Деталі виявленого об’єкта
Наведені нижче плитки містять деталі виявленого об’єкта.
•Назва: назва загрози.
•Відбулося: дата й час виявлення.
•Процес, що ініціював виявлення: назва й рівень цілісності процесу, що ініціював виявлення.
•Командний рядок: командний рядок, який використовується процесом, що ініціював виявлення.
•Ім’я користувача: ім’я зареєстрованого користувача в момент виявлення події.
•Роль користувача: роль, зазначена в імені користувача.
•Комп'ютер — Ім’я комп’ютера, на якому було виявлено об’єкт Натисніть ім’я комп’ютера, щоб перейти до розділу Відомості про комп’ютер.
•Батьківська група— Назва групи комп’ютерів, якій призначено конкретний комп’ютер. Її можна змінити в ESET PROTECT.
•Останнє підключення: постійне підключення, яке оновлюється кожні 90 секунд, створене для прослуховування заблокованих хеш-сповіщень, запитів на завантаження файлу або завершення процесу за допомогою команди kill.
•Пріоритет: пріоритет виявленого об’єкта, який можна змінити за допомогою відповідних кнопок.
•Рівень критичності —Відображає рівень критичності виявленого об’єкта: "Загроза" 
, "Попередження" 
або "Інформація"
•Оцінка критичності — точні визначення рівнів критичності: 1–39: інформація ; 40–69: попередження ; 70–100: загроза
•Оброблено: індикатор, який показує, чи оброблено виявлений об’єкт (можна змінити за допомогою кнопок пріоритету).
•Процес, що ініціював виявлення: назва й ідентифікатор процесу, який ініціював виявлення об’єкта. Натисніть назву, щоб перейти до розділу Відомості про процес.
•Командний рядок: ім’я файлу командного рядка.
•Шлях: посилання, яке з’являється, якщо хеш заблоковано або ESET Endpoint Security виявлено об’єкт.
Тип виявлених об’єктів
•Правило: фільтрує об’єкти, виявлення яких було ініційовано на основі правил.
•Заблоковано: показує виявлені об’єкти, ініційовані збігом з елементами списку Заблоковані хеші в розділі Докладніше.
•Антивірус: відображає об’єкти, виявлені ESET Endpoint Security під час сканування або в режимі реального часу.
•Брандмауер: показує об’єкти, виявлені ESET Endpoint Security (наприклад, якщо було активовано правило брандмауера).
•HIPS: відображає об’єкти, виявлені ESET Endpoint Security, коли захист HIPS фіксує вторгнення.
•Відфільтровані вебсайти: показує об’єкти, виявлені ESET Endpoint Security, якщо вебсайт входить до чорного списку (потенційно небажаних програм [potentially unwanted apps, PUA] або внутрішнього чи антифішингового модуля).
Тип загрози
Типи загроз з’являються, якщо хеш заблоковано або ESET Endpoint Security ініційовано виявлення:
•Шкідливе програмне забезпечення: потенційно небажана програма.
•Потенційно небажана програма: PUA не завжди є шкідливими, але можуть негативно впливати на продуктивність комп’ютера.
•Хеш заблоковано ESET Inspect: файл заблоковано на основі хешу, доданого вами в розділі Заблоковані хеші.
•Підозрілі програми: програми, стиснуті упакованими шкідливими програмами або протекторами. Автори шкідливого програмного забезпечення використовують їх, щоб уникнути виявлення.
•Назва загрози: назва загрози; докладнішу інформацію див. на таких сторінках, як https://www.microsoft.com/en-us/wdsi/threats/threat-search.
Виконуваний файл, що ініціював виявлення
Виконуваний файл, який ініціював виявлення. Натисніть назву, щоб перейти до розділу Відомості про виконувані файли.
•SHA-1: хеш виконуваного файлу.
Натисніть значок шестірні 
біля хешу, щоб відкрити контекстне меню, де можна виконати дві дії:
•відкрити загальну сторінку пошуку вірусів, яку можна налаштувати на вкладці Параметри;
•скопіювати хеш у буфер обміну.
•Тип підпису: тип підпису (якщо є) ("Довірений", "Дійсний", "Відсутній", "Недійсний" або "Невідомий"). Виконуваний файл підписується, якщо вибрано значення "Наявний", але ESET Inspect не може визначити статус сертифіката. Хоча це рідко трапляється у Windows, на macOS робоча станція не перевіряє підписи, і єдині значення — це "Наявний" або "Відсутній".
