EDR/XDR 라이선스 사용자를 위한 동작 보고서

동작 보고서에는 검사된 파일에 대한 필수 데이터와 샌드박스 분석에서 관찰된 동작이 포함되어 있습니다. 샘플마다 확인된 동작이 여러 개 있을 수 있습니다.

보고서를 보려면 웹 콘솔에서 제출된 파일로 이동합니다. 파일을 선택하고 상세 정보 표시 > 동작 보기를 클릭하여 파일 동작 보고서를 봅니다.

동작 보고서 확인 및 다운로드

1.플랫 모드 - 플랫 모드는 상위 프로세스, 범주 또는 계층 아래에 그룹화하거나 중첩하지 않고 기록된 모든 동작 또는 이벤트를 선형 목록에 표시합니다. 보고서의 위쪽 모서리를 클릭하여 플랫 모드를 켤 수 있습니다.

2.다운로드 - EDR/XDR 사용자는 결과 분석 창 옆에 있는 다운로드 버튼을 클릭하여 보고서를 다운로드할 수 있습니다. 보고서를 PDF 또는 JSON 파일로 다운로드할 수 있습니다. 또는 제출된 파일 > 보고서 내보내기에서 직접 보고서의 PDF 파일을 다운로드할 수 있습니다.

보고서 레이아웃

보고서는 다음과 같이 구성됩니다.

1.결과 – 파일에 대한 최종 평가

2.파일 상세 정보 – 검사 레이어의 결과

3.SHA-1 해시 - 해시와 VirusTotal 링크를 포함

4.SHA-256 해시 - SHA-256 해시를 포함

5.샌드박스 상세 정보 – 동작 레이어의 결과

6.분석된 동작 – 탐지된 동작과 그 결과 목록 검색 창을 사용하여 분석 후의 상세 정보를 탐색할 수 있습니다.

7.정적 분석 –정적 분석 섹션을 보고 해당 환경 내에서 샘플을 분석할 수 있습니다.

동작 보고서 로그

검색 창을 사용하거나 다음을 기준으로 로그를 봅니다.

1.프로세스 - 실행 중인 프로세스를 기반으로 그룹화된 작업의 트리 구조 목록입니다. 프로세스별로 그룹화된 파일 및 레지스트리 변경 사항을 볼 수 있습니다. 프로세스 탭은 다음 섹션으로 나뉩니다.

•프로세스 - 프로세스에 수행된 작업의 목록입니다.

•파일 - 영향을 받는 파일에 대한 상세 정보입니다.

•레지스트리 - 영향을 받는 레지스트리에 대한 상세 정보입니다.

•네트워크 - 네트워크 활동의 목록입니다.

•기타 - 이벤트, mutex, WMI 쿼리와 같은 개체입니다.

 

2.작업 - 작업 유형에 따른 작업의 목록입니다. 작업 탭은 다음과 같은 섹션으로 나뉩니다.

•프로세스 - 프로세스에 수행된 작업의 목록입니다.

•파일 - 영향을 받는 파일에 대한 상세 정보입니다.

•레지스트리 - 영향을 받는 레지스트리에 대한 상세 정보입니다.

•네트워크 - 네트워크 활동의 목록입니다.

•기타 - 이벤트, mutex, WMI 쿼리와 같은 개체입니다.

•상호 작용 - 자세한 샌드박스 상호 작용 개요입니다.

 

3.API 로그 - 선택된 시스템 기능을 통한 프로세스 활동의 개요입니다.

정적 분석

정적 분석 섹션을 보고 해당 환경 내에서 샘플을 분석할 수 있습니다. 여기에는 다음 탭이 있습니다.

•상세 정보 - 파일에 대한 개요가 포함된 일반 정보 창과 파일 버전 상세 정보가 포함된 버전 창 등 두 개의 창이 표시됩니다.

•파일 구조 - ESET 하위 시스템에서 가져온 구조 정보를 나열합니다. 중첩된 파일에 포함된 파일이 강조 표시됩니다.

•가져오기 - 파일의 영향을 받지 않는 항목을 포함하여 표시되는 라이브러리와 해당 가져오기를 나열합니다. 동적으로 로드된 라이브러리와 해당 가져오기는 API 로그 섹션에서 찾을 수 있습니다. 중첩된 파일에 포함된 파일이 강조 표시됩니다.

•내보내기 - .dll 파일에 유효한 내보내기 기능을 나열합니다.

•섹션 - 프로그램을 준수하는 코드 및 데이터가 포함된 이동식 실행 파일을 나열합니다.

•리소스 - .rsrc 섹션의 콘텐츠를 나열합니다. 알려진 파일 형식의 파일이 강조 표시됩니다.

•방법 - 샘플에서 사용되는 방법과 기능을 나열합니다.

•macOS - macOS 샘플과 관련된 Objective-C 클래스를 나열합니다. 중첩된 파일에 포함된 파일이 강조 표시됩니다.

˄˅