检测详细信息

下面的图块显示检测详细信息：

•名称 - 威胁名称。

•发生时间 - 发生的日期和时间。

•触发进程 - 触发进程的名称和完整性级别。

•命令行 - 触发进程使用的命令行。

•用户名 - 事件发生时记录的用户姓名。

•用户角色 - 用户名中列出的用户角色。

•计算机 - 引发检测的计算机名称。单击要重定向到计算机详细信息的计算机名称。

•父组- 分配了特定计算机的计算机组的名称。您可以在 ESET PROTECT 中更改计算机的组。

•上次连接时间 - 为侦听被阻止的哈希通知、下载文件或终止进程的请求而创建的永久连接，每 90 秒刷新一次。

 

•优先级 - 检测的优先级，您可以通过“优先级”按钮进行更改。

•严重性 -显示检测的严重级别：威胁 、警告 或信息

•严重级别评分 - 精确的严重级别定义：1–39 > 信息 ; 40–69 > 警告 ; 70–100 > 威胁

•已解决 - 显示检测是否已解决的指示器，您可以通过“优先级”按钮进行更改。

•触发进程 - 触发检测的进程名称和 ID。单击要重定向到进程详细信息的名称。

•命令行 - 命令行文件名。

•路径 - 阻止的哈希或 ESET Endpoint Security 触发某个检测时显示的链接。

检测类型

•规则 - 过滤根据规则触发的检测。

•已阻止 - 显示通过匹配更多部分中列出的阻止的哈希触发的检测。

•病毒防护 - 显示在扫描或实时检测后由 ESET Endpoint Security 触发的检测。

•防火墙 - 显示由 ESET Endpoint Security 触发的检测，例如触发了防火墙规则的情况。

•HIPS- 显示 HIPS 防护检测到入侵时由 ESET Endpoint Security 触发的检测。

•过滤的网站 - 显示当网站被列入黑名单时由 ESET Endpoint Security 触发的检测（PUA、内部或网络钓鱼防护）。

威胁类型

阻止的哈希或 ESET Endpoint Security 触发了某个检测时显示的威胁类型：

•恶意软件 - 可能不需要的应用程序

•潜在有害应用程序 (PUA)- PUA 可能不是恶意的，但可能会对计算机的性能产生负面影响。

•ESET Inspect 阻止的哈希 - 文件被你在阻止的哈希部分添加的哈希所阻止。

•可疑应用程序 - 由加壳程序或保护程序压缩的程序。恶意软件作者利用这些资源来逃避检测。

•威胁名称 - 威胁的名称，请在 https://www.microsoft.com/en-us/wdsi/threats/threat-search 等页面上搜索更多详细信息

正在触发可执行文件

触发了检测的可执行文件。单击名称可重定向到可执行文件详细信息页面。

•SHA-1 - 可执行文件的哈希。

单击哈希旁边的齿轮图标 可显示上下文菜单，您可以在其中找到两个选项：

•打开Virus Total 搜索页面，您可以在设置选项卡中定义该页面。

•复制到剪贴板可将哈希添加到剪贴板。

•签名类型 - 签名类型（如果已签名）：受信任、有效、无、无效或未知。如果值为“已存在”，则对可执行文件进行签名，但 ESET Inspect 无法识别证书的状态。虽然在 Windows 中不常见，但在 MacOS 上，端点不会验证签名，唯一的状态是“已存在”或“无”。

•签名者姓名 - 文件签名者（如果适用）。

•见到的位置 - 在其中发现文件的计算机。单击见到的位置可重定向到计算机视图，您可以在其中找到过滤的列表。

•文件描述 - 文件的完整描述。

•首次见到 - 可执行文件在受监视网络中的任意计算机上首次被发现的时间。

•信誉 (LiveGrid®) - 1 到 9 之间的数字，指示文件的安全程度：1-2（红色）表示恶意，3-7（黄色）表示可疑，8-9（绿色）表示安全。

•人气 (LiveGrid®) - 有多少台计算机向 LiveGrid® 报告了可执行文件

•首次见到 (LiveGrid®) - 首次在连接到 LiveGrid® 的任何计算机上看到可执行文件的时间

 

