Rapport sur le comportement pour les utilisateurs de licences EDR/XDR

Le rapport sur le comportement contient des données essentielles sur le fichier inspecté et le comportement observé à partir de l'analyse du sadbox. Chaque échantillon peut avoir plusieurs comportements observés.

Pour afficher le rapport, accédez à Fichiers soumis dans la console web. Sélectionnez le fichier et cliquez sur Afficher les détails > Afficher le comportement pour afficher le rapport sur le comportement des fichiers.

Affichage et téléchargement du rapport sur le comportement

1.Mode plat : le mode plat affiche toutes les actions ou tous les événements enregistrés dans une liste linéaire, sans regroupement ni imbrication sous des processus parents, des catégories ou des hiérarchies. Vous pouvez activer le mode plat en cliquant sur le coin supérieur du rapport.

2.Télécharger : les utilisateurs d'EDR/XDR peuvent télécharger le rapport en cliquant sur le bouton Télécharger en regard de la fenêtre d'analyse des résultats. Vous pouvez télécharger le rapport au format PDF ou JSON. Vous pouvez également télécharger le fichier PDF du rapport directement depuis Fichiers soumis > Exporter le rapport.

Mise en page du rapport

Le rapport contient les éléments suivants :

1.Résultat : évaluation finale du fichier

2.Détails du fichier : résultats de la couche d'analyse

3.Hachage SHA-1 : contient le hachage et un lien vers VirusTotal.

4.Hachage SHA-256 : contient le hachage SHA-256.

5.Détails du sandbox : résultats de la couche comportementale

6.Comportements analysés : liste des comportements détectés et de leurs résultats Vous pouvez utiliser la barre de recherche pour parcourir les détails après l'analyse.

7.Analyse statique –Vous pouvez consulter la section Analyse statique pour analyser les échantillons dans leur environnement.

Journaux des rapports sur le comportement

Utilisez la barre de recherche ou affichez les journaux en fonction des éléments suivants :

1.Processus : liste arborescente d'actions regroupées en fonction des processus en cours d'exécution. Vous pouvez voir les fichiers et les modifications du registre regroupés par processus. L'onglet Processus est divisé en plusieurs sections :

•Processus : liste des actions effectuées sur les processus.

•Fichier : informations détaillées sur les fichiers concernés.

•Registre : informations détaillées sur les registres concernés.

•Réseau : liste des activités réseau.

•Autres : objets tels que des événements, des mutex, des requêtes WMI.

 

2.Opérations : liste des actions selon le type d'opération. L'onglet Opérations est divisé en sections :

•Processus : liste des actions effectuées sur les processus.

•Fichier : informations détaillées sur les fichiers concernés.

•Registre : informations détaillées sur les registres concernés.

•Réseau : liste des activités réseau.

•Autres : objets tels que des événements, des mutex, des requêtes WMI.

•Interaction : présentation détaillée des interactions avec le sandbox.

 

3.Journaux d'API : vue d'ensemble de l'activité du processus à travers les fonctions sélectionnées du système.

Analyse statique

Vous pouvez consulter la section Analyse statique pour analyser les échantillons dans leur environnement. Cette section comporte les onglets suivants :

•Détails : deux fenêtres s'affichent : La fenêtre Informations générales avec une vue d'ensemble du fichier et la fenêtre Versions avec les détails de la version du fichier.

•Géométrie du fichier : répertorie les informations structurelles obtenues des sous-systèmes ESET. Les fichiers inclus dans un fichier imbriqué sont mis en surbrillance.

•Importations : répertorie les bibliothèques visibles et leurs importations, y compris celles pour lesquelles le fichier n'a aucun impact. Vous pouvez trouver les bibliothèques chargées dynamiquement et leurs importations dans la section Journaux d'API. Les fichiers inclus dans un fichier imbriqué sont mis en surbrillance.

•Exportations : répertorie les fonctions d'exportation valides pour les fichiers .dll.

•Sections : répertorie les exécutables portables contenant du code et des données conformes au programme.

•Ressources : répertorie le contenu de la section .rsrc. Les fichiers dont le type de fichier est connu sont mis en surbrillance.

•Méthodes : répertorie les méthodes et les fonctions utilisées par les échantillons.

•MacOS : répertorie les classes Objective-C spécifiques aux échantillons macOS. Les fichiers inclus dans un fichier imbriqué sont mis en surbrillance.

˄˅