ESET LiveGuard Advanced – Indice

Report comportamentale per gli utenti con licenza EDR/XDR

Il report comportamentale contiene dati essenziali sul file ispezionato e sul comportamento osservato dall’analisi sandbox. Per ciascun campione potrebbe essere disponibile più di un comportamento osservato.

Per visualizzare il report, andare in File inviati in Web Console. Selezionare il file e fare clic su Mostra dettagli > Visualizza comportamento per visualizzare il Report del comportamento del file.

Visualizzazione e download del report comportamentale

Report del comportamento

1.Modalità semplificata: la modalità semplificata consente di visualizzare tutte le azioni o gli eventi registrati in un elenco lineare, senza raggruppamento o nidificazione in processi, categorie o gerarchie principali. È possibile attivare la modalità semplificata facendo clic nell’angolo superiore del report.

2.Download: gli utenti EDR/XDR possono scaricare il report facendo clic sul pulsante Scarica accanto alla finestra di analisi dei risultati. È possibile scaricare il report in formato PDF o JSON. In alternativa, è possibile scaricare il file PDF del report direttamente da File inviati > Esporta report.

Layout del report

Il report è costituito dai seguenti elementi:

1.Risultato: valutazione finale del file

2.Dettagli del file: risultati dal livello di controllo

3.Hash SHA-1: contiene un hash e un collegamento a VirusTotal.

4.Hash SHA-256: contiene l’hash SHA-256.

5.Dettagli sandbox: risultati dal livello comportamentale

6.Comportamenti analizzati: elenco dei comportamenti rilevati e dei relativi risultati. È possibile utilizzare la barra di ricerca per navigare tra i dettagli dopo l’analisi.

7.Analisi statica –È possibile visualizzare la sezione Analisi statica per analizzare i campioni all’interno dei relativi ambienti.

Layout del report comportamentale

Rapporti del report comportamentale

Utilizzare la Barra di ricerca o visualizzare i rapporti in base a quanto segue:

1.Processo: elenco strutturato ad albero di azioni raggruppate in base ai processi in esecuzione. È possibile visualizzare i file e le modifiche del registro di sistema raggruppati per processo. La scheda Processo è suddivisa nelle seguenti sezioni:

Processo: elenco delle azioni eseguite sui processi.

File: dettagli sui file interessati.

Registro di sistema: dettagli sui registri di sistema interessati.

Rete: elenco delle attività di rete.

Altro: oggetti quali eventi, mutex e query WMI (Strumentazione gestione Windows).

 

2.Operazioni: elenco di azioni in base al tipo di operazione. La scheda Operazioni è suddivisa in sezioni:

Processo: elenco delle azioni eseguite sui processi.

File: dettagli sui file interessati.

Registro di sistema: dettagli sui registri di sistema interessati.

Rete: elenco delle attività di rete.

Altro: oggetti quali eventi, mutex e query WMI (Strumentazione gestione Windows).

Interazione: panoramica dettagliata dell’interazione sandbox.

 

3.Rapporti API: panoramica dell’attività del processo tramite funzioni di sistema selezionate.

Rapporti del report comportamentale

Comportamenti analizzati

Analisi statica

È possibile visualizzare la sezione Analisi statica per analizzare i campioni all’interno dei relativi ambienti. Qui sono disponibili le seguenti schede:

Dettagli: verranno visualizzate due finestre: Una finestra di Informazioni generali contenente una panoramica del file e una finestra Versioni contenente i dettagli della versione del file.

Geometria file: contiene un elenco delle informazioni strutturali ottenute dai sottosistemi ESET. Vengono evidenziati i file inclusi in un file nidificato.

Importazioni: contiene un elenco delle librerie visibili e delle relative importazioni, incluse quelle non interessate dal file. Le librerie caricate dinamicamente e le relative importazioni sono disponibili nella sezione Rapporti API. Vengono evidenziati i file inclusi in un file nidificato.

Esportazioni: contiene un elenco delle funzioni di esportazione valide per i file .dll.

Sezioni: contiene un elenco dei file eseguibili portatili contenenti codice e dati conformi al programma.

Risorse: contiene un elenco dei contenuti della sezione .rsrc. Vengono evidenziati i file con il tipo di file noto.

Metodi: contiene un elenco dei metodi e delle funzioni utilizzati nei campioni.

MacOS: contiene un elenco delle classi Objective-C specifiche dei campioni macOS. Vengono evidenziati i file inclusi in un file nidificato.

Analisi statica

Nota

Nell’esempio vengono visualizzate solo quattro schede. Potrebbero essercene di più a seconda del tipo di file.