操作

Actions 标记允许您指定在触发规则时执行的一组操作。 操作名称为：

•BlockModule - 阻止在 LoadDll 事件中加载的 DLL

•BlockParentProcessExecutable - 阻止父进程哈希（仅当不受信任1 或 LiveGrid® 信息缺失时）

•BlockProcessExecutable - 阻止进程哈希（仅当不受信任1 或 LiveGrid® 信息缺失时，通过规则禁止哈希）

•BlockProcessSuspiciousModules - 阻止被 MarkModuleSuspicious 操作标记为可疑的模块

•CleanAndBlockModule - 阻止 ModuleDrop 事件中被删除的模块

•CleanAndBlockParentProcessExecutable - 清理并阻止父进程哈希（仅当不受信任1 或 LiveGrid® 信息缺失时）

•CleanAndBlockProcessExecutable - 清理并阻止进程哈希（仅当不受信任1 或 LiveGrid® 信息缺失时）

•CleanAndBlockProcessSuspiciousModules - 清理并阻止被 MarkModuleSuspicious 操作标记为可疑的模块

•DropEvent - 删除触发规则的事件

•HideCommandLine - 不要保存触发规则的进程的命令行

•IncreaseParentRiskScore - 按设定值增加父进程的风险评分。当达到风险评分阈值时，将触发 KillParentProcess 操作。您可以通过“策略”>“ESET Inspect Connector”>“高级设置”来指定风险评分阈值

•IncreaseRiskScore - 按设定值增加进程的风险评分。当达到风险评分阈值时，将触发 KillProcess 操作。您可以通过“策略”>“ESET Inspect Connector”>“高级设置”来指定风险评分阈值

•IsolateFromNetwork - 将计算机与网络隔离

•KillParentProcess - 终止触发了检测的正在运行的进程的父进程（仅当不受信任1 或 LiveGrid® 信息缺失时）

•KillProcess - 终止触发了检测的正在运行的进程（仅当不受信任1 或 LiveGrid® 信息缺失时）

•LogOutUser - 将用户从操作系统中注销

•MarkAsCompromised - 触发了规则的进程将被标记为已损坏。此状态在 ESET Inspect Web 控制台的进程详细信息视图中可见。

•MarkAsResolved - 将当前评估的检测标记为已解决

•MarkAsScript - 将可执行文件标记为脚本

•MarkModuleSuspicious - 将模块标记为可疑

•Reboot - 重新启动触发了检测的计算机

•ReportIncident - 在触发检测时创建事件。您可以使用 aggregateOn 参数将检测聚合到一个事件中。若要指定时间聚合，可以使用 aggregationParameter

 可能的 aggregateOn 参数值为：

o计算机

o时间

oTimeAndComputers

•Shutdown - 关闭触发了检测的计算机

•StoreEvent - 存储通过此规则触发了检测的事件，不受其他设置的影响。如果默认情况下不存储事件，则可以使用事件

•SubmitModuleToLiveGuard - 将模块提交给 ESET LiveGuard

•SubmitParentToLiveGuard - 将触发了检测的可执行文件的父级提交给 ESET LiveGuard

•SubmitToLiveGuard - 将触发了检测的可执行文件提交给 ESET LiveGuard

•TriggerDetection - 如果未在 actions 标记字段中指定操作，则默认情况下将执行此操作，并在 ESET Inspect 中触发检测。如果指定了其他操作，并且您仍希望触发检测，则必须添加此操作

1 受信任进程是指 ESET LiveGrid® 信誉级别等于或大于 8 的进程。

˄˅