Rapport comportemental pour les utilisateurs de licences EDR/XDR

Le rapport comportemental contient des données essentielles sur le fichier inspecté et le comportement observé à partir de l'analyse du bac à sable. Chaque échantillon peut avoir plusieurs comportements observés.

Pour afficher le rapport, accédez à Fichiers envoyés dans la Web Console. Sélectionnez le fichier et cliquez sur Afficher les détails > Afficher le comportement pour afficher le Rapport de comportement de fichier.

Visualisation et téléchargement du rapport comportemental

1.Mode plat – Le mode plat affiche toutes les actions ou tous les événements enregistrés dans une liste linéaire, sans regroupement ni imbrication sous les processus, les catégories ou les hiérarchies parents. Vous pouvez activer le mode plat en cliquant sur le coin supérieur du rapport.

2.Télécharger – Les utilisateurs EDR/XDR peuvent télécharger le rapport en cliquant sur le bouton Télécharger à côté de la fenêtre d'analyse des résultats. Vous pouvez télécharger le rapport sous forme de fichier PDF ou JSON. Vous pouvez également télécharger le fichier PDF du rapport directement à partir de Fichiers envoyés > Exporter le rapport.

La mise en page du rapport

Le rapport comprend les éléments suivants :

1.Résultat – Évaluation finale du dossier

2.Détails du fichier – Résultats de la couche d'analyse

3.Hachage SHA-1 : contient des hachages et un lien vers VirusTotal.

4.Hachage SHA-256 : contient le hachage SHA-256.

5.Détails du bac à sable – Résultats de la couche comportementale

6.Comportements analysés – Liste des comportements détectés et de leurs résultats. Vous pouvez utiliser la barre de recherche pour parcourir les détails après l'analyse.

7.Analyse statique –Vous pouvez consulter la section Analyse statique pour analyser des échantillons dans leurs environnements.

Journaux des rapports comportementaux

Utilisez la barre de recherche ou affichez les journaux en fonction des éléments suivants :

1.Processus : liste structurée en arborescence des actions regroupées en fonction des processus en cours d'exécution. Vous pouvez voir les fichiers et les modifications de registre regroupés par processus. L'onglet Processus est divisé en ces sections :

•Processus : liste des mesures prises sur les processus.

•Fichier : détails sur les fichiers affectés.

•Registre : détails sur les registres concernés.

•Réseau : liste des activités de réseau.

•Autre : objets tels que les événements, les requêtes mutex et WMI.

 

2.Opérations : liste des actions en fonction du type d'opération. L'onglet Opérations est divisé en sections :

•Processus : liste des mesures prises sur les processus.

•Fichier : détails sur les fichiers affectés.

•Registre : détails sur les registres concernés.

•Réseau : liste des activités de réseau.

•Autre : objets tels que les événements, les requêtes mutex et WMI.

•Interaction : vue d'ensemble détaillée de l'interaction du bac à sable.

 

3.Journaux d'API : vue d'ensemble de l'activité de processus au moyen des fonctions système sélectionnées.

Analyse statique

Vous pouvez consulter la section Analyse statique pour analyser des échantillons dans leurs environnements. Ici, vous avez les onglets suivants :

•Détails : deux fenêtres s'affichent : Une fenêtre Informations générales avec une vue d'ensemble du fichier et une fenêtre Versions avec les détails de la version du fichier.

•Géométrie du fichier : répertorie les informations structurelles obtenues à partir des sous-systèmes ESET. Les fichiers inclus dans un fichier imbriqué sont mis en surbrillance.

•Importations : répertorie les bibliothèques visibles et leurs importations, y compris celles qui ne sont pas affectées par le fichier. Vous pouvez trouver les bibliothèques chargées dynamiquement et leurs importations dans la section Journaux API. Les fichiers inclus dans un fichier imbriqué sont mis en surbrillance.

•Exports : répertorie les fonctions d'exportation valides pour les fichiers .dll.

•Sections : répertorie les exécutables portables contenant du code et des données conformes au programme.

•Ressources : répertorie le contenu de la section .rsrc. Les fichiers dont le type de fichier est connu sont mis en surbrillance.

•Méthodes : répertorie les méthodes et les fonctions utilisées par les échantillons.

•MacOS : répertorie les classes Objective-C spécifiques aux échantillons macOS. Les fichiers inclus dans un fichier imbriqué sont mis en surbrillance.

˄˅