Informe de comportamientos para usuarios con licencia EDR/XDR

El informe de comportamientos contiene datos esenciales sobre el archivo inspeccionado y el comportamiento observado a partir del análisis de sandbox. Cada muestra tiene múltiples comportamientos observados.

Para ver el informe, vaya a Archivos enviados en la consola web. Seleccione el archivo y haga clic en Mostrar detalles > Ver comportamiento para ver el Archivo del informe de comportamiento.

Ver y descargar el informe de comportamientos

1.Modo plano: el modo plano muestra todas las acciones o eventos registrados en una lista lineal, sin agrupar ni anidar en procesos, categorías o jerarquías principales. Puede activar el modo plano si hace clic en la esquina superior del informe.

2.Descargar: los usuarios con licencia EDR/XDR pueden descargar el informe si hacen clic en el botón Descargar situado junto a la ventana de análisis de resultados. Puede descargar el informe como un archivo PDF o JSON. Como alternativa, puede descargar el archivo PDF del informe directamente desde Archivos enviados > Exportar informe.

El diseño del informe

El informe consta de los siguientes elementos:

1.Resultado: evaluación final del archivo

2.Detalles del archivo: resultados de la capa de exploración

3.Hash SHA-1: contiene hash y un enlace a VirusTotal.

4.Hash SHA-256: contiene el hash SHA-256.

5.Detalles del espacio aislado: resultados de la capa de comportamiento

6.Comportamientos analizados: lista de comportamientos detectados y sus resultados Puede utilizar la barra de búsqueda para navegar por los detalles después del análisis.

7.Análisis estático –Puede ver la sección Análisis estático para analizar muestras dentro de sus entornos.

Registros de informe de comportamientos

Utilice la barra de búsqueda o vea los registros en función de lo siguiente:

1.Proceso: la lista estructurada en árbol de acciones agrupadas en función de los procesos en ejecución. Puede ver los archivos y los cambios en el registro agrupados por proceso. La pestaña Proceso se divide en estas secciones:

•Proceso: lista de acciones realizadas en los procesos.

•Archivo: detalles sobre los archivos afectados.

•Registro: detalles sobre los registros afectados.

•Red: lista de actividades de red.

•Otros: objetos como eventos, exclusión mutua y consultas WMI.

 

2.Operaciones: lista de acciones basadas en el tipo de operación. La pestaña Operaciones se divide en secciones:

•Proceso: lista de acciones realizadas en los procesos.

•Archivo: detalles sobre los archivos afectados.

•Registro: detalles sobre los registros afectados.

•Red: lista de actividades de red.

•Otros: objetos como eventos, exclusión mutua y consultas WMI.

•Interacción: descripción detallada de la interacción del entorno de pruebas.

 

3.Registros de API: descripción general de la actividad del proceso a través de las funciones del sistema seleccionadas.

Análisis estático

Puede ver la sección Análisis estático para analizar muestras dentro de sus entornos. Aquí, tiene las siguientes pestañas:

•Detalles: se mostrarán dos ventanas: Una ventana Información general con una descripción general del archivo y una ventana Versiones con los detalles de la versión del archivo.

•Geometría de archivo: enumera la información estructural obtenida de los subsistemas de ESET. Se resaltan los archivos incluidos en un archivo anidado.

•Importaciones: enumera las bibliotecas visibles y sus importaciones, incluidas las que no se ven afectadas por el archivo. Puede encontrar las bibliotecas cargadas dinámicamente y sus importaciones en la sección Registros de API. Se resaltan los archivos incluidos en un archivo anidado.

•Exportaciones: enumera las funciones de exportación válidas para los archivos .dll.

•Secciones: enumera los ejecutables portátiles que contienen código y datos que cumplen con el programa.

•Recursos: enumera el contenido de la sección .rsrc. Se resaltan los archivos con el tipo de archivo conocido.

•Métodos: enumera los métodos y las funciones utilizados por las muestras.

•MacOS: enumera las clases Objective-C específicas de las muestras de macOS. Se resaltan los archivos incluidos en un archivo anidado.

˄˅