ESET Inspect – 目录

事件

事件是相关安全事件和检测的聚合集合,用于突出显示网络中的潜在威胁或可疑活动。通过对相关数据进行分组,事件提供了对安全问题的全面视图,使管理员能够更有效地分析、优先处理并响应潜在的网络安全事件。

事件管理系统提供了多种工具,包括“评论”和“编辑事件属性”的功能。

你可以在计算机检测可执行文件的详细信息页面中手动创建新事件,也可以通过规则自动创建。

由 ESET 服务代表 (ESR) 检查的事件将在事件名称后添加新标记“已由 ESET 调查”。

过滤、标签和表选项

使用屏幕顶部的过滤器优化显示的项。搜索特定计算机、检测、事件、可执行文件或脚本时,标签功能非常强大。单击表选项的齿轮图标 齿轮 以管理主表。

选择一个选项以创建新事件或将检测添加到现有事件。

创建事件 - 将用户重定向到向导窗口。

添加到当前事件 - 将元素添加到当前事件。

添加到最近事件 - 将元素添加到最后三个事件之一。

选择要添加到的事件 - 将元素添加到所选事件。

事件过滤器面板

事件严重级别

低严重性

中等严重性

高严重性

事件状态

打开 - 事件由安全管理员或其他用户打开或重新打开。

进行中 - 事件正在进行中,目前正在调查中。

已关闭 - 事件已关闭。

 

右键单击事件名称以执行进一步的操作:

详细信息 - 转到“事件详细信息”选项卡。

标记为当前事件 - 通过将事件高亮为蓝色来指示当前事件。

更改状态和受理人 - 更新所选事件的受理人和状态。当事件状态为已关闭时,可在状态原因列中查看多个用于结束事件的解决方案。

标签 - 从现有列表中为事件分配标签或创建新的自定义标签。

事件详细信息

选择某个事件后,会打开其信息窗口,主要包含以下部分:

时间线

时间线显示事件更改信息。上半部分显示与事件相关的信息,包括:状态、严重性、分配的用户、检测次数、可执行文件、计算机、进程和标签(如有)。任何相关内容都基于所选对象显示在“详细信息”选项卡中。单击详细信息课访问该对象的“详细信息”页面(基于类型、计算机、检测和进程)。

事件 - 有关事件的全面详细信息。

详细信息 - 有关对象的全面详细信息。

进程树 - 与进程相关的进程树。

相关对象 - 与事件相关的对象列表,例如“计算机”和“可执行文件”。单击对象旁边 添加可将其显示在事件图中。

ESET AI Advisor

ESET AI Advisor 是一种 LLM 工具,可协助处理由事件创建器创建的事件或提供检测详细信息。该工具引用所选事件、其元素以及由 ESET Inspect Web 控制台管理的所有对象。

注意

ESET AI Advisor 仅在 ESET Inspect 的云版本中可用,并且仅适用于符合条件的许可证

向 ESET AI Advisor 寻求有关所选事件的帮助。以下是一些示例问题:

o总结事件。

o使用要点中的攻击链步骤总结事件。

o提供有关(特定检测)的更多信息。

o提供有关(特定程序)安装的详细信息。

o攻击者在这次事件中使用了哪些技术?

o攻击者使用了哪些技术(例如,凭据访问/持久化)?

o关于解决此事件的建议。

重要信息

与 ESET AI Advisor 中的对话当前受每日提问次数限制的影响,该限制适用于单个 ESET Inspect Web 控制台的所有用户帐户。当接近限制时,会显示一个进度条,指示聊天限制的使用情况。该限制在每天午夜 UTC 重置。

ESET AI Advisor 当前处理不超过 7 天的事件。

注意

请记住,ESET AI Advisor 主要是为了帮助处理 ESET Inspect 中的事件。

虽然该功能支持你所使用的 ESET Inspect Web 控制台语言,但我们建议使用英语以获得最佳效果。

事件图

事件图显示所选事件的交互式节点图可视化效果,包括检测、计算机、可执行文件和事件时间线。

检测

如果事件包含检测,则它们会显示在此处。您会发现此处提供的检测操作选项与“检测”选项卡中的功能相同,但新增了删除按钮,该按钮允许用户从事件中删除所选检测。

计算机

如果事件包含任何计算机,则会在此处显示这些计算机。您会发现此处提供的检测操作选项与“计算机”选项卡中的功能相同,但新增了删除按钮,该按钮允许用户从事件中删除所选检测。

可执行文件

如果事件包含可执行文件,则它们会显示在此处。您会发现此处提供的可执行文件操作选项与“可执行文件”选项卡中的功能相同,但新增了删除按钮,该按钮允许用户从事件中删除所选检测。

进程

如果事件包含任何进程,则它们将显示在此选项卡中。您可以从事件中删除选定的进程。

操作按钮:

您可以使用屏幕下方的按钮管理事件详细信息。

事件

标记为当前事件 - 通过将事件高亮为蓝色来指示当前事件。

更改状态和受理人 - 更新所选事件的受理人和状态。当事件状态为已关闭时,可在状态原因列中查看多个用于结束事件的解决方案。

标签 - 从现有列表中为事件分配标签或创建新的自定义标签。

修复

防止传播:

o阻止可执行文件 - 通过根据 SHA-1 和 SHA-265 哈希阻止可执行文件来阻止可执行文件运行。被阻止的可执行文件将显示在阻止的哈希部分中。

o清理和阻止可执行文件 - 将可执行文件移动到隔离区,并将其添加到“阻止的哈希”中,以防止将来再次发生。

o将计算机与网络隔离 - 阻止计算机上的所有网络通信,ESET 安全产品之间的通信除外。

保护设备:

o终止此计算机上的进程 - 终止已触发检测的正在运行的进程。

o扫描计算机以查找恶意软件 - 运行手动计算机扫描。

o关闭计算机 - 关闭计算机。

注释

向事件添加注释。

编辑

名称 - 编辑事件的名称。

描述 - 编辑事件的描述。

严重性 - 编辑事件的严重性。

受理人 - 编辑事件的受理人。

标签 - 从现有列表中分配标签或创建自定义标签。

注释 - 修改现有注释或添加新注释。

图形

适应 - 将图形居中以显示所有节点。

重置 - 将所有节点返回到其初始位置。

重绘 - 刷新图形信息。