EDR/XDRライセンスユーザーの動作レポート

動作レポートには、検査されたファイルに関する重要なデータと、サンドボックス分析で観察された動作が含まれています。各サンプルには、複数の観察された動作が含まれることがあります。

レポートを表示するには、Webコンソールで送信されたファイルに移動します。ファイルを選択し、詳細の表示 > 動作の表示をクリックし、ファイル動作レポートをクリックします。

動作レポートの表示とダウンロード

1.フラットモード - フラットモードでは、記録されたすべてのアクションまたはイベントが順番に並んで表示され、親プロセス、カテゴリ、または階層に基づいてグループ化またはネスト化されません。フラットモードを有効にするには、レポートの上部の隅をクリックします。

2.ダウンロード - EDR/XDRユーザーは、結果分析ウィンドウの横にあるダウンロードボタンをクリックするとレポートをダウンロードできます。レポートはPDFまたはJSONファイルとしてダウンロードできます。もしくは、送信されたファイル > レポートのエクスポートから直接PDFファイルのレポートをダウンロードできます。

レポートのレイアウト

レポートには次の内容があります。

1.結果 – ファイルの最終評価

2.ファイルの詳細 – 検査レイヤーからの結果

3.SHA-1ハッシュ - ハッシュとVirusTotalへのリンクが含まれます。

4.SHA-256ハッシュ - SHA-256ハッシュが含まれます。

5.サンドボックスの詳細 – 動作レイヤーからの結果

6.検出された動作 – 分析された動作と結果の一覧。検索バーを使用して、分析後に詳細を操作できます。

7.静的分析 –静的分析セクションを表示して、環境内のサンプルを分析できます。

動作レポートのログ

検索バーを使用するか、以下に基づいてログを表示します。

1.プロセス - 実行中のプロセスに基づいてグループ化されたアクションをツリー構造で一覧表示します。ファイルとレジストリの変更はプロセスごとにグループ化されています。プロセスタブは、次のセクションに分かれています。

•プロセス - プロセスに対して実行されたアクションのリスト。

•ファイル - 影響を受けるファイルの詳細。

•レジストリ - 影響を受けるレジストリの詳細。

•ネットワーク - ネットワークアクティビティのリスト。

•その他 - イベント、ミューテックス、WMIクエリなどのオブジェクト。

 

2.操作 - 操作タイプに基づくアクションのリスト。操作タブは、以下のセクションに分かれています。

•プロセス - プロセスに対して実行されたアクションのリスト。

•ファイル - 影響を受けるファイルの詳細。

•レジストリ - 影響を受けるレジストリの詳細。

•ネットワーク - ネットワークアクティビティのリスト。

•その他 - イベント、ミューテックス、WMIクエリなどのオブジェクト。

•操作 - サンドボックス操作の詳細な概要。

 

3.APIログ - 選択したシステム機能によるプロセスアクティビティの概要。

静的分析

静的分析セクションを表示して、環境内のサンプルを分析できます。 ここには、次のタブがあります。

•詳細 - 次の2つのウィンドウが表示されます。ファイルの概要を示す一般情報ウィンドウと、ファイルのバージョンの詳細を表示するバージョンウィンドウがあります。

•ファイルジオメトリ - ESETサブシステムから取得した構造情報を一覧表示します。 ネストされたファイルに含まれるファイルがハイライトされます。

•インポート - 表示可能なライブラリとそのインポート(ファイルの影響を受けないものを含む)を一覧表示します。APIログセクションで、動的にロードされたライブラリとそのインポートを確認できます。 ネストされたファイルに含まれるファイルがハイライトされます。

•エクスポート - .dllファイルの有効なエクスポート関数を一覧表示します。

•セクション - プログラムに準拠するコードとデータを含む移植可能な実行可能ファイルを一覧表示します。

•リソース - .rsrcセクションのコンテンツが一覧表示されます。既知のファイルタイプのファイルがハイライトされます。

•メソッド - サンプルで使用されているメソッドと関数が一覧表示されます。

•MacOS - macOSサンプルに固有のObjective-Cクラスが一覧表示されます。 ネストされたファイルに含まれるファイルがハイライトされます。

˄˅