•Ім’я підписувача: підписувач файлу (якщо є)
•Помічено на: комп’ютери, на яких було виявлено файл. Натисніть цю опцію, щоб перейти до подання Комп’ютери з відповідним відфільтрованим списком.
•Опис файлу: повний опис файлу.
•Уперше виявлено: коли виконуваний файл уперше з’явився на будь-якому комп’ютері в контрольованій мережі.
•Репутація (LiveGrid®): цифра від 1 до 9 вказує на ступінь безпеки файлу. 1–2 (червоний) означає, що він шкідливий, 3–7 (жовтий) — підозрілий, а 8–9 (зелений) — безпечний.
•Розповсюдженість (LiveGrid®): скільки комп’ютерів повідомили про виконуваний файл LiveGrid®.
•Уперше виявлено (LiveGrid®): коли виконуваний файл уперше з’явився на будь-якому комп’ютері, підключеному до LiveGrid®.
Розповсюдженість |
Кількість уражених комп’ютерів у LiveGrid® |
Колір |
Опис |
|---|---|---|---|
0 |
0 |
Червоний |
Не помічено |
1 |
1–9 |
Червоний |
Низька |
2 |
10–99 |
Жовтий |
Середній |
3 |
100–999 |
Жовтий |
Середній |
4 |
1000–9999 |
Жовтий |
Середній |
5 |
10 000–99 999 |
Зелений |
Висока |
6 |
100 000–999 999 |
Зелений |
Висока |
7 |
1 000 000–9 999 999 |
Зелений |
Висока |
8 |
10 000 000–99 999 999 |
Зелений |
Висока |
9 |
100 000 000–999 999 999 |
Зелений |
Висока |
10 |
1 000 000 000–9 999 999 999 |
Зелений |
Висока |
11 |
10 000 000 000–99 999 999 999 |
Зелений |
Висока |
•Протокол IP: протокол IP, що використовується.
•Сокет джерела: IP-адреса, за якою почалася можлива атака.
•Сокет призначення: IP-адреса, яка стала ціллю можливої атаки.
•Інтерфейс звітування: MAC-адреса мережевого адаптера, яка отримала пакет, що викликає сигнал тривоги (якщо є).
•Відбулося: дата й час виявлення процесу.
•Час ініціювання: дата й час, коли було ініційовано виявлення об’єкта.
•Оброблено загрозу: відображає, чи було вжито заходів щодо виявленого об’єкта.
•Потрібне перезавантаження: показує, чи потрібне перезавантаження для обробки виявленого об’єкта.
Дію вжито
•Очищено: виконуваний файл очищено від шкідливого коду.
•Видалено: виконуваний файл видалено.
•З’єднання розірвано: з’єднання було розірвано до того, як загроза завдала шкоди.
•Очищено видаленням: виконуваний файл видалено.
•Був частиною видаленого об’єкта: виконуваний файл був частиною видаленого архіву.
•Позначено для видалення: виконуваний файл недоступний і позначений для ручного видалення.
•Заблоковано: доступ заблоковано, але виконуваний файл збережено.
|
Не блокуйте й не завершуйте за допомогою команди kill будь-які системні процеси або виконувані файли Windows, як-от svchost.exe. Це може призвести до збою операційної системи. |
Рівень цілісності
Позначається стрілкою на дереві процесів, сітці вкладки "Виявлені об’єкти" й в інших частинах, де вказано назву процесу. Доступні рівні цілісності:
•Недовірений: синя стрілка вниз 
. Блокує більшість можливостей запису в об’єкти.
•Низька: синя стрілка вниз . Блокує більшість можливостей запису в ключі реєстру й файлові об’єкти.
•Середня: без піктограми. Цей параметр є стандартним для більшості процесів, у яких увімкнено UAC.
•Висока: червона стрілка вгору 
. Більшість процесів матимуть цей параметр, якщо UAC вимкнуто, а адміністратором є користувач, який увійшов у систему.
•Система: червона стрілка вгору . Цей параметр призначено для компонентів системного рівня.
•Захищений процес: червона стрілка вгору . Цей параметр використовується в деяких службах захисту від шкідливого програмного забезпечення для завантаження довіреного підписаного коду й включає вбудовані функції захисту від атак через упровадження коду.
Комп'ютер
Відображає ім’я комп’ютера, на якому було ініційовано виявлення. Натисніть ім’я комп’ютера, щоб переглянути докладні відомості про нього. Натисніть Перегляд виявлених об’єктів на цьому комп’ютері, щоб відкрити відповідний список.
