脚本
最近的许多攻击/感染都使用无文件恶意软件,即通过脚本提供恶意有效负载或执行任何有害活动。
ESET Inspect 可对公司内执行的所有脚本提供细粒度见解。它将显示有关所做更改以及是否有任何脚本触发了基于特定行为的检测的详细信息。
安全工程师可以访问有关事件、进程树和详细命令行形参(实参)的详细信息。所有信息均为完整取证调查的必要要素。
在命令行中使用过滤器和分组脚本可发现异常或潜在的可疑活动。
支持 Visual Basic 和 PowerShell(WScript 和 CScript)脚本。
过滤、标签和表选项
使用屏幕顶部的过滤器优化显示的项。搜索特定计算机、检测、事件、可执行文件或脚本时,标签功能非常强大。单击表选项的齿轮图标 
以管理主表。
进程组
•未分组 - 按进程名称 (ID) 排序。
•第一个子可执行文件 - 按作为脚本后继进程的第一个子进程分组。
•父可执行文件 - 按作为脚本上级的父进程分组。
•命令行 - 按用于执行可执行文件的命令行/进程名称 (ID) 分组。
为指定脚本创建排除。在基本部分,键入有关任务的基本信息,包括排除名称和备注以获得更深入的排除描述。单击继续以配置任务设置。 标准 您可以使用预定义的标准: •进程名称是其中之一 - 键入要应用于排除的进程名称。 •命令行包含 - 如果要按参数排除,请键入进程参数。 •用户是其中之一 - 键入要应用于排除的所有用户名。 目标 单击分配以选择要应用此排除的计算机或组,然后单击确定。 摘要 在排除预览中查看配置的设置摘要。验证设置,然后单击创建排除。
|
单击进程名称以执行进一步的操作:
详细信息 |
转到进程详细信息选项卡。 |
|---|---|
聚合事件 |
转到此特定进程的聚合事件。 |
检测 |
转到检测选项卡,其中包含此特定脚本的检测列表。 |
原始事件 |
转到此特定进程的原始事件选项卡。 |
已加载的模块 |
转到已加载的模块选项卡。 |
父进程 |
转到此特定进程的父进程详细信息选项卡。 |
第一个子进程 |
转到此特定进程的第一个子进程详细信息选项卡。 |
标记为安全 |
将目标标记为安全状态;许多规则用于判定风险等级。“标记为安全”对检测的影响。从目标窗口中选择要标记为安全的目标。“标记为安全”不保证特定模块不会包含在检测中。存在数百条规则,有些规则会引发检测,而无论是哪个模块执行了可疑操作,即使是像 PowerShell 这样的受信任模块也不例外。其他规则根据模块评估风险。此类规则会考虑使用“安全”标志。此标志表示用户已分析该模块并判断其不太可能为恶意软件,因此在规则评估过程中会假定风险发生在更早的阶段。 |
标记为不安全 |
将可执行文件标记为不安全。 |
创建排除 |
为指定脚本创建排除。 |
下载脚本 |
显示脚本的下载窗口以便调查(仅当该脚本仍存在于网络中时)。 |
位号 |
从现有列表中分配检测标签或创建自定义标签。 |
过滤器 |
在激活上下文菜单的列上显示快速过滤器(仅显示此项、隐藏此项)。 |