Дії

Тег actions дає змогу вказати набір дій, які виконуватимуться під час активації правила. Назви дій:

•BlockModule: блокує бібліотеку DLL, яка завантажується в події LoadDll

•BlockParentProcessExecutable: блокує хеш батьківського процесу (лише якщо він не є довіреним1 або відсутні відомості LiveGrid®)

•BlockProcessExecutable: блокує хеш процесу (блокує хеш за допомогою правила, лише якщо він не є довіреним1 або відсутні відомості LiveGrid®)

•BlockProcessSuspiciousModules: блокує модуль, позначений як підозрілий дією MarkModuleSuspicious

•CleanAndBlockModule: блокує модуль, інстальований дропером, у події ModuleDrop

•CleanAndBlockParentProcessExecutable: очищає і блокує хеш батьківського процесу (лише якщо він не є довіреним1 або відсутні відомості LiveGrid®)

•CleanAndBlockProcessExecutable: очищає і блокує хеш процесу (лише якщо він не є довіреним1 або відсутні відомості LiveGrid®)

•CleanAndBlockProcessSuspiciousModules: очищає і блокує модуль, позначений як підозрілий дією MarkModuleSuspicious

•DropEvent: скасовує подію, яка активувала активацію правила

•HideCommandLine: не зберігати командний рядок процесу, який активував правило

•IncreaseParentRiskScore: підвищує оцінку ризику батьківського процесу відповідно до заданого значення. Коли досягається поріг ризику, активується дія KillParentProcess. Ви можете вказати поріг оцінки ризику, вибравши "Політика > ESET Inspect Connector > Розширені налаштування".

•IncreaseRiskScore: підвищує оцінку ризику процесу відповідно до заданого значення. Коли досягається поріг оцінки ризику, активується дія KillProcess. Ви можете вказати поріг оцінки ризику, вибравши "Політика > ESET Inspect Connector > Розширені налаштування".

•IsolateFromNetwork: ізолює комп’ютер від мережі

•KillParentProcess: завершує роботу батьківського процесу для запущеного процесу, який ініціював виявлення (лише якщо він не є довіреним1 або відсутні відомості LiveGrid®)

•KillProcess: завершує роботу запущеного процесу, який ініціював виявлення (лише якщо він не є довіреним1 або відсутні відомості LiveGrid®)

•LogOutUser: вихід користувача з операційної системи

•MarkAsCompromised: процес, який активував правило, буде позначено як скомпрометований. Цей статус відображається в поданні докладних відомостей про процес у вебконсолі ESET Inspect.

•MarkAsResolved: позначає поточний оцінений виявлений об’єкт як вирішений

•MarkAsScript: позначає виконуваний файл як сценарій

•MarkModuleSuspicious: позначає модуль як підозрілий

•Reboot: перезавантажує комп’ютер, який ініціював виявлення

•ReportIncident: створює інцидент, коли активується виявлення. Виявлені об’єкти можна об’єднати в один інцидент за допомогою параметра aggregateOn. Щоб указати агрегацію за часом, можна скористатися параметром aggregationParameter

 Можливі значення параметра aggregateOn:

oКомп’ютери

oЧас

oTimeAndComputers

•Shutdown: вимикає комп’ютер, який ініціював виявлення

•StoreEvent: зберігає події, які ініціювали виявлення відповідно до цього правила (незалежно від інших параметрів). Цей параметр можна використовувати, якщо події не зберігаються за замовчуванням

•SubmitModuleToLiveGuard: надсилає модуль у ESET LiveGuard

•SubmitParentToLiveGuard: надсилає батьківський об’єкт виконуваного файлу, який ініціював виявлення в ESET LiveGuard

•SubmitToLiveGuard: надсилає виконуваний файл, який ініціював виявлення, в ESET LiveGuard

•TriggerDetection: якщо в полі тегу actions не вказати дії, ця дія виконуватиметься за замовчуванням, а в ESET Inspect буде ініційовано виявлення. Якщо вказано інші дії, проте вам все одно потрібно активувати виявлення, необхідно додати цю дію.

1 Довірений процес має рівень репутації ESET LiveGrid® 8 або вищий.

˄˅