数据收集

数据收集设置会影响数据在数据库中的存储方式。

无论用户采用何种选项，系统都会在端点上收集所有低级别原始事件并将其发送到服务器，然后规则引擎处理这些原始事件，在需要时生成检测结果。

当为特定事件生成检测结果时，此特定事件也会存储在数据库中，而不管所选的数据收集选项如何。对于由规则引擎处理但未触发检测的事件，按以下方式应用数据收集设置：

存储所有可用数据

所有收集的低级别原始事件都存储在数据库中。此选项虽然会创建一个庞大的数据库，但允许对可能的事件进行详细调查，因为分析人员可以看到系统上发生的所有事件，而不管这些事件之前是否被产品标记为可疑。

此选项允许使用产品的所有功能，例如追溯搜索、执行 Threat Hunting 查询或对数据重新运行现有或自定义规则。

存储最重要的数据

存储与进程相关的所有数据（例如，您将看到在端点上执行的所有进程及其属性，如命令行等）。对于进程生成的低级别事件，它还仅限存储其中生成检测结果的事件。这意味着分析人员将在调查期间看到一个完整的进程树（请注意，此处适用数据保留设置）。不过，对于进程的操作（例如写入磁盘、写入注册表、网络连接等），分析人员将仅看到规则明确捕获的操作。

这可能会变成这样一种情况：您将看到网络连接（由规则检测到），但看不到下载的文件已写入磁盘（除非其他规则未检测到特定的文件写入）。同样，您将无法追溯搜索未连接到进程/文件且以前未被规则检测到的 IOC。例如，您将找到文件哈希或命令行片段，但不会再找到注册表写入。

假设您使用此选项错过了一些重要事件。在这种情况下，您仍可以通过创建自定义规则（通常具有低严重性，您在监视期间将忽略它）来自定义此设置，这些规则将仅检测您感兴趣的事件，然后将这些低级别事件保存到数据库。

仅存储与检测直接相关的数据

此选项仅存储被规则明确捕获的低级别事件数据，从而在此模式下创建最小的数据库。它适用于操作（例如写入磁盘、写入注册表、网络连接等）和进程本身（进程执行、命令行等）。但是，当触发对进程的检测时，将存储该进程本身的进程相关数据，若有所有上级进程的进程相关数据，则将存储进程树和直接子进程。（存储这些附加进程的进程相关数据不会存储其他数据，例如“操作相关”事件。）数据库不会存储有关所有其他进程的信息。

这意味着，与“存储最重要的数据”选项类似，您可能看不到某些操作，并且在这种情况下，还可能看不到未被规则明确捕获（并且不在上面提到的进程树的已存储部分中）的进程以及相应结果。进程树不会显示已存储数据的进程。

追溯搜索 IOC 的能力将是最低的，因为您既不会看到与操作相关的 IOC，也不会看到与进程属性（命令行等）相关的 IOC，除非它们之前被规则检测到过。

如之前的选项中所述，您可以通过创建自定义规则（通常具有低严重性，您在监视期间将忽略它）来自定义此设置，这些规则将检测您感兴趣的事件（包括进程执行），然后将这些低级别事件保存到数据库。

存储最重要的数据/仅存储与检测直接相关的数据

某些功能会受到限制：

•事件视图

•聚合事件视图

•后台任务

•脚本视图

•搜索

目标是控制数据库大小。用户在数据库大小和某些高级选项之间进行权衡。

建议 IT 管理员使用仅存储与检测直接相关的数据选项。

若要更改数据库中存储哪些数据，请转到“数据库集合”部分中的管理 > 服务器设置。

数据保留

选择数据应在数据库中存储多长时间在旧数据被清除之前，时间持续越长，数据库就会变得越庞大。

选择数据库中数据的存储时长。默认时长为三个月。

选择数据库中低级别数据的存储时长。默认时长为一个月。低级别数据占用了大部分的数据库，应尽可能保持简洁。它仅限对删除时未被产品识别为可疑的数据进行详细调查。

可以在“数据库清理”部分的管理 > 服务器设置中更改此设置。

ESET Inspect Connector 收集有关以下方面的信息：

•在工作站上运行的进程的启动和终止（包括此类可执行文件的元数据）

•动态加载库和动态加载驱动程序（包括此类库和驱动程序的元数据）

•将可执行文件保存到磁盘时的事件

•文件修改（包括磁盘上存在的所有文件）

•用户或进程打开或访问（从安全角度来看很重要的）文件（例如，包含常用 Web 浏览器使用的密码信息的文件）时的事件

•对注册表项的修改

•网络连接

•向任何正在运行的进程进行的任何代码注入

•命名管道的创建

•用户和组的创建

•用户登录

•WMI 执行和查询

•添加的 Windows 计划任务和已安装的服务

˄˅