Сценарії
У багатьох останніх атаках/інфекціях використовується безфайлове шкідливе програмне забезпечення, де сценарії передають зловмисний вміст або виконують інші незаконні дії.
ESET Inspect надає докладну інформацію про всі сценарії, запущені в корпоративному середовищі. Вона відображає внесені зміни й те, чи ініціював який-небудь зі сценаріїв виявлення на основі поведінки.
Фахівці з безпеки можуть отримати докладні відомості про подію, дерево процесу й детальні параметри командного рядка (аргументи). Усе це необхідно для ретельного розслідування.
Використовуйте фільтри й групуйте сценарії за командним рядком, щоб виявити аномалії або потенційно підозрілі дії.
Підтримуються сценарії Visual Basic і PowerShell (WScript та CScript).
Опції фільтрації, тегів і таблиць
За допомогою фільтрів угорі екрана можна отримати точніші результати. Теги спрощують пошук конкретного комп’ютера, виявленого об’єкта, інциденту, виконуваного файлу або сценарію. Щоб відкрити опції для керування головною таблицею, натисніть піктограму шестірні 
.
Групи процесів
•Розгруповані: сортувати за назвою (ідентифікатором) процесу.
•Перший дочірній виконуваний файл: групувати за першим дочірнім процесом, який є наступником сценарію.
•Батьківський виконуваний файл: групувати за батьківським процесом, який є предком сценарію.
•Командний рядок: групувати за командним рядком / назвою (ідентифікатором) процесу, що використовується для виконання файлу.
Створіть виключення для сценарію. У розділі Базовий введіть інформацію про завдання, наприклад у полях Ім’я виключення й Примітка (для докладнішого опису виключення). Натисніть Продовжити, щоб налаштувати параметри завдання. Критерії Ви можете використовувати заздалегідь визначені критерії: •Назва процесу є одним із таких значень: введіть назви процесів, які потрібно застосувати до виключення. •Командний рядок містить: введіть параметри процесу, за якими потрібно виключити об’єкти. •Користувач є одним із таких значень: введіть усі імена користувачів, які потрібно застосувати до виключення. Цілі Натисніть Призначити, щоб вибрати комп’ютери або групи, до яких потрібно застосувати це виключення, і натисніть OK. Звіт Ознайомтеся зі зведенням налаштованих параметрів у вікні попереднього перегляду виключень. Перевірте параметри й натисніть Створити виключення.
Створивши виключення, ви перейдете до розділу Виключення на вкладці Докладніше. |
Натисніть назву процесу, щоб виконати подальші дії:
Відомості |
Перейти на вкладку Відомості про процес. |
|---|---|
Агреговані події |
Перейти на сторінку Агреговані події для цього конкретного процесу. |
Виявлені об’єкти |
Перейти на вкладку Виявлені об’єкти зі списком виявлених об’єктів для цього конкретного сценарію. |
Необроблені події |
Перейти на вкладку Необроблені події для цього конкретного процесу. |
Завантажені модулі |
Перейти на вкладку Завантажені модулі. |
Батьківський процес |
Перейти на вкладку докладних відомостей про батьківський процес для цього конкретного процесу. |
Перший дочірній процес |
Перейти на вкладку докладних відомостей про перший дочірній процес для цього конкретного процесу. |
Позначити як безпечний |
Позначте безпечні цільові об’єкти; ризик визначається за багатьма правилами. Це позначення впливає на виявлені об’єкти. Виберіть об’єкти, які потрібно позначити як безпечні, у вікні цілі. Ця позначка не гарантує, що певний модуль не буде включено до виявлених об’єктів. Існує кілька сотень правил — деякі з них ініціюють виявлення незалежно від того, який модуль виконав підозрілу дію, зокрема це стосується довірених модулів, як-от PowerShell. Інші правила оцінюють ризик залежно від модуля. Для таких правил використовується позначка безпеки. Вона означає, що користувач проаналізував модуль і визначив, що він малоймовірно шкідливий, тому правила припускають, що ризик був визначений на попередньому етапі оцінювання. |
Позначити як небезпечний |
Позначте виконуваний файл як небезпечний. |
Створити виключення |
Створити виключення для вказаного сценарію. |
Завантажити сценарій |
Показати вікно завантаження сценарію для розслідування (лише якщо він іще доступний у мережі). |
Теги |
Призначити об’єкту виявлення теги зі списку або створити спеціальні. |
Фільтр |
Відображати швидкі фільтри в стовпці, де активовано контекстне меню ("Лише такі", "Приховати такі"). |