはグループを選択し、OKをクリックします。 概要 除外プレビューで構成された設定の概要を確認します。設定を確認し、除外を作成をクリックします。
|
プロセス名をクリックして、さらにアクションを実行します。
詳細 |
プロセス詳細タブに移動します。 |
|---|---|
集約イベント |
この特定のプロセスの集約イベントに移動します。 |
検出 |
検出タブに移動します。この特定のスクリプトの検出の一覧が表示されます。 |
未加工イベント |
この特定のプロセスの未加工イベントタブに移動します。 |
読み込まれたモジュール |
読み込まれたモジュールタブに移動します。 |
親プロセス |
この特定のプロセスの親プロセスの詳細タブに移動します。 |
最初の子プロセス |
この特定のプロセスの最初の子プロセスの詳細タブに移動します。 |
安全に設定 |
ターゲットを安全状態に設定します。多くのルールがリスクを決定します。[安全に設定]は検出に影響します。ターゲットウィンドウから、安全とに設定するターゲットを選択します。[安全に設定]は、特定のモジュールが検出に含まれないことを保証するものではありません。数百のルールがあり、PowerShellのような信頼できるモジュールを含め、不審なアクションを実行したモジュールに関係なく検出を行うものもあります。その他のルールは、モジュールに基づいてリスクを評価します。このようなルールは「安全」フラグを考慮します。このフラグは、ユーザーがモジュールを分析し、悪意のあるものである可能性は低いと判断したため、ルールはリスクが評価の早い段階にあると想定していることを意味します。 |
危険に設定 |
実行ファイルを危険に設定します。 |
除外の作成 |
指定したスクリプトの除外を作成します。 |
スクリプトのダウンロード |
調査するスクリプトのダウンロードウィンドウを表示します(ネットワークでまだ使用可能な場合のみ)。 |
タグ |
既存のリストから検出タグを割り当てるか、カスタムタグを作成します。 |
フィルター |
コンテキストメニューをアクティブにした列にクイックフィルターを表示します(これのみを表示し、これを非表示にする)。 |