规则
规则是基于行为和信誉的描述,ESET Inspect 能够从接收到的事件和元数据中识别出此类信息。
安全工程师可以添加和编辑自定义规则,ESET 提供的一些规则则不可修改。
规则是使用基于 XML 的语言定义的。规则在服务器端以异步方式进行匹配,因此将最新事件从客户端发送到服务器并由规则处理之间存在一定的时间间隔。一旦规则匹配成功,只能通过生成检测来通知安全工程师。
检测会显示在“检测”视图中,并且在触发检测时可以通过 ESET PROTECT 通知机制自动发送电子邮件。
安全工程师可以根据调查结果执行手动修复操作。
|
严重性为 22 及以下的规则为遥测规则。这些规则通常仅作为调查事件的附加信息,且常常可能由正常行为触发。如果某些规则在您的环境中生成了过多的数据流量,您可以考虑将其关闭。 |
如果 ESET Inspect Connector 和 ESET Inspect Server 之间的连接中断:
•ESET Inspect Connector 会在连接恢复之后执行评估,将触发的检测和收集的原始事发送到 ESET Inspect Server
•ESET Inspect Connector 会在原始事件与分配了响应操作的检测规则之间查找匹配项,且仅终止进程操作会立即执行。
如果处理了误报或错误的可执行文件,可以前往设置 > 检测规则,取消选中自动执行规则指定的修复操作,以禁用自动修复操作。
过滤、标签和表选项
使用屏幕顶部的过滤器优化显示的项。搜索特定计算机、检测、事件、可执行文件或脚本时,标签功能非常强大。单击表选项的齿轮图标 
以管理主表。
规则窗口由以下部分组成:
规则摘要。 •规则 - 规则的名称。 •作者 - 创建规则时登录的用户名。 •上次编辑 - 上次编辑规则的日期。 •类别 - 在编辑规则部分的类别标签中找到的类别名称。 •严重性 -显示检测的严重级别:威胁 •严重级别评分 - 精确的严重级别定义:1–39 > 信息 •修复操作 - 单击选择用户操作可打开规则选项并选择操作。 •说明 - 文件行为的说明。 •恶意原因 - 文件执行的可能结果。 •善意原因- 有关可能无害活动的详细信息。 •MITRE ATT&CK™ TECHNIQUES - MITRE ATT&CK™ TECHNIQUE ID(如果包含)。 •重新运行任务 - 使用此规则重新运行的任务数。 •排除 - 为此规则创建的排除数。 •标签 - 从现有列表中分配检测标签或创建自定义标签。 |
、警告 
或信息
您可以添加或编辑规则。在侧边栏,您可以查看语法参考;在页面底部,您可以找到指向规则指南的链接。 |
目标
您可以在此窗口中查看、分配或取消分配计算机或组。 |
单击规则名称以执行进一步的操作:
详细信息 |
打开摘要。 |
|---|---|
检测 |
重定向到规则的检测视图。 |
排除 |
转到规则的排除视图。 |
编辑规则 |
重定向到编辑规则部分(如果检测是由规则引发的)。 |
编辑用户操作 |
重定向到规则的编辑用户操作部分。 |
更改分配 |
转到规则的目标视图。 |
重新运行任务 |
转到规则的重新运行任务视图。 |
创建排除 |
为所选规则创建排除任务。您将被重定向到创建规则排除。 |
启用 |
|
禁用 |
|
删除 |
|
另存为 |
创建具有所需名称的新规则并打开规则编辑器。 |
访问组 |
显示当前分配的访问组。单击移动以重新分配访问组。 |
位号 |
从现有列表中分配检测标签或创建自定义标签。 |
过滤器 |
在激活上下文菜单的列上显示快速过滤器(仅显示此项、隐藏此项)。 |
重新运行规则 |
将您重定向到创建重新运行任务窗口。 |
导出 |
根据所使用的 Web 浏览器,启动将规则导出为 XML 文件的操作流程。 |
导入 |
打开 XML 规则文件的导入窗口。 |