Виявлені об’єкти
ESET Inspect включає ядро виявлення індикаторів атаки на основі правил.
Правила виявляють підозрілу, шкідливу поведінку й ініціюють виявлення об’єктів відповідно до визначеного рівня критичності. У розділі "Виявлені об’єкти" відображається кожен виявлений об’єкт із зазначенням його розташування (комп’ютера), а також виконуваного файлу й конкретного процесу, який ініціював виявлення. На додаток до цих даних, надається рівень критичності, визначений у правилі, і пріоритет для кожного виявленого об’єкта, який можна буде використовувати як фільтр. Кожен виявлений об’єкт також відображається як окремий запис у розділі "Виявлені об’єкти" ESET PROTECT для типу журналу ESET Inspect. Якщо виявлений об’єкт оброблено в ESET Inspect або ESET PROTECT, його буде оброблено в обох системах.
У поданні "Виявлені об’єкти" доступні розширені функції групування й фільтрації за будь-яким стовпцем. Ви можете зберегти набори фільтрів, а також переглянути докладні відомості про кожен об’єкт і додаткову інформацію, зокрема про наступні кроки. Дані в розділах "Відомості", "Процеси" й "Правила" подання "Виявлені об’єкти" також допоможуть у розслідуванні. Розташування елементів із докладними відомостями про виявлений об’єкт подібне до ESET PROTECT.
|
Коли система виявляє велику кількість об’єктів, сповіщення про спрацювання правила тимчасово вимикаються на активованому комп’ютері на 24 години. Повідомлення про це з’являється на вкладці Сповіщення. |
Панель "Попередній перегляд"
Натисніть виявлений об’єкт, щоб відобразити панель "Попередній перегляд". Вона містить важливу інформацію про вибраний виявлений об’єкт. Деякі її елементи є інтерактивними.
Опції фільтрації, тегів і таблиць
За допомогою фільтрів угорі екрана можна отримати точніші результати. Теги спрощують пошук конкретного комп’ютера, виявленого об’єкта, інциденту, виконуваного файлу або сценарію. Щоб відкрити опції для керування головною таблицею, натисніть піктограму шестірні 
.
Типи виявлених об’єктів
Натисніть тип виявленого об’єкта, щоб відобразити вичерпні відомості про нього.
Показує об’єкти, виявлені ESET Endpoint Security (наприклад, якщо було активовано правило брандмауера). |
Відображає об’єкти, виявлені ESET Endpoint Security, коли захист HIPS фіксує вторгнення. |
Показує об’єкти, виявлені ESET Endpoint Security, якщо вебсайт входить до чорного списку (потенційно небажаних програм [potentially unwanted apps, PUA] або внутрішнього чи антифішингового модуля). |
*** Антивірус
Відображає об’єкти, виявлені ESET Endpoint Security під час сканування або в режимі реального часу. |
Фільтри, що ініціювали виявлення на основі правил. |
Показує виявлені об’єкти, ініційовані збігом з елементами списку Заблоковані хеші в розділі Докладніше. |
Групи виявлених об’єктів
Розгруповані |
Відображає кожен виявлений об’єкт окремо, коли ви вперше відкриваєте вкладку "Виявлені об’єкти". Це подання за замовчуванням. |
|---|---|
Типи |
Групує виявлені об’єкти за типом, незалежно від того, що ініціювало виявлення: правило або заблокований файл на основі хешу. |
Комп’ютери |
Групи об’єкти за комп’ютерами, на яких їх було виявлено. |
Правила |
Групує об’єкти за правилами, які ініціювали їх виявлення. |
Процеси |
Групує об’єкти за процесами, які ініціювали їх виявлення. |
Виконувані файли |
Групи об’єкти за виконуваними файлами, які ініціювали їх виявлення. |
Пріоритет (піктограми фільтрів)
Показує елементи з певним пріоритетом. Розрізняють чотири види пріоритету: без пріоритету, пріоритети I, II й III. За замовчуванням усі піктограми деактивовано, а також відображаються пункти з усіма пріоритетами. Натисніть піктограму пріоритету, щоб активувати фільтр і відобразити елементи з вибраним пріоритетом.
