Relatório comportamental para usuários com licença EDR/XDR

O relatório comportamental contém dados essenciais sobre o arquivo inspecionado e o comportamento observado da análise de sandbox. Cada amostra pode ter vários comportamentos observados.

Para exibir o relatório, navegue até Arquivos enviados no Web Console. Selecione o arquivo e clique em Mostrar detalhes > Exibir comportamento para ver o Relatório de comportamento do arquivo.

Visualizar e baixar o relatório comportamental

1.Modo plano – o modo plano exibe todas as ações ou eventos registrados em uma lista linear, sem agrupamento ou aninhamento em processos principais, categorias ou hierarquias. Você pode ativar o modo plano clicando no canto superior do relatório.

2.Download – os usuários de EDR/XDR podem baixar o relatório clicando no botão Download ao lado da janela de análise de resultados. Você pode baixar o relatório como um arquivo PDF ou JSON. Como alternativa, você pode baixar o arquivo PDF do relatório diretamente de Exportar relatório > Arquivos enviados.

O layout do relatório

O relatório consiste do seguinte:

1.Resultado – avaliação final do arquivo

2.Detalhes do arquivo – resultados da camada de escaneamento

3.Hash SHA-1 – contém hash e um link para o VirusTotal.

4.Hash SHA-256 – contém hash SHA-256.

5.Detalhes da sandbox – resultados da camada comportamental

6.Comportamentos analisados – lista de comportamentos detectados e seus resultados. Você pode usar a Barra de pesquisa para navegar pelos detalhes após a análise.

7.Análise estática –Você pode ver a seção Análise estática para analisar amostras em seus ambientes.

Relatórios comportamentais

Use a barra de pesquisa ou exiba os relatórios com base no seguinte:

1.Processo – a lista estruturada em árvore de ações agrupadas com base nos processos em execução. Você pode ver os arquivos e as alterações do registro agrupados por processo. A guia Processo é dividida nestas seções:

•Processo – lista de ações tomadas em processos.

•Arquivo – detalhes dos arquivos afetados.

•Registro – detalhes dos registros afetados.

•Rede – lista de atividades de rede.

•Outros – objetos como eventos, mutex, consultas WMI.

 

2.Operações – lista de ações com base no tipo de operação. A guia Operações é dividida em seções:

•Processo – lista de ações tomadas em processos.

•Arquivo – detalhes dos arquivos afetados.

•Registro – detalhes dos registros afetados.

•Rede – lista de atividades de rede.

•Outros – objetos como eventos, mutex, consultas WMI.

•Interação – visão geral detalhada da interação do sandbox.

 

3.Relatórios de API – visão geral da atividade do processo por meio de funções do sistema selecionadas.

Análise estática

Você pode ver a seção Análise estática para analisar amostras em seus ambientes. Aqui, você tem as seguintes guias:

•Detalhes – duas janelas serão exibidas: Uma janela de Informações gerais com uma visão geral do arquivo e uma janela Versões com os detalhes da versão do arquivo.

•Geometria do arquivo – lista as informações estruturais obtidas dos subsistemas da ESET. Os arquivos incluídos em um arquivo aninhado são destacados.

•Importações – lista as bibliotecas visíveis e suas importações, incluindo aquelas não afetadas pelo arquivo. Você pode encontrar as bibliotecas carregadas dinamicamente e suas importações na seção Relatórios de API. Os arquivos incluídos em um arquivo aninhado são destacados.

•Exportações – lista as funções de exportação válidas para arquivos .dll.

•Seções – lista os executáveis portáteis que contêm código e dados em conformidade com o programa.

•Recursos – lista o conteúdo da seção .rsrc. Os arquivos com o tipo de arquivo conhecido são destacados.

•Métodos – lista os métodos e funções utilizados pelas amostras.

•MacOS – lista as classes Objective-C específicas para amostras do macOS. Os arquivos incluídos em um arquivo aninhado são destacados.

˄˅