EDR/XDR 许可证用户的行为报告

行为报告包含有关已检查的文件的基本数据以及沙盒分析中观察到的行为。每个样本可以具有多个观察到的行为。

要查看报告，请导航到 Web 控制台中的已提交的文件。选择文件，然后依次单击显示详细信息 > 查看行为，以查看文件行为报告。

查看和下载行为报告

1.平面模式 - 平面模式显示线性列表中所有记录的操作或事件，不在父进程、类别或层次结构下分组或嵌套。您可以通过单击报告的顶角来打开平面模式。

2.下载 - EDR/XDR 用户可以通过单击结果分析窗口旁边的下载按钮来下载报告。您可以将报告下载为 PDF 或 JSON 文件。或者，您可以直接访问已提交的文件 > 导出报告来下载报告的 PDF 文件。

报告布局

报告包含以下内容：

1.结果 – 文件的最终评估

2.文件详细信息 – 来自扫描层的结果

3.SHA-1 哈希 - 包含哈希和指向 VirusTotal 的链接。

4.SHA-256 哈希 - 包含 SHA-256 哈希。

5.沙盒详细信息 – 来自行为层的结果

6.分析的行为 – 检测到的行为及其结果列表。您可以在分析后使用搜索栏浏览详细信息。

7.静态分析您可以查看静态分析部分来分析其环境中的样本。

行为报告日志

使用搜索栏或根据以下内容查看日志：

1.进程 - 根据正在运行的进程分组的树状结构操作列表。您可以看到按进程分组的文件和注册表更改。进程选项卡分为以下部分：

•进程 - 对进程执行的操作的列表。

•文件 - 有关受影响文件的详细信息。

•注册表 - 有关受影响注册表的详细信息。

•网络 - 网络活动列表。

•其他 - 事件、互斥、WMI 查询等对象。

 

2.操作 - 基于操作类型的操作列表。操作选项卡分为多个部分：

•进程 - 对进程执行的操作的列表。

•文件 - 有关受影响文件的详细信息。

•注册表 - 有关受影响注册表的详细信息。

•网络 - 网络活动列表。

•其他 - 事件、互斥、WMI 查询等对象。

•交互 - 详细的沙盒交互概述。

 

3.API 日志 - 通过所选系统功能进行的进程活动的概述。

静态分析

您可以查看静态分析部分来分析其环境中的样本。 这里包含以下选项卡：

•详细信息 - 将显示两个窗口：一个包含文件概述的常规信息窗口和一个包含文件版本详细信息的版本窗口。

•几何文件 - 列出从 ESET 子系统获取的结构信息。 将突出显示嵌套文件中包含的文件。

•导入 - 列出可见库及其导入内容，包括那些不受文件影响的库。您可以在 API 日志部分找到动态加载的库及其导入内容。 将突出显示嵌套文件中包含的文件。

•导出 - 列出对 .dll 文件有效的导出函数。

•部分 - 列出包含符合程序的代码和数据的可移植可执行文件。

•资源 - 列出 .rsrc 部分的内容。将突出显示文件类型已知的文件。

•方法 - 列出样本使用的方法和函数。

•MacOS - 列出特定于 macOS 样本的 Objective-C 类。 将突出显示嵌套文件中包含的文件。

˄˅