检测
ESET Inspect 包括基于规则的攻击指标检测引擎。
规则可识别可疑或恶意行为,并根据定义的严重性级别触发检测。“检测”部分会展示每条已触发的检测,标明其位置(计算机)、触发检测的可执行文件和具体进程。每条检测还附带规则定义的严重性信息,并为其分配优先级(稍后可作为过滤器使用)。检测结果也会 1:1 显示在 ESET PROTECT“检测”部分的 ESET Inspect 日志类型下。当某项检测在 ESET Inspect 或 ESET PROTECT 中被标记为“已解决”时,该状态将在两个系统中同步更新。
在检测视图中,您可以对任意列进行高级分组与过滤,并根据用户偏好保存过滤集。您可以浏览每项检测的详细信息并查找更多信息,包括后续步骤。要进一步调查,可以在检测视图中选择该可执行文件的“详细信息”、“进程”和“规则”选项。检测详细信息布局类似于 ESET PROTECT。
预览面板
单击检测可显示预览面板。在这里,您将找到有关所选检测的重要信息。某些项支持交互操作。
过滤、标签和表选项
使用屏幕顶部的过滤器优化显示的项。搜索特定计算机、检测、事件、可执行文件或脚本时,标签功能非常强大。单击表选项的齿轮图标 
以管理主表。
检测类型
单击检测 类型可显示全面详细信息。
显示由 ESET Endpoint Security 触发的检测,例如触发了防火墙规则的情况 |
显示 HIPS 防护检测到入侵时由 ESET Endpoint Security 触发的检测。 |
显示当网站被列入黑名单时由 ESET Endpoint Security 触发的检测(PUA、内部或网络钓鱼防护)。 |
显示在扫描或实时检测后由 ESET Endpoint Security 触发的检测 |
过滤根据规则触发的检测。 |
显示通过匹配更多部分中列出的阻止的哈希触发的检测。 |
检测组
已取消分组 |
首次打开“检测”选项卡时单独显示每个检测。这是默认视图。 |
|---|---|
类型 |
按类型对检测进行分组,无论是由规则触发,还是由基于哈希的阻止的文件触发。 |
计算机 |
按发生检测的计算机进行分组。 |
规则 |
按引发检测的规则进行分组。 |
进程 |
按引发检测的进程进行分组。 |
可执行文件 |
按引发检测的可执行文件进行分组。 |
优先级(过滤器图标)
显示具有特定优先级的项。有四种类型:无优先级和优先级 I-III。默认情况下,所有图标都处于停用状态,并显示具有所有优先级的项。单击优先级图标可激活过滤器并显示具有所选优先级的项。
严重级别
显示检测的严重级别:威胁 
、警告 
或信息
可疑网络检测
静默防火墙检测是指端点发起的不会触发警告的事件。ESET Inspect 将这些事件标记为可疑网络检测。
在下面的列表中,您可以找到不会在 ESET PROTECT 中触发的静默防火墙检测事件,因此无法排除这些事件:
检测名称 |
MITRE ATT&CK® |
注意 |
|---|---|---|
Win32/RiskWare.Meterpreter.N |
|
TLS1.2 (Win10) Cobalt Strike 信标 |
WinPE/Agent.DNSoHTTP |
|
设计用途针对但不限于 Brute Ratel 信标。仅包括对 doh.opendns.com 和 cloudflare-dns.com 的访问权限 |
SMB/Hacktool.DCenum |
|
基于 DCERPC 的域控制器枚举 (Brute Ratel) |
SMB/Hacktool.SCquery |
|
Remote SC manager QueryServiceConfigW (Brute Ratel) |
LDAP/Hacktool.GetGPO |
|
组策略评估 (Brute Ratel) |
SMB/Hacktool.ServicePathModify |
|
基于远程 SC 管理器的服务路径修改 (Brute Ratel) |
LDAP/Hacktool.GetDCGroups |
|
枚举域控制器组 (Brute Ratel) |
HTTP/ArchiveUpload |
|
向公共 IP 传输 RAR/ZIP 格式文件 |
TCP/ArchiveUpload |
|
向公共 IP 传输 RAR 格式文件 |
TLS/Pastebin |
|
非浏览器(按进程名判定)对 pastebin.com 的 TLS 访问,虚拟机除外 |
TLS/4shared |
|
非浏览器(按进程名判定)对 upload.4shared.com 和 api.4shared.com 的 TLS 访问,虚拟机除外 |
SMB/RiskWare.Impacket.Encrypted |
带有 Python Impacket 特征的入站 SMB 流量 |
|
SMB/Impacket.Server |
带有 Python Impacket 特征的、发往服务器的 SMB 流量 |
|
Win32/RiskWare.Meterpreter.AX |
|
基于 WireGuard 协议的 Sliver C2 |
DCERPC/DCShadow |
Active Directory 伪造域控制器 (Mimikatz) |
|
DCERPC/DCSync |
Active Directory 操作系统凭据窃取 (Mimikatz) |
|
SMB/Hacktool.lsadump |
