ESET Inspect – Зміст

Інциденти

Інциденти — це агреговані набори пов’язаних подій безпеки й виявлених об’єктів, які вказують на потенційні загрози або підозрілі дії в мережі. Вони надають комплексне уявлення щодо проблем із безпекою за допомогою групування релевантних даних. Це дає змогу адміністраторам ефективно аналізувати, визначати пріоритет і реагувати на потенційні кіберінциденти.

Система керування інцидентами включає кілька інструментів, зокрема коментування й редагування атрибутів інциденту.

Інциденти створюються автоматично на основі правил або вручну в розділах докладних відомостей про комп’ютери, виявлені об’єкти й виконувані файли.

До назв інцидентів, які перевіряються представником служби ESET, додається новий прапорець Досліджується ESET.

Опції фільтрації, тегів і таблиць

За допомогою фільтрів угорі екрана можна отримати точніші результати. Теги спрощують пошук конкретного комп’ютера, виявленого об’єкта, інциденту, виконуваного файлу або сценарію. Щоб відкрити опції для керування головною таблицею, натисніть піктограму шестірні Шестерня.

Виберіть опцію, щоб створити новий інцидент або додати виявлений об’єкт у наявний.

Створити інцидент: переспрямовує користувача у вікно відповідного майстра.

Додати в поточний інцидент: додає елементи в поточний інцидент.

Додати в останній інцидент: додає елементи в один із трьох останніх інцидентів.

Виберіть інцидент, у який потрібно додати: додає елементи у вибраний інцидент.

Панель фільтрації інцидентів

Рівень серйозності інциденту

Низький рівень критичності

Середній рівень критичності

Високий рівень критичності

Статуси інциденту

Відкрито: інцидент відкрито (зокрема повторно) адміністратором безпеки або іншим користувачем.

Триває: інцидент триває і наразі розслідується.

Закрито: інцидент закрито.

 

Натисніть правою кнопкою миші назву інциденту, щоб виконати подальші дії:

Відомості: перейти на вкладку докладних відомостей про інцидент.

Зробити поточним інцидентом: указати поточний інцидент, виділивши його синім кольором.

Зміна статусу й отримувача: оновити отримувача й статус вибраного інциденту. Закрити інцидент можна кількома способами, наведеними в стовпці Причина статусу.

Теги: призначити інциденту теги зі списку або створити спеціальні.

Відомості про інцидент

Виберіть інцидент, щоб відкрити інформаційне вікно, яке містить такі елементи:

Часова шкала

На часовій шкалі відображаються відомості про зміни в інциденті. Верхня частина містить дані про статус, рівень критичності, призначеного користувача, кількість виявлених об’єктів, виконувані файли, комп’ютери, процеси й теги (якщо є), додані до інциденту. Усі докладні відомості про вибраний об’єкт наведено на відповідній вкладці. Натисніть Відомості, щоб перейти на сторінку деталей про об’єкт (залежно від типу інциденту, комп’ютера, виявленого об’єкта й процесу).

Інцидент: докладні відомості про інцидент.

Відомості: вичерпна інформація про об’єкт.

Дерево процесу: дерево процесу, пов’язаного з інцидентом.

Пов’язані об’єкти: список пов’язаних з інцидентом об’єктів, таких як комп’ютери й виконувані файли. Натисніть Додати поруч з об’єктом, щоб відобразити його на графіку інцидентів.

ESET AI Advisor

ESET AI Advisor — це інструмент на основі великої мовної моделі (LLM), який допомагає керувати інцидентами, створеними Мапою інцидентів, або надає докладні відомості про виявлені об’єкти. Він посилається на вибраний інцидент, його елементи й усі об’єкти, якими керує вебконсоль ESET Inspect.

Примітка

ESET AI Advisor доступний лише в хмарній версії ESET Inspect і тільки за наявності відповідної ліцензії.