Критичність
Відображає рівень критичності виявленого об’єкта: "Загроза" 
, "Попередження" 
або "Інформація"
Виявлення підозрілої мережевої активності
Фонове виявлення брандмауера — це подія з робочої станції, яка не активує сповіщення. ESET Inspect показує ці події як виявлення підозрілої мережевої активності.
У наведеному нижче списку перелічено фонові виявлення брандмауера, які не спрацьовують в ESET PROTECT, через що їх не можна виключити.
Ім’я виявленого об’єкта |
MITRE ATT&CK® |
Примітка |
|---|---|---|
Win32/RiskWare.Meterpreter.N |
|
Маяки TLS 1.2 (Windows 10) Cobalt Strike |
WinPE/Agent.DNSoHTTP |
|
Розроблено для виявлення маяків Brute Ratel, але не обмежується ними. Включає доступ до doh.opendns.com, лише cloudflare-dns.com |
SMB/Hacktool.DCenum |
|
Перелічення даних контролера домену через DCERPC (Brute Ratel) |
SMB/Hacktool.SCquery |
|
Віддалений виклик QueryServiceConfigW через диспетчер керування службами (Brute Ratel) |
LDAP/Hacktool.GetGPO |
|
Оцінка політики групи (Brute Ratel) |
SMB/Hacktool.ServicePathModify |
|
Зміна шляху служби через віддалений диспетчер керування службами (Brute Ratel) |
LDAP/Hacktool.GetDCGroups |
|
Перелічення груп контролера домену (Brute Ratel) |
HTTP/ArchiveUpload |
|
Надсилання архівів RAR й ZIP на загальнодоступну IP-адресу |
TCP/ArchiveUpload |
|
Надсилання архівів RAR на загальнодоступну IP-адресу |
TLS/Pastebin |
|
TLS-доступ із pastebin.com небраузерного процесу (за іменем процесу), крім віртуальних машин |
TLS/4shared |
|
TLS-доступ до upload.4shared.com, api.4shared.com небраузерного процесу (за іменем процесу), крім віртуальних машин |
SMB/RiskWare.Impacket.Encrypted |
Вхідний трафік SMB з характерними ознаками Python-бібліотеки Impacket |
|
SMB/Impacket.Server |
Трафік SMB на сервер із характерними ознаками Python-бібліотеки Impacket |
|
Win32/RiskWare.Meterpreter.AX |
|
Sliver c2 через протокол WireGuard |
DCERPC/DCShadow |
Контролер домену Active Directory Rouge (Mimikatz) |
|
DCERPC/DCSync |
Створення дампа облікових даних Active Directory OS (Mimikatz) |
|
SMB/Hacktool.lsadump |
Remote lsadump::backupkeys (Mimikatz) |
|
SMB/NTLMAUTHtoSuspIP |
Імовірний витік NTLM-хешу через SMB: авторизація на сервері з ознаками інструмента для перехоплення https://github.com/SpiderLabs/Responder |
|
SMB/LMHashDowngrade |
Сервер примусово використовує стару версію протоколу SMB1. Характерний прийом інструментів для перехоплення https://github.com/SpiderLabs/Responder |
|
SMB/LMHashDowngrade.A |
Сервер отримав інструкцію підключитися до сторонніх сервісів через SMB2, використовуючи старий протокол NTLMv1 https://github.com/3lp4tr0n/RemoteMonologue + Responder |
|
SMB/Hacktool.Netexec.Encrypted |
Будь-яка підозріла SMB-команда від інструмента NetExec (попередня назва — CrackMapExec), використовує Impacket |
|
LDAP/Hacktool.Netexec.Generik |
Будь-яка підозріла команда LDAP від інструмента NetExec (попередня назва — CrackMapExec); не LDAPS |
|
NFS/Hacktool.Netexec.Generik |
Будь-яка підозріла команда NFS від інструмента NetExec (попередня назва — CrackMapExec) |
|
WINRM/Hacktool.Netexec.Generik |
Будь-яка підозріла команда WINRM від інструмента NetExec (попередня назва — CrackMapExec) |
|
VNC/Hacktool.Netexec.Generik |
Будь-яке підозріле VNC-з’єднання від інструмента NetExec (попередня назва — CrackMapExec) |
|
MSSQL/Hacktool.Netexec.Generik |
Будь-яка підозріла команда MSSQL від інструмента NetExec (попередня назва — CrackMapExec) |
|
