Raport behawioralny dla użytkowników licencji EDR/XDR

Raport behawioralny zawiera niezbędne dane o sprawdzanym pliku i zaobserwowanym zachowaniu z analizy piaskownicy. Każda próbka może być powiązana z wieloma zaobserwowanymi zachowaniami.

Aby wyświetlić raport, przejdź do sekcji Przesłane pliki w konsoli internetowej. Następnie wybierz plik i kliknij kolejno pozycje Pokaż szczegóły > Wyświetl zachowanie, aby wyświetlić raport dotyczący zachowania pliku.

Przeglądanie i pobieranie raportu behawioralnego

1.Tryb zwykły — tryb zwykły wyświetla wszystkie zarejestrowane akcje lub zdarzenia na liście liniowej, bez grupowania lub zagnieżdżania w procesach nadrzędnych, kategoriach lub hierarchiach. Tryb zwykły można włączyć, klikając górny róg raportu.

2.Pobierz — użytkownicy EDR/XDR mogą pobrać raport, klikając przycisk Pobierz obok okna analizy wyników. Raport można pobrać w formacie PDF lub JSON. Ewentualnie możesz pobrać plik PDF z raportem bezpośrednio z sekcji Przesłane pliki > Eksportuj raport.

Układ raportu

Raport składa się z następujących elementów:

1.Wynik – ocena końcowa pliku

2.Szczegóły pliku — wyniki z warstwy skanowania

3.Skrót SHA-1 — zawiera skrót i link do VirusTotal.

4.Skrót SHA-256 — zawiera skrót SHA-256.

5.Szczegóły piaskownicy — wyniki z warstwy behawioralnej

6.Przeanalizowane zachowania — lista wykrytych zachowań oraz ich wyniki. Możesz użyć paska wyszukiwania, aby poruszać się po szczegółach analizy.

7.Analiza statyczna –Można sprawdzić sekcję Analiza statyczna, aby przeanalizować próbki w ich środowiskach.

Dzienniki raportów behawioralnych

Użyj paska wyszukiwania lub wyświetl dzienniki na podstawie następujących elementów:

1.Proces — lista działań o strukturze drzewa pogrupowana na podstawie uruchomionych procesów. Pliki i zmiany w rejestrze mogą być grupowane według procesu. Zakładka Proces jest podzielona na następujące sekcje:

•Proces — lista działań wykonywanych na procesach.

•Plik — szczegółowe informacje o plikach, których dotyczy dana kwestia.

•Rejestr — szczegółowe informacje o rejestrach, których dotyczy dana kwestia.

•Sieć — lista działań sieciowych.

•Inne — obiekty, takie jak zdarzenia, obiekty mutex, zapytania instrumentacji zarządzania Windows.

 

2.Operacje — lista działań na podstawie typu operacji. Karta Operacje jest podzielona na sekcje:

•Proces — lista działań wykonywanych na procesach.

•Plik — szczegółowe informacje o plikach, których dotyczy dana kwestia.

•Rejestr — szczegółowe informacje o rejestrach, których dotyczy dana kwestia.

•Sieć — lista działań sieciowych.

•Inne — obiekty, takie jak zdarzenia, obiekty mutex, zapytania instrumentacji zarządzania Windows.

•Interakcja — szczegółowy przegląd interakcji w piaskownicy.

 

3.Dzienniki API — przegląd aktywności procesu za pomocą wybranych funkcji systemowych.

Analiza statyczna

Można sprawdzić sekcję Analiza statyczna, aby przeanalizować próbki w ich środowiskach. W tym miejscu dostępne są następujące zakładki:

•Szczegóły — zostaną wyświetlone dwa okna: Okno Informacje ogólne z przeglądem pliku oraz okno Wersje ze szczegółowymi informacjami o wersji pliku.

•Geometria plików — wyświetlanie listy informacji strukturalnych uzyskanych z podsystemów ESET. Pliki zawarte w pliku zagnieżdżonym są wyróżnione.

•Importy — wyświetlanie listy widocznych bibliotek i ich importów, w tym tych, na które plik nie ma wpływu. Dynamicznie ładowane biblioteki i ich importy można znaleźć w sekcji Dzienniki API. Pliki zawarte w pliku zagnieżdżonym są wyróżnione.

•Eksporty — wyświetlanie listy funkcji eksportu odpowiednich dla plików .dll.

•Sekcje — wyświetlanie listy przenośnych plików wykonywalnych zawierających kod i dane zgodne z programem.

•Zasoby — wyświetlanie listy zawartości sekcji .rsrc. Pliki znanego typu są wyróżnione.

•Metody — wyświetlanie listy metod i funkcji używanych przez próbki.

•MacOS — wyświetlanie listy klas Objective-C specyficznych dla przykładów systemu macOS. Pliki zawarte w pliku zagnieżdżonym są wyróżnione.

˄˅