Звіт про поведінку для користувачів із ліцензією EDR/XDR

Звіт про поведінку містить важливі дані про перевірений файл і спостережувану поведінку під час аналізу в ізольованому програмному середовищі. Кожен зразок може мати кілька спостережуваних поведінок.

Щоб переглянути звіт, перейдіть у розділ Надіслані файли у веб-консолі. Виберіть файл і натисніть Показати подробиці > Переглянути поведінку, щоб переглянути звіт про поведінку файлів.

Перегляд і завантаження звіту про поведінку

1.Однорівневий режим: в однорівневому режимі відображаються всі записані дії або події в лінійному списку без групування або вкладення в батьківські процеси, категорії або ієрархії. Щоб увімкнути однорівневий режим, клацніть у верхньому куті звіту.

2.Завантажити: користувачі EDR/XDR можуть завантажити звіт; для цього потрібно клацнути кнопку Завантажити поруч із вікном аналізу результатів. Звіт можна завантажити у форматі PDF або JSON. Окрім того, PDF-файл звіту можна завантажити безпосередньо в розділі Надіслані файли > Експортувати звіт.

Структура звіту

Звіт складається з таких частин:

1.Результат: остаточна оцінка файлу

2.Інформація про файл: результати рівня сканування

3.Хеш SHA-1: містить хеш і посилання на VirusTotal.

4.Хеш SHA-256: містить хеш SHA-256.

5.Інформація про пісочницю: результати рівня поведінки

6.Проаналізовані моделі поведінки: список виявлених моделей поведінки та їхні результати. Для пошуку відомостей після аналізу можна використовувати рядок пошуку.

7.Статичний аналіз –Ви можете переглянути розділ Статичний аналіз, щоб проаналізувати зразки в їх середовищі.

Журнали звіту про поведінку

Скористайтеся панеллю пошуку або перегляньте журнали на основі наведених нижче даних.

1.Процес: список дій, структурований у дереві й згрупований на основі запущених процесів. Ви можете побачити файли й зміни в реєстрі, згруповані за процесами. Вкладка Процес поділена на такі розділи:

•Процес: список дій, виконаних у процесах.

•Файл: докладні відомості про уражені файли.

•Реєстр: докладні відомості про уражені реєстри.

•Мережа: список активностей у мережі.

•Інше: об’єкти, як-от події, м’ютекси, запити WMI.

 

2.Операції: список дій за типом операції. Вкладка Операції має такі розділи:

•Процес: список дій, виконаних у процесах.

•Файл: докладні відомості про уражені файли.

•Реєстр: докладні відомості про уражені реєстри.

•Мережа: список активностей у мережі.

•Інше: об’єкти, як-от події, м’ютекси, запити WMI.

•Взаємодія: докладний огляд взаємодії в пісочниці.

 

3.Журнали API: огляд активності процесу за допомогою вибраних функцій системи.

Статичний аналіз

Ви можете переглянути розділ Статичний аналіз, щоб проаналізувати зразки в їх середовищі. Тут доступні такі вкладки:

•Відомості: у двох вікнах відображається наведена нижче інформація. Вікно Загальна інформація містить огляд файлу, а вікно Версії — відомості про його версію.

•Геометрія файлу: містить структурну інформацію, отриману з підсистем ESET. Файли, що входять до вкладеного файлу, виділятимуться.

•Операції імпорту: список видимих бібліотек і їх операцій імпорту, включно з тими, на які не впливає файл. Динамічно завантажувані бібліотеки і їх операції імпорту можна знайти в розділі Журнали API. Файли, що входять до вкладеного файлу, виділятимуться.

•Операції експорту: список функцій експорту, дійсних для файлів .dll.

•Розділи: перелік портативних виконуваних файлів, що містять код і дані, які відповідають програмі.

•Ресурси: перелік вмісту з розділу .rsrc. Файли відомого типу виділятимуться.

•Методи: список методів і функцій, що використовуються зразками.

•MacOS: список класів Objective-C, специфічних для зразків macOS. Файли, що входять до вкладеного файлу, виділятимуться.

˄˅