Report o aktivite vzorky pre používateľov licencií EDR/XDR

Tento report o aktivite vzorky obsahuje základné údaje o skontrolovanom súbore a jeho aktivitu zachytenú počas analýzy v sandboxe. Pri jednej analyzovanej vzorke môže byť zistených aj viacero druhov aktivít.

Ak si chcete zobraziť report, prejdite vo Web Console do sekcie Odoslané súbory. Označte požadovaný súbor a kliknite na Zobraziť podrobnosti > Zobraziť aktivitu pre zobrazenie Správy o aktivite súboru.

Zobrazenie a stiahnutie reportu o aktivite vzorky

1.Úplné zobrazenie – zobrazí všetky zaznamenané akcie alebo udalosti v lineárnom zozname bez zoskupovania alebo vnorenia do nadradených procesov, kategórií alebo hierarchií. Toto zobrazenie aktivujete kliknutím na horný roh reportu.

2.Stiahnuť – používatelia využívajúci nástroj EDR/XDR si môžu report stiahnuť kliknutím na tlačidlo Stiahnuť vedľa okna s výsledkom analýzy. Report si môžete stiahnuť ako súbor vo formáte PDF alebo JSON. Report si ako PDF môžete stiahnuť taktiež priamo zo sekcie Odoslané súbory > Exportovať report.

Rozloženie reportu

Report sa skladá z týchto častí:

1.Výsledok – konečné hodnotenie súboru

2.Detaily súborov – výsledky z vrstvy kontroly

3.SHA-1 hash – obsahuje hash a odkaz na nástroj VirusTotal.

4.SHA-256 hash – obsahuje SHA-256 hash.

5.Podrobnosti o sandboxe – výsledky z vrstvy analýzy správania

6.Analyzované aktivity – zoznam odhalených aktivít a ich výsledky. Po analýze môžete na orientáciu v podrobnostiach použiť panel vyhľadávania.

7.Statická analýza – V časti Statická analýza môžete analyzovať vzorky v rámci ich prostredí.

Protokoly reportu o aktivite vzorky

Použite panel vyhľadávania alebo zobrazte protokoly na základe nasledujúcich parametrov:

1.Proces – stromovo štruktúrovaný zoznam akcií zoskupených podľa spustených procesov. Súbory a zmeny v databáze Registry môžete zobraziť zoskupené podľa procesov. Karta Proces je rozdelená na tieto časti:

•Proces – zoznam akcií vykonávaných na procesoch.

•Súbor – podrobné informácie o dotknutých súboroch.

•Databáza Registry – podrobné informácie o dotknutých registroch.

•Sieť – zoznam sieťových aktivít.

•Iné – objekty, ako sú udalosti, mutex, dotazy WMI.

 

2.Operácie – zoznam akcií podľa typu operácie. Karta Operácie je rozdelená do častí:

•Proces – zoznam akcií vykonávaných na procesoch.

•Súbor – podrobné informácie o dotknutých súboroch.

•Databáza Registry – podrobné informácie o dotknutých registroch.

•Sieť – zoznam sieťových aktivít.

•Iné – objekty, ako sú udalosti, mutex, dotazy WMI.

•Interakcia – podrobný prehľad interakcií v rámci sandboxu.

 

3.Záznamy API – prehľad aktivity procesov prostredníctvom vybraných funkcií systému.

Statická analýza

V časti Statická analýza môžete analyzovať vzorky v rámci ich prostredí. K dispozícii sú tu nasledujúce karty:

•Podrobnosti – zobrazia sa dve okná: Okno Všeobecné informácie s prehľadom súboru a okno Verzie s podrobnosťami o verzii súboru.

•Geometria súboru – uvádza štrukturálne informácie získané z podsystémov ESET. Súbory zahrnuté do vnoreného súboru sú zvýraznené.

•Importy – uvádza viditeľné knižnice a ich importy vrátane tých, ktoré nie sú ovplyvnené súborom. Dynamicky načítané knižnice a ich importy nájdete v časti Záznamy API. Súbory zahrnuté do vnoreného súboru sú zvýraznené.

•Exporty – zoznam funkcií exportu platných pre súbory .dll.

•Sekcie – zoznam prenosných spustiteľných súborov obsahujúcich kód a dáta zodpovedajúce programu.

•Zdroje – uvádza obsah z časti .rsrc. Súbory so známym typom súboru sú zvýraznené.

•Metódy – zoznam metód a funkcií využívaných vzorkami.

•macOS – zoznam tried Objective-C špecifických pre vzorky macOS. Súbory zahrnuté do vnoreného súboru sú zvýraznené.

˄˅