Правила
Правила — це описи, що базуються на поведінці й репутації, які ESET Inspect може виявляти на основі отриманих подій і метаданих.
Фахівці з безпеки можуть додавати й редагувати власні правила, однак правила, надані ESET, змінювати не можна.
Правило визначається за допомогою мови на основі XML. Правила зіставляються на сервері асинхронно, тому передбачено певний часовий інтервал між надсиланням останніх подій із клієнта на сервер і їх обробкою за правилами. Відповідність правилу лише інформує фахівців із безпеки за допомогою ініціювання виявлення об’єкта.
Виявлений об’єкт відображається у відповідному поданні. Якщо буде ініційовано виявлення, за допомогою механізму сповіщень ESET PROTECT система може автоматично надіслати електронний лист.
Фахівець із безпеки може вручну вжити заходів із виправлення загрози на основі результатів розслідування.
|
Правила з рівнем критичності 22 й нижче є правилами телеметрії. Зазвичай вони використовуються, лише щоб отримати додаткові відомості для розслідування інциденту, і часто спрацьовують помилково. Якщо деякі із цих правил генерують забагато трафіку у вашому середовищі, ви можете вимкнути їх. |
Якщо зв’язок між ESET Inspect Server й ESET Inspect Connector перервано:
•ESET Inspect Connector виконує оцінку, надсилає дані про виявлені об’єкти й зібрані необроблені події в ESET Inspect Server після відновлення зв’язку;
•ESET Inspect Connector знаходить відповідність між необробленою подією і правилом виявлення, до якого прив’язано дію у відповідь. Негайно запускається лише дія Завершити процес
Якщо обробляються помилкові спрацювання або неправильні виконувані файли, у розділі Налаштування > Правила виявлення можна зняти прапорець із пункту Автоматичне виконання дій із виправлення, визначених правилами, щоб вимкнути автоматичні дії з усунення загроз.
Опції фільтрації, тегів і таблиць
За допомогою фільтрів угорі екрана можна отримати точніші результати. Теги спрощують пошук конкретного комп’ютера, виявленого об’єкта, інциденту, виконуваного файлу або сценарію. Щоб відкрити опції для керування головною таблицею, натисніть піктограму шестірні 
.
Вікно правил складається з таких частин:
Короткий огляд правила. •Правило: ім’я правила. •Автор: ім’я користувача, який увійшов у систему під час створення правила. •Остання правка: дата останнього внесення змін у правило. •Категорія: назва категорії, яку можна знайти серед відповідних тегів у розділі Змінити правило. •Рівень критичності —Відображає рівень критичності виявленого об’єкта: "Загроза" •Оцінка критичності — точні визначення рівнів критичності: 1–39: інформація •Дії з виправлення: натисніть Вибрати дії користувача, щоб відкрити опції правила й вибрати дії. •Пояснення: пояснення поведінки файлу. •Небезпечні причини: можливий результат виконання файлу. •Безпечні причини: докладні відомості про дії, які, імовірно, не становлять загрози. •МЕТОДИ MITRE ATT&CK™: ідентифікатор методу MITRE ATT&CK™ (якщо є). •Завдання повторного запуску: кількість завдань, які виконуються повторно за допомогою цього правила. •Виключення: кількість виключень, створених для цього правила. •Теги: призначити об’єкту виявлення теги зі списку або створити спеціальні. |
, "Попередження" 
або "Інформація"
Ви можете додавати або редагувати правила. Збоку сторінки наведено довідку про синтаксис; унизу — посилання на посібник із правил. |
Цілі
У цьому вікні можна переглядати й призначати або скасовувати призначення комп’ютерів чи груп. |
Надає ту саму інформацію, що й підвкладка Завдання на вкладці Докладніше, але показує завдання лише для цього правила. |
Надає ті самі опції, що й підвкладка Виключення на вкладці Докладніше. Натисніть виявлений об’єкт, щоб перейти до відомостей про нього. |
Натисніть назву правила, щоб виконати подальші дії:
Відомості |
Відкриває короткий огляд. |
|---|---|
Виявлені об’єкти |
Переспрямовує в подання Виявлені об’єкти для правила. |
Виключення |
Відкриває подання Виключення для правила. |
Змінити правило |
Відкриває розділ Змінити правило, якщо виявлення ініційоване правилом. |
Змінити дії користувача |
Переспрямовує в розділ Змінити дії користувача для правила. |
Змінити призначення |
Відкриває подання "Цілі" для правила. |
Завдання повторного запуску |
Відкриває подання Завдання повторного запуску для правила. |
Створити виключення |
Створіть завдання на виключення для вибраних правил. Ви перейдете в розділ створення виключення правил. |
Увімкнути |
|
Вимкнути |
|
Видалити |
|
Зберегти як |
Створює нове правило з потрібним іменем і відкриває відповідний редактор. |
Група доступу |
Відображає поточну призначену групу доступу. Натисніть Перемістити, щоб перепризначити групу доступу. |
Теги |
Призначає об’єкту виявлення теги зі списку або дає змогу створити спеціальні. |
Фільтр |
Відображати швидкі фільтри в стовпці, де активовано контекстне меню ("Лише такі", "Приховати такі"). |
Повторно запустити правила |
Переспрямовує у вікно Створити завдання повторного запуску. |
Експорт |
Запускає процес експорту правила в XML-файл (залежить від браузера). |
Імпортувати |
Відкриває вікно для імпорту XML-файлу з правилами. |