Remote lsadump::backupkeys (Mimikatz) |
|
SMB/NTLMAUTHtoSuspIP |
疑似 SMB NTLM 哈希泄漏 - 使用 Responder https://github.com/SpiderLabs/Responder 的指纹对服务器进行授权 |
|
SMB/LMHashDowngrade |
服务器强制使用旧版 SMB1 方言。Responder https://github.com/SpiderLabs/Responder 的已知开关 |
|
SMB/LMHashDowngrade.A |
服务器被指示用 SMB2 并使用旧版 NTLMv1 https://github.com/3lp4tr0n/RemoteMonologue 和 Responder 连接第三方 |
|
SMB/Hacktool.Netexec.Encrypted |
来自 NetExec 工具(原 CrackMapExec)的任何可疑 SMB 命令,都使用 Impacket |
|
LDAP/Hacktool.Netexec.Generik |
来自 NetExec 工具(原 CrackMapExec)的任何可疑 LDAP 命令;不是 LDAPS |
|
NFS/Hacktool.Netexec.Generik |
来自 NetExec 工具(原 CrackMapExec)的任何可疑 NFS 命令 |
|
WINRM/Hacktool.Netexec.Generik |
来自 NetExec 工具(原 CrackMapExec)的任何可疑 WINRM 命令 |
|
VNC/Hacktool.Netexec.Generik |
来自 NetExec 工具(原 CrackMapExec)的任何可疑 VNC 连接 |
|
MSSQL/Hacktool.Netexec.Generik |
来自 NetExec 工具(原 CrackMapExec)的任何可疑 MSSQL 命令 |
|
SSH/Hacktool.Netexec.Generik |
来自 NetExec 工具(原 CrackMapExec)的任何可疑 SSH 连接 |
|
SMB/Agent.PSEXESVCtoAdminShare |
|
向开放的管理员共享写入文件名为 PSEXESVC.exe 的文件 |
SMB/Agent.SuspEXEtoAdminShare |
|
向开放的管理员共享写入具有可疑 .exe 文件名的文件(来自遥测数据:DOC001.exe, IMG001.exe, VID001.exe) |
RDP/RestrictedAdmin.Handshake |
|
客户端发送了带有“Restricted Admin”标志的 RDP 握手 |
RDP/Riskware.OpenSSL.Client |
|
非 mstsc.exe 的远程客户端正在发起 RDP 连接(例如 FreeRDP) |
SMB/lsadump.SAM |
HKLM\SAM(由 reg.exe 等工具转储)的原始注册表配置单元通过 SMB (Mimikatz) 读取,并通过 SMB 写入 |
|
SMB/lsadump.SECURITY |
|
HKLM\SECURITY(由 reg.exe 等工具转储)的原始注册表配置单元通过 SMB (Mimikatz) 读取,并通过 SMB 写入 |
SMB/lsadump.SYSTEM |
HKLM\SYSTEM(由 reg.exe 等工具转储)的原始注册表配置单元通过 SMB (Mimikatz) 读取,并通过 SMB 写入 |
|
DCERPC/StartService |
通用远程启动系统服务(现代系统中服务名称本身已加密) |
|
IPV6/SLAAC |
|
IPv6 路由器公告详见以下文章 |
SMB/Winreg.HKLM.dump |
|
通过 SMB 访问 HKLM,目的可能在于转储或查询某些键(例如:SAM、SYSTEM、SECURITY 或其他任何子键) |
LDAP/Hacktool.GetSPN |
|
获取 servicePrincipleName 的完整子树 - Impacket GetUserSPN |
单击检测以执行进一步的操作:
计算机详细信息 |
转到计算机详细信息选项卡。 |
|---|---|
切换组 |
扩展或收缩组;如果选择了“已取消分组”,则不可用。 |
标记为已解决 |
将检测标记为已解决。 |
标记为未解决 |
将检测标记为未解决。 |
创建排除 |
为所选规则创建排除任务。您将被重定向到创建规则排除。 |
编辑规则 |
如果规则引发了检测,则将跳转到编辑规则部分。 |
编辑用户操作 |
打开编辑用户操作窗口,并显示所选检测规则的编辑用户操作。 |
优先级 |
将检测标记为无优先级/优先级 I/优先级 II/优先级 III。 |
添加注释 |
添加注释。 |
打开 |
打开计算机 - 打开触发检测的计算机的计算机详细信息。 打开进程 - 如果某条规则触发了检测,则打开引起检测的进程的进程详细信息。 打开父进程 - 如果检测具有父进程,则打开父进程详细信息。 |
位号 |
从现有列表中分配检测标签或创建自定义标签。 |
审核日志 |
转到审核日志选项卡。 |
事件 |
o创建事件报告 o添加到当前事件 o添加到最近的事件,其中显示最近三个事件 o选择要添加到的事件 |
过滤器 |
在激活上下文菜单的列上显示快速过滤器(仅显示此项、隐藏此项)。 |