Verhaltensbericht
Navigieren Sie in der Web-Konsole zu Übermittelte Dateien. Wählen Sie die Datei und klicken Sie auf Details anzeigen > Verhalten anzeigen um den Dateiverhaltensbericht anzuzeigen. Dieser Bericht enthält wichtige Daten über die untersuchte Datei und das beobachtete Verhalten aus der Sandbox-Analyse. Jedes Sample kann mehrere beobachtete Verhaltensweisen haben. Je nach Ihrem Lizenztyp werden zwei unterschiedliche Verhaltensbericht-Layouts und Ergebnisse angezeigt.
Benutzer ohne EDR/XDR-Lizenz
Der Bericht besteht aus:
1.Ergebnis – Abschließende Bewertung der Datei
2.Erweiterte Scan-Module – Ergebnisse der Scan-Ebene
3.Sandbox für Verhaltensanalyse – Ergebnisse der Verhaltensebene
4.Analysierte Verhaltensweisen – Liste der analysierten Verhaltensweisen und der entsprechenden Ergebnisse
Benutzer mit EDR/XDR-Lizenz
|
Über die Schaltfläche PDF herunterladen können Sie den Verhaltensbericht herunterladen. |
Der Bericht besteht aus:
1.Ergebnis – Abschließende Bewertung der Datei
2.Dateidetails – Ergebnisse aus der Scan-Ebene
3.SHA-1-Hash – Enthält einen Hash und einen Link zu VirusTotal.
4.SHA-256-Hash – Enthält SHA-256-Hash.
5.Sandbox-Details – Ergebnisse aus der Verhaltensebene
6.Analysierte Verhaltensweisen – Liste der analysierten Verhaltensweisen und der entsprechenden Ergebnisse Mit der Suchleiste können Sie nach der Analyse durch die Details navigieren.
7.Statische Analyse –Im Abschnitt Statische Analyse können Sie Samples in deren Umgebungen analysieren.
|
Geändertes Beispiel für einen Verhaltensbericht
Analysierte VerhaltensweisenVerwenden Sie die Suchleiste, oder zeigen Sie die Logs nach folgenden Kriterien an: 1.Prozess – Die Liste von Aktionen als Baumstruktur, gruppiert nach ausgeführten Prozessen. Sie können die Dateien und Registrierungsänderungen nach Prozessen gruppiert anzeigen. Die Registerkarte Prozess ist in die folgenden Abschnitte unterteilt: •Prozess – Liste der Aktionen, die für Prozesse ausgeführt wurden. •Datei – Details zu den betroffenen Dateien. •Registrierung – Details zu den betroffenen Registrierungen. •Netzwerk – Liste der Netzwerkaktivitäten. •Sonstige – Objekte wie Ereignisse, Mutex und WMI-Abfragen.
2.Operationen – Liste der Aktionen basierend auf dem Operationstyp. Die Registerkarte Operationen ist in Abschnitte unterteilt: •Prozess – Liste der Aktionen, die für Prozesse ausgeführt wurden. •Datei – Details zu den betroffenen Dateien. •Registrierung – Details zu den betroffenen Registrierungen. •Netzwerk – Liste der Netzwerkaktivitäten. •Sonstige – Objekte wie Ereignisse, Mutex und WMI-Abfragen. •Interaktion – Ausführliche Übersicht über die Sandbox-Interaktion.
3.API-Logs – Übersicht über die Prozessaktivität durch ausgewählte Systemfunktionen. Statische AnalyseIm Abschnitt Statische Analyse können Sie Samples in deren Umgebungen analysieren. Hier finden Sie die folgenden Registerkarten: •Details – Zwei Fenster werden angezeigt: Das Fenster Allgemeine Informationen mit einer Übersicht über die Datei und das Fenster Versionen mit Details zur Dateiversion. •Dateigeometrie – Listet strukturelle Informationen auf, die von ESET Subsystemen abgerufen wurden. Die in einer verschachtelten Datei enthaltenen Dateien werden hervorgehoben. •Importe – Listet sichtbare Bibliotheken und deren Importe auf, einschließlich solcher, die von der Datei nicht betroffen sind. Sie finden die dynamisch geladenen Bibliotheken und deren Importe im Abschnitt API-Logs. Die in einer verschachtelten Datei enthaltenen Dateien werden hervorgehoben. •Exporte – Listet die Exportfunktionen auf, die für .dll-Dateien gültig sind. •Abschnitte – Listet die portablen ausführbaren Dateien auf, die Code und Daten enthalten, die mit dem Programm kompatibel sind. •Ressourcen – Listet den Inhalt des .rsrc-Abschnitts auf. Dateien mit dem bekannten Dateityp werden hervorgehoben. •Methoden – Listet die Methoden und Funktionen auf, die von den Samples verwendet werden. •MacOS – Listet spezifische Objective-C-Klassen für macOS-Samples auf. Die in einer verschachtelten Datei enthaltenen Dateien werden hervorgehoben. |