•IP 协议 - 使用的 IP 协议。

•源套接字 - 可能发起攻击的 IP 地址。

•目标套接字 - 可能攻击的目标 IP 地址。

•报告接口 - 如果可用，则为接收导致警报的数据包的网络适配器的 MAC 地址。

•发生时间 - 进程发生的日期和时间。

•触发事件- 触发检测的日期和时间。

•威胁是否已处理 - 显示是否对检测采取了措施。

•是否需要重新启动 - 显示是否需要重新启动以解决检测问题。

已采取操作

•已清理- 已从有害代码中清理可执行文件。

•已删除- 已删除可执行文件。

•连接已终止 - 连接在恶意程序造成实际危害前已被终止。

•已通过删除清理 - 已删除可执行文件。

•是已删除对象的一部分 -可执行文件是已删除存档的一部分。

•已标记为删除 - 可执行文件不可访问并已标记为手动删除。

•已阻止 - 访问已被阻止，但可执行文件仍然存在。

完整性级别

由箭头表示，出现在进程树、检测选项卡的网格中，以及所有显示进程名称的地方。完整性级别包括：

•不受信任 - 蓝色箭头向下 。阻止对大多数对象的大多数写入访问。

•低 - 蓝色箭头向下 。阻止对注册表项和文件对象的大多数写入访问。

•中等 - 无图标。这是启用 UAC 时大多数进程的默认设置。

•高 - 红色箭头向上 。如果禁用了 UAC，并且管理员是当前登录的用户，则大多数进程都将具有此设置。

•系统 - 红色箭头向上 。此设置是为系统级组件保留的。

•受保护的进程 - 红色箭头向上 。某些反恶意软件服务使用此设置来加载受信任的签名代码，并包括针对代码注入攻击的内置防御。

计算机

显示触发检测的计算机名称。单击计算机名称以查找计算机详细信息。单击查看此计算机上的检测以打开特定计算机的检测列表。

用户名

显示触发检测时登录的用户名或帐户名。从 Active Directory 中提取以下详细信息：

•全名

•职位

•用户部门

•用户说明

审核日志

显示检测操作：“已解决”、“未解决”、“已注释”和“优先级已更改”。

注释

添加注释。

操作按钮：

您可以使用屏幕下方的按钮管理检测。

检测

•打开计算机 - 打开触发检测的计算机的计算机详细信息。

•打开进程 - 如果某条规则触发了检测，请打开进程详细信息。

•打开父进程 - 如果检测具有父进程，请打开父进程详细信息。

•标记为已解决 -将检测标记为已解决。

•标记为未解决 -将检测标记为未解决。

•创建排除 -为所选规则创建排除任务。您将被重定向到创建规则排除。

•编辑规则 -如果规则引发了检测，则将跳转到编辑规则部分。

•编辑用户操作 -打开编辑用户操作窗口，并显示所选检测规则的编辑用户操作。

•优先级 -将检测标记为无优先级/优先级 I/优先级 II/优先级 III。

•添加注释 -添加注释。

•标签 - 从现有列表中分配检测标签或创建自定义标签。

•审核日志 -转到审核日志选项卡。

•诊断信息 - 为所选规则启用其他诊断数据收集。

o开始收集 - 下次触发规则时，将收集诊断信息并可供下载。

o下载 - 下载包含诊断数据的受密码保护的 ZIP 存档。密码显示在下载屏幕上。下载后收集停止。

事件

o创建事件报告

o添加到当前事件

o添加到最近的事件，其中显示最近三个事件

o选择要添加到的事件

修复

•保护网络:

o阻止可执行文件 - 通过根据 SHA-1 和 SHA-256 哈希阻止可执行文件来阻止可执行文件运行。被阻止的可执行文件将显示在阻止的哈希部分中。

o清理并阻止可执行文件 - 删除可执行文件并将其添加到“阻止的哈希”以防止再次运行。

o与网络隔离 - 阻止计算机上的所有网络通信，ESET 安全产品之间的通信除外。

•保护计算机:

o终止此计算机上的进程 - 终止已触发检测的正在运行的进程。

o扫描计算机以查找恶意软件 - 运行手动计算机扫描。

o关闭计算机 - 关闭计算机。

终止进程

终止此计算机上的所选进程。

计算机

•扫描 - 将命令发送到端点以立即开始扫描计算机。

•SysInspector 日志 -生成 SysInspector 日志，您可以在计算机的详细信息中查看该日志。

•重新启动/关闭 -发送命令以重新启动或关闭计算机。

•隔离 -将计算机与网络隔离（仅 ESET Security 产品之间的连接可用）。您还可以结束隔离（仅适用于 Windows 端点；7.2.12003.0 的文件安全性）。

•详细信息 (保护) -转到 ESET PROTECT Web 控制台。

可执行文件

•阻止 -转到阻止哈希选项卡。

•下载文件 - 将显示受影响进程的下载窗口。

•提交到 ESET LiveGuard -手动提交文件以进行 ESET LiveGuard 分析。

˄˅