Izvješće o ponašanju za korisnike EDR/XDR licence

Izvješće o ponašanju sadrži bitne podatke o pregledanoj datoteci i opaženom ponašanju iz analize sandboxa. Svaki uzorak može imati više opaženih ponašanja.

Da biste pregledali izvješće, idite na Poslane datoteke na web konzoli. Odaberite datoteku i kliknite Prikaži detalje > Prikaži ponašanje da biste vidjeli Izvješće o ponašanju datoteka.

Pregled i preuzimanje izvješća o ponašanju

1.Ravni način rada – Ravni način rada prikazuje sve snimljene akcije ili događaje na linearnom popisu, bez grupiranja ili ugniježđivanja pod nadređenim procesima, kategorijama ili hijerarhijama. Ravni način rada možete uključiti klikom na gornji kut izvješća.

2.Preuzmi – EDR/XDR korisnici mogu preuzeti izvješće klikom na gumb Preuzmi pokraj prozora za analizu rezultata. Izvješće možete preuzeti kao PDF ili JSON datoteku. Alternativno, možete preuzeti PDF datoteku izvješća izravno iz odjeljka Poslane datoteke > Izvoz izvješća.

Izgled izvješća

Izvješće se sastoji od sljedećeg:

1.Rezultat – konačna procjena datoteke

2.Detalji datoteke – rezultati iz sloja za skeniranje

3.SHA-1 hash – sadrži hash i vezu na VirusTotal.

4.SHA-256 hash – sadrži SHA-256 hash.

5.Detalji testnog okruženja – rezultati iz sloja ponašanja

6.Analizirana ponašanja – popis otkrivenih ponašanja i njihovih rezultata. Pomoću trake za pretraživanje možete se kretati detaljima nakon analize.

7.Statička analiza–Možete vidjeti odjeljak Statička analiza za analizu uzoraka unutar njihovih okruženja.

Dnevnik izvješća o ponašanju

Upotrijebite traku za pretraživanje ili pregledajte dnevnike na temelju sljedećeg:

1.Proces – popis strukturiran u obliku stabla na kojem su navedene radnje grupirane na temelju pokrenutih procesa. Možete vidjeti datoteke i promjene registra grupirane prema procesu. Kartica Proces podijeljena je na ove odjeljke:

•Proces – popis radnji poduzetih na procesima.

•Datoteka – pojedinosti o zahvaćenim datotekama.

•Registar – pojedinosti o zahvaćenim registrima.

•Mreža – popis mrežnih aktivnosti.

•Ostalo – objekti kao što su događaji, mutex, upiti povezanim sa sustavom WMI.

 

2.Operacije – popis radnji na temelju vrste operacije. Kartica Operacije podijeljena je na odjeljke:

•Proces – popis radnji poduzetih na procesima.

•Datoteka – pojedinosti o zahvaćenim datotekama.

•Registar – pojedinosti o zahvaćenim registrima.

•Mreža – popis mrežnih aktivnosti.

•Ostalo – objekti kao što su događaji, mutex, upiti povezanim sa sustavom WMI.

•Interakcija – detaljan pregled interakcije u testnom okruženju.

 

3.API dnevnici – pregled aktivnosti procesa putem odabranih funkcija sustava.

Statička analiza

Možete vidjeti odjeljak Statička analiza za analizu uzoraka unutar njihovih okruženja. Ovdje su vam dostupne sljedeće kartice:

•Pojedinosti – prikazat će se dva prozora: Prozor Opće informacije s pregledom datoteke i prozor Verzije s pojedinostima o verziji datoteke.

•Geometrija datoteke – navodi strukturne informacije dobivene iz ESET-ovih podsustava. Istaknute su datoteke koje su uključene u ugniježđenu datoteku.

•Uvozi – navodi vidljive biblioteke i njihove uvoze, uključujući one na koje datoteka ne utječe. Dinamički učitane biblioteke i njihove uvoze možete pronaći u odjeljku API dnevnici. Istaknute su datoteke koje su uključene u ugniježđenu datoteku.

•Izvozi – navodi funkcije izvoza koje vrijede za .dll datoteke.

•Odjeljci – navodi prijenosne izvršne datoteke koje sadrže kod i podatke koji su u skladu s programom.

•Resursi – navodi sadržaj iz odjeljka .rsrc. Istaknute su datoteke s poznatom vrstom datoteke.

•Metode – navodi metode i funkcije koje koriste uzorci.

•MacOS – navodi klase Objective-C specifične za uzorke sustava macOS. Istaknute su datoteke koje su uključene u ugniježđenu datoteku.

˄˅