Отчет о поведении для пользователей с лицензией EDR/XDR

Отчет о поведении содержит важные данные о проверенном файле и наблюдаемом поведении согласно проведенному в песочнице анализу. Каждый образец может содержать несколько наблюдаемых поведений.

Чтобы просмотреть отчет, перейдите в раздел Отправленные файлы в веб-консоли. Выберите файл и щелкните Показать подробности > Просмотреть поведение, чтобы просмотреть отчет о поведении файла.

Просмотр и загрузка отчета о поведении

1.Плоский режим — в плоском режиме отображаются все записанные действия или события в виде линейного списка без группировки или вложения в родительские процессы, категории или иерархии. Плоский режим можно включить, щелкнув верхний угол отчета.

2.Загрузить — пользователи с EDR/XDR могут загрузить отчет, нажав кнопку Загрузить рядом с окном анализа результатов. Загрузить отчет можно в виде файла PDF или JSON. Кроме того, вы можете загрузить PDF-файл отчета непосредственно в разделе Отправленные файлы > Экспорт отчета.

Структура отчета

Отчет состоит из следующих разделов.

1.Результат: окончательная оценка файла.

2.Сведения о файле: результаты с уровня сканирования.

3.Хэш SHA-1: содержит хэш и ссылку на VirusTotal.

4.Хэш SHA-256: содержит хэш SHA-256.

5.Сведения о песочнице: результаты с уровня поведения.

6.Анализируемое поведение: список случаев обнаруженного поведения и результаты. Для навигации по сведениям после анализа можно использовать строку поиска.

7.Статический анализ –Можно воспользоваться разделом Статический анализ для анализа образцов в их средах.

Журналы отчета о поведении

Воспользуйтесь строкой поиска или просмотрите журналы согласно следующим данным:

1.Процесс — структурированный в виде дерева список действий, сгруппированных по запущенным процессам. Вы можете просмотреть файлы и изменения реестра, сгруппированные по процессам. Вкладка Процесс разделена на следующие разделы:

•Процесс — список действий, выполненных в отношении процессов.

•Файл — сведения о затронутых файлах.

•Реестр — сведения о затронутых реестрах.

•Сеть — список действий сети.

•Другое — объекты, такие как события, мьютекс, запросы инструментария управления Windows (WMI).

 

2.Операции — список действий по типу операции. Вкладка Операции разделена на следующие части:

•Процесс — список действий, выполненных в отношении процессов.

•Файл — сведения о затронутых файлах.

•Реестр — сведения о затронутых реестрах.

•Сеть — список действий сети.

•Другое — объекты, такие как события, мьютекс, запросы инструментария управления Windows (WMI).

•Взаимодействие — подробный обзор взаимодействия в песочнице.

 

3.Журналы API — обзор активности процесса по выбранным системным функциям.

Статический анализ

Можно воспользоваться разделом Статический анализ для анализа образцов в их средах. Здесь предусмотрены следующие вкладки:

•Подробности — доступны два окна: окно Общая информация с общими сведениями о файле и окно Версии со сведениями о версии файла.

•Геометрия файла — структурная информация, полученная от подсистем ESET. Файлы, включенные во вложенный файл, будут выделены.

•Импорт — отображение видимых библиотек и их импорта, включая те, которые не затронуты файлом. Динамически загружаемые библиотеки и их импорт можно найти в разделе Журналы API. Файлы, включенные во вложенный файл, будут выделены.

•Экспорт — отображение функций экспорта, допустимых для файлов .dll.

•Разделы — отображение переносимых исполняемых файлов, содержащих код и данные, совместимые с программой.

•Ресурсы — отображение содержимого из раздела .rsrc. Файлы известных типов будут выделены.

•Методы — отображение методов и функций, используемых образцами.

•MacOS — отображение классов Objective-C, характерных для образцов macOS. Файлы, включенные во вложенный файл, будут выделены.

˄˅