Iм'я користувача
Показує ім’я користувача або облікового запису, з якого було виконано вхід у систему, під час виявлення. З Active Directory надходять такі відомості:
•Повне ім’я
•Посада
•Відділ користувачів
•Опис користувача
|
Щоб відобразити докладні відомості про користувача, потрібно визначити такі параметри в Active Directory:
Потім запустіть завдання синхронізації для оновлення. |
Журнал аудиту
Відображає дії з виявлення ("Оброблено", "Не оброблено", "Прокоментовано" й "Пріоритет змінено").
Коментарі
Додає коментар.
|
Поле "Примітка" більше не підтримується. Усі наявні примітки буде автоматично перенесено в розділ "Коментарі". |
Кнопки дії
Керувати виявленими об’єктами можна за допомогою кнопок у нижній частині екрана.
Виявлені об’єкти
•Відкрити комп’ютер: відкрити відомості про комп’ютер, на якому було ініційовано виявлення.
•Відкрити процес: якщо правило ініціює виявлення, відкрити розділ Відомості про процес.
•Відкрити батьківський процес: якщо виявлений об’єкт має батьківський процес, відкрити відповідний розділ Відомості про процес.
•Позначити як вирішене —Позначте виявлений об’єкт як оброблений.
•Позначити як необроблене —Позначте виявлений об’єкт як необроблений.
•Створити виключення —Створіть завдання на виключення для вибраних правил. Ви перейдете в розділ створення виключення правил.
•Змінити правило —Переспрямовує вас у розділ Змінити правило, якщо правило ініціювало виявлення.
•Змінити дії користувача —Відкриває вікно Змінити дії користувача й відображає дії користувача для вибраного правила виявлення.
•Пріоритет —Поставте позначку біля виявленого об’єкта: Без пріоритету, Пріоритет I, II або III.
•Додати коментар —Додати коментар.
•Теги: призначити об’єкту виявлення теги зі списку або створити спеціальні.
•Журнал аудиту -Перейдіть на вкладку Журнал аудиту.
•Діагностична інформація: увімкнути додатковий збір діагностичних даних для вибраного правила.
oЗапустити збір: наступного разу, коли це правило ініціює виявлення, можна буде завантажити зібрані діагностичні дані.
oЗавантажити: завантажити архів ZIP, захищений паролем, з діагностичними даними. Пароль відображається на екрані завантаження. Збір припиняється після завантаження.
Інцидент
oСтворити звіт про інцидент
oДодати в поточний інцидент
oДодати в останній інцидент (опція діє для трьох останніх інцидентів)
oВиберіть інцидент, який потрібно додати в
Виправлення
•Захист мережі:
oБлокувати виконуваний файл: запобігає запуску виконуваного файлу, блокуючи його на основі хешу SHA-1 і SHA-256. Заблокований виконуваний файл з’явиться в розділі заблокованих хешів.
oОчистити й заблокувати виконуваний файл: видалити виконуваний файл і додати його до списку "Заблоковані хеші", щоб запобігти ініціюванню в майбутньому.
oІзольовано від мережі: блокувати всі мережеві з’єднання на комп’ютері, крім підключень між продуктами ESET із безпеки.
•Захист комп’ютера
oЗавершити процес на цьому комп’ютері за допомогою команди kill: завершити виконуваний процес, який ініціював виявлення, за допомогою команди kill.
oСканувати комп’ютер на наявність шкідливого програмного забезпечення: запустити сканування комп’ютера на вимогу.
oВимкнути комп’ютер: завершити роботу комп’ютера.
Завершити процес
Завершити вибраний процес на цьому комп’ютері.
Комп'ютер
•Сканувати: надіслати команду на робочу станцію, щоб негайно розпочати сканування комп’ютера.
•Журнал SysInspector —Створіть журнал SysInspector, який можна переглянути в докладних відомостях про комп’ютер.
•Перезавантажити/вимкнути:Надішліть команду на перезавантаження або вимкнення комп’ютера.
•Ізолювати —Ізолюйте комп’ютер від мережі (доступні лише з’єднання між продуктами ESET Security). Ви також можете завершити ізоляцію (доступно лише для робочих станцій Windows із File Security версії від 7.2.12003.0).
•Докладні відомості (захист) —Перейдіть у вебконсоль ESET PROTECT.
Виконуваний файл
•Блокувати —Перейдіть на вкладку Блокування хешів.
•Завантажити файл: з’явиться вікно завантаження відповідного процесу.
•Надіслати в ESET LiveGuard —Вручну надішліть файл для аналізу в ESET LiveGuard.