Přehled o chování pro uživatele licencí EDR/XDR

Přehled o chování obsahuje základní údaje o kontrolovaném souboru a pozorovaném chování z analýzy v sandboxu. Analyzovaný vzorek může provádět více akcí.

Pro zobrazení přehledu přejděte ve webové konzoli do sekce Odeslané soubory. Ze seznamu vyberte soubor a v kontextovém menu klikněte na Zobrazit detaily > Zobrazit chování.

Zobrazení a stažení přehledu o chování

1.Rozbalit vše – zobrazí všechny zaznamenané akce nebo události v lineárním seznamu bez seskupování nebo vnořování pod nadřazené procesy, kategorie nebo hierarchie. Tento způsob zobrazení můžete zapnout kliknutím na horní roh přehledu.

2.Stáhnout – uživatelé EDR/XDR si mohou přehled stáhnout kliknutím na tlačítko Stáhnout vedle okna s analýzou výsledků. Přehled si můžete stáhnout ve formátu PDF nebo JSON. Případně si můžete stáhnout přehled ve formátu PDF přímo ze sekce Odeslané soubory > Exportovat zprávu.

Rozložení přehledu

Přehled obsahuje následující informace:

1.Výsledek – finální posouzení souboru

2.Podrobnosti o souboru – výsledky z kontrolní vrstvy

3.SHA-1 hash – obsahuje hash a odkaz na VirusTotal

4.SHA-256 hash – obsahuje SHA-256 hash

5.Podorobnosti o sandboxu – výsledky z behaviorální vrstvy

6.Zjištěné chování – seznam detekovaných aktivit a jejich výsledky Podrobnosti si můžete zobrazit po analýze pomocí vyhledávací lišty.

7.Statická analýza –V sekci Statická analýza můžete analyzovat vzorky v jejich prostředí.

Protokoly přehledu o chování

Použijte vyhledávací panel nebo zobrazte protokoly na základě následujících údajů:

1.Proces – stromově strukturovaný seznam akcí seskupených podle běžících procesů. Soubory a změny registru můžete zobrazit seskupené podle procesů. Záložka Proces je rozdělena na tyto části:

•Proces – seznam akcí provedených v procesech.

•Soubor – podrobné informace o dotčených souborech.

•Registry – podrobné informace o dotčených registrech.

•Síť – seznam síťových aktivit.

•Další – objekty, jako jsou události, mutex, WMI dotazy.

 

2.Operace – seznam akcí podle typu operace. Karta Operace je rozdělena do částí:

•Proces – seznam akcí provedených v procesech.

•Soubor – podrobné informace o dotčených souborech.

•Registry – podrobné informace o dotčených registrech.

•Síť – seznam síťových aktivit.

•Další – objekty, jako jsou události, mutex, WMI dotazy.

•Interakce – podrobný přehled interakcí v sandboxu.

 

3.Protokoly API – přehled o aktivitě procesů prostřednictvím vybraných systémových funkcí.

Statická analýza

V sekci Statická analýza můžete analyzovat vzorky v jejich prostředí. Zde jsou k dispozici následující karty:

•Podrobnosti – zobrazí se dvě okna: Okno Obecné informace s přehledem o souboru a okno Verze s podrobnostmi o verzi souboru.

•Geometrie souboru – zobrazuje strukturální informace získané ze subsystémů ESET. Soubory obsažené ve vnořeném souboru jsou zvýrazněny.

•Importy – zobrazí seznam viditelných knihoven a jejich importů, včetně těch, které nejsou ovlivněny souborem. Dynamicky načtené knihovny a jejich importy najdete v sekci Protokoly API. Soubory obsažené ve vnořeném souboru jsou zvýrazněny.

•Exporty – seznam exportních funkcí platných pro soubory .dll.

•Sekce – seznam přenositelných spustitelných souborů obsahujících kód a data odpovídající programu.

•Zdroje – seznam ze sekce .rsrc. Soubory známého typu jsou zvýrazněny.

•Metody – seznam metod a funkcí použitých pro analýzu vzorků.

•MacOS – seznamy Objective-C tříd specifických pro vzorky macOS. Soubory obsažené ve vnořeném souboru jsou zvýrazněny.

˄˅