ESET LiveGuard Advanced – Inhaltsverzeichnis

Verhaltensbericht für Benutzer mit EDR/XDR-Lizenz

URL des aktuellen Artikels kopieren Per E-Mail teilen

Dieser Artikel (PDF) Gesamte Dokumentation (PDF)

Der Verhaltensbericht enthält wesentliche Daten über die inspizierte Datei und das beobachtete Verhalten aus der Sandbox-Analyse. Jedes Sample kann mehrere beobachtete Verhaltensweisen haben.

Navigieren Sie in der Web-Konsole zu Übermittelte Dateien, um den Bericht anzuzeigen. Wählen Sie die Datei und klicken Sie auf Details anzeigen > Verhalten anzeigen um den Dateiverhaltensbericht anzuzeigen.

Verhaltensbericht anzeigen und herunterladen

Verhaltensbericht

1.Flat-Modus – Im Flat-Modus werden alle aufgezeichneten Aktionen oder Ereignisse in einer linearen Liste angezeigt, ohne sie unter übergeordneten Prozessen, Kategorien oder Hierarchien zu gruppieren oder zu verschachteln. Sie können den Flat-Modus aktivieren, indem Sie auf die obere Ecke des Berichts klicken.

2.Herunterladen – EDR/XDR-Benutzer können den Bericht herunterladen, indem sie neben dem Fenster für die Ergebnisanalyse auf die Schaltfläche Herunterladen klicken. Sie können den Bericht als PDF- oder JSON-Datei herunterladen. Alternativ können Sie die PDF-Berichtsdatei direkt unter Übermittelte Dateien > Bericht exportieren herunterladen.

Berichtslayout

Der Bericht besteht aus:

1.Ergebnis – Abschließende Bewertung der Datei

2.Dateidetails – Ergebnisse aus der Scan-Ebene

3.SHA-1-Hash – Enthält einen Hash und einen Link zu VirusTotal.

4.SHA-256-Hash – Enthält SHA-256-Hash.

5.Sandbox-Details – Ergebnisse aus der Verhaltensebene

6.Analysierte Verhaltensweisen – Liste der analysierten Verhaltensweisen und der entsprechenden Ergebnisse Mit der Suchleiste können Sie nach der Analyse durch die Details navigieren.

7.Statische Analyse –Im Abschnitt Statische Analyse können Sie Samples in deren Umgebungen analysieren.

Layout des Verhaltensberichts

Verhaltensbericht-Logs

Verwenden Sie die Suchleiste, oder zeigen Sie die Logs nach folgenden Kriterien an:

1.Prozess – Die Liste von Aktionen als Baumstruktur, gruppiert nach ausgeführten Prozessen. Sie können die Dateien und Registrierungsänderungen nach Prozessen gruppiert anzeigen. Die Registerkarte Prozess ist in die folgenden Abschnitte unterteilt:

•Prozess – Liste der Aktionen, die für Prozesse ausgeführt wurden.

•Datei – Details zu den betroffenen Dateien.

•Registrierung – Details zu den betroffenen Registrierungen.

•Netzwerk – Liste der Netzwerkaktivitäten.

•Sonstige – Objekte wie Ereignisse, Mutex und WMI-Abfragen.

2.Operationen – Liste der Aktionen basierend auf dem Operationstyp. Die Registerkarte Operationen ist in Abschnitte unterteilt:

•Prozess – Liste der Aktionen, die für Prozesse ausgeführt wurden.

•Datei – Details zu den betroffenen Dateien.

•Registrierung – Details zu den betroffenen Registrierungen.

•Netzwerk – Liste der Netzwerkaktivitäten.

•Sonstige – Objekte wie Ereignisse, Mutex und WMI-Abfragen.

•Interaktion – Ausführliche Übersicht über die Sandbox-Interaktion.

3.API-Logs – Übersicht über die Prozessaktivität durch ausgewählte Systemfunktionen.

Verhaltensbericht-Logs

Analysierte Verhaltensweisen

Statische Analyse

Im Abschnitt Statische Analyse können Sie Samples in deren Umgebungen analysieren. Hier finden Sie die folgenden Registerkarten:

•Details – Zwei Fenster werden angezeigt: Das Fenster Allgemeine Informationen mit einer Übersicht über die Datei und das Fenster Versionen mit Details zur Dateiversion.

•Dateigeometrie – Listet strukturelle Informationen auf, die von ESET Subsystemen abgerufen wurden. Die in einer verschachtelten Datei enthaltenen Dateien werden hervorgehoben.

•Importe – Listet sichtbare Bibliotheken und deren Importe auf, einschließlich solcher, die von der Datei nicht betroffen sind. Sie finden die dynamisch geladenen Bibliotheken und deren Importe im Abschnitt API-Logs. Die in einer verschachtelten Datei enthaltenen Dateien werden hervorgehoben.

•Exporte – Listet die Exportfunktionen auf, die für .dll-Dateien gültig sind.

•Abschnitte – Listet die portablen ausführbaren Dateien auf, die Code und Daten enthalten, die mit dem Programm kompatibel sind.

•Ressourcen – Listet den Inhalt des .rsrc-Abschnitts auf. Dateien mit dem bekannten Dateityp werden hervorgehoben.

•Methoden – Listet die Methoden und Funktionen auf, die von den Samples verwendet werden.

•MacOS – Listet spezifische Objective-C-Klassen für macOS-Samples auf. Die in einer verschachtelten Datei enthaltenen Dateien werden hervorgehoben.

Statische Analyse

Im Beispiel werden nur vier Registerkarten angezeigt. Je nach Dateityp können weitere Registerkarten existieren.

˄˅