SSH/Hacktool.Netexec.Generik |
Будь-яке підозріле SSH-з’єднання від інструмента NetExec (попередня назва — CrackMapExec) |
|
SMB/Agent.PSEXESVCtoAdminShare |
|
Відкрито доступ на запис до адміністративного мережевого ресурсу й збережено файл PSEXESVC.exe |
SMB/Agent.SuspEXEtoAdminShare |
|
Відкрито доступ на запис до адміністративного мережевого ресурсу й збережено підозрілий файл .exe (з телеметрії: DOC001.exe, IMG001.exe, VID001.exe) |
RDP/RestrictedAdmin.Handshake |
|
Клієнт ініціював початковий обмін даними RDP в режимі обмеженого адміністрування |
RDP/Riskware.OpenSSL.Client |
|
Віддалений клієнт, крім mstsc.exe, ініціює RDP-з’єднання, наприклад FreeRDP |
SMB/lsadump.SAM |
Необроблений дамп системного розділу реєстру HKLM\SAM (створений інструментом, таким як reg.exe) прочитано через протокол SMB (Mimikatz), і здійснено спробу модифікації через протокол SMB |
|
SMB/lsadump.SECURITY |
|
Необроблений дамп системного розділу реєстру HKLM\SECURITY (створений інструментом, таким як reg.exe) прочитано через протокол SMB (Mimikatz), і здійснено спробу модифікації через протокол SMB |
SMB/lsadump.SYSTEM |
Необроблений дамп системного розділу реєстру HKLM\SYSTEM (створений інструментом, таким як reg.exe) прочитано через протокол SMB (Mimikatz), і здійснено спробу модифікації через протокол SMB |
|
DCERPC/StartService |
Узагальнений випадок віддаленого запуску системної служби (назва служби шифрується в сучасних системах) |
|
IPV6/SLAAC |
|
Повідомлення роутера IPv6 (докладно описано в цій статті) |
SMB/Winreg.HKLM.dump |
|
Доступ до розділу реєстру HKLM через протокол SMB для отримання дампа чи запиту окремих ключів (наприклад: SAM, SYSTEM, SECURITY або будь-яких інших підключів) |
LDAP/Hacktool.GetSPN |
|
Отримання всього піддерева атрибута servicePrincipalName (команда Impacket GetUserSPNs) |
Натисніть виявлений об’єкт, щоб виконати подальші дії:
Відомості про комп’ютер |
Перейдіть на вкладку Відомості про комп’ютер. |
|---|---|
Переключити групу |
Розгорнути або згорнути групу; недоступно, якщо вибрано подання "Розгруповані". |
Позначити як оброблене |
Позначте виявлений об’єкт як оброблений. |
Позначити як необроблене |
Позначте виявлений об’єкт як необроблений. |
Створити виключення |
Створіть завдання на виключення для вибраних правил. Ви перейдете в розділ створення виключення правил. |
Змінити правило |
Переспрямовує вас у розділ Змінити правило, якщо правило ініціювало виявлення. |
Змінити дії користувача |
Відкриває вікно Змінити дії користувача й відображає дії користувача для вибраного правила виявлення. |
Пріоритет |
Поставте позначку біля виявленого об’єкта: Без пріоритету, Пріоритет I, II або III. |
Додати коментар |
Додати коментар. |
Відкрити |
Відкрити комп’ютер: відкриває докладні відомості про комп’ютер, який ініціював виявлення. Відкрити процес: якщо правило ініціювало виявлення, відкриває докладні відомості про відповідний процес. Відкрити батьківський процес: якщо виявлений об’єкт має батьківський процес, відкриває докладні відомості про нього. |
Теги |
Призначити об’єкту виявлення теги зі списку або створити спеціальні. |
Журнал аудиту |
Перейдіть на вкладку Журнал аудиту. |
Інцидент |
oСтворити звіт про інцидент oДодати в поточний інцидент oДодати в останній інцидент (опція діє для трьох останніх інцидентів) oВиберіть інцидент, який потрібно додати в |
Фільтр |
Відображати швидкі фільтри в стовпці, де активовано контекстне меню ("Лише такі", "Приховати такі"). |