Ви можете звертатися до ESET AI Advisor по допомогу з вибраним інцидентом. Приклади запитів:

oСтвори звіт про інцидент.

oСтвори звіт про інцидент, оформивши етапи ланцюжка атаки як маркований список.

oНадай більше інформації про (укажіть виявлений об’єкт).

oНадай докладну інформацію про інсталяцію (укажіть програму).

oРозкажи про прийоми, якими користувався зловмисник у цьому інциденті.

oВизнач техніки, якими користувався зловмисник (наприклад, доступ до облікових даних або стійка присутність).

oНадай поради щодо обробки цього інциденту.

Важливі

Наразі кількість запитів у чаті ESET AI Advisor обмежена для всіх користувачів однієї вебконсолі ESET Inspect. Коли ліміту майже досягнуто, з’являється відповідний індикатор перебігу. Ліміт скидається щодня опівночі за UTC.

Наразі ESET AI Advisor обробляє інциденти за останні 7 днів.

Примітка

Пам’ятайте, що ESET AI Advisor призначено переважно для допомоги з інцидентами в ESET Inspect.

Цей інструмент підтримує мову, вибрану у вебконсолі ESET Inspect, проте радимо використовувати англійську для точніших результатів.

Графік інцидентів

Графік інцидентів — це інтерактивний вузловий графік із даними про вибрані інциденти, зокрема пов’язані з ними виявлені об’єкти, комп’ютери, файли й події за часом.

Виявлені об’єкти

Пов’язані з інцидентом виявлені об’єкти відображатимуться тут. Цей розділ містить ті самі опції для обробки виявлених об’єктів, що й вкладка "Виявлені об’єкти", крім кнопки Видалити, яка дає змогу користувачам видаляти вибрані виявлені об’єкти з інциденту.

Комп’ютери

Пов’язані з інцидентом комп’ютери відображатимуться тут. Цей розділ містить ті самі опції для обробки виявлених об’єктів, що й вкладка "Комп’ютери", крім кнопки Видалити, яка дає змогу користувачам видаляти вибрані комп’ютери з інциденту.

Виконувані файли

Пов’язані з інцидентом виконувані файли відображатимуться тут. Цей розділ містить ті самі опції для обробки виконуваних файлів, що й вкладка "Виконувані файли", крім кнопки Видалити, яка дає змогу користувачам видаляти вибрані виконувані файли з інциденту.

Процеси

Пов’язані з інцидентом процеси відображатимуться на цій вкладці. Ви можете видалити вибрані процеси з інциденту.

Кнопки дії

Керувати докладними відомостями про інцидент можна за допомогою кнопок у нижній частині екрана.

Інциденти

Зробити поточним інцидентом: указати поточний інцидент, виділивши його синім кольором.

Зміна статусу й отримувача: оновити отримувача й статус вибраного інциденту. Закрити інцидент можна кількома способами, наведеними в стовпці Причина статусу.

Теги: призначити інциденту теги зі списку або створити спеціальні.

Виправлення

Запобігти поширенню:

oБлокувати виконувані файли: заблокувати файли на основі хешу SHA-1 і SHA-265, щоб запобігти їх запуску. Ці файли з’являться в розділі заблокованих хешів.

oОчистити й заблокувати виконувані файли: помістити виконувані файли на карантин і додати їх у розділ заблокованих хешів, щоб запобігти майбутній появі.

oІзолювати комп’ютери від мережі: блокувати весь мережевий зв’язок на комп’ютерах, крім продуктів ESET із безпеки.

Захист пристроїв:

oЗавершити процеси на цьому комп’ютері за допомогою команди kill: завершити запущені процеси, які ініціювали виявлення, за допомогою команди kill.

oСканувати комп’ютери на наявність шкідливого програмного забезпечення: запустити сканування комп’ютерів на вимогу.

oВимкнути комп’ютери: завершити роботу комп’ютерів.

Коментар

Ви можете додати коментар до інциденту.

Редагувати

Назва: редагувати назву інциденту.

Опис: редагувати опис інциденту.

Рівень критичності: редагувати рівень критичності інциденту.

Отримувач: редагувати дані отримувача інциденту.

Теги: призначити теги зі списку або створити спеціальні.

Коментарі: змінити наявні коментарі або додати нові.

Граф

Припасувати: розташувати графік по центру, щоб відобразити всі вузли.

Скинути: повернути всі вузли на початкові позиції.

Оновити зображення: оновити відомості на графіку.