EDR/XDR 授權使用者的行為報告

行為報告包含有關已檢查檔案的基本資料以及從沙箱分析中觀察到的行為。每個範例可以有多個觀察到的行為。

若要檢視報告，請導覽到 Web 主控台中的 [已提交檔案]。選取檔案並按一下 [顯示詳細資料] > [檢視行為]，以檢視 [檔案行為報告]。

檢視和下載行為報告

1.平面模式—平面模式在線性清單中顯示所有記錄的動作或事件，而不在父程序、類別或層次結構下分組或巢狀。您可以透過按一下報告的頂端來開啟平面模式。

2.下載—EDR/XDR 使用者可以透過按一下結果分析視窗旁邊的 [下載] 按鈕來下載報告。您可以將報告下載為 PDF 或 JSON 檔案。或者，您可以直接從 [已提交檔案] > [匯出報告] 中下載報告的 PDF 檔案。

報告配置

報告包含以下內容：

1.結果 – 對檔案的最終評估

2.檔案詳細資料 – 掃描層的結果

3.SHA-1 雜湊—包含雜湊和 VirusTotal 的連結。

4.SHA-256 雜湊—包含 SHA-256 雜湊。

5.沙箱詳細資料 – 行為層的結果

6.分析的行為 – 偵測到的行為及其結果的清單。您可以使用搜尋列來瀏覽分析之後的詳細資料。

7.靜態分析–您可以看到 [靜態分析] 區段來分析其環境中的範例。

行為報告記錄

使用 [搜尋列] 或根據以下內容檢視防護記錄：

1.處理程序—根據執行中的處理程序分組的樹狀結構處理方法清單。您可以查看按照處理程序分組的檔案和登錄變更。[處理程序] 索引標籤分為以下這些區段：

•處理程序—對處理程序採取的處理方法清單。

•檔案—受影響檔案相關的詳細資料。

•登錄—受影響登錄相關的詳細資料。

•網路—網路活動的清單。

•其他—例如事件、Mutex、WMI 查詢等物件。

 

2.作業—根據作業類型的處理方法清單。[作業] 索引標籤分為幾個區段：

•處理程序—對處理程序採取的處理方法清單。

•檔案—受影響檔案相關的詳細資料。

•登錄—受影響登錄相關的詳細資料。

•網路—網路活動的清單。

•其他—例如事件、Mutex、WMI 查詢等物件。

•互動—詳細的沙箱互動概觀。

 

3.API 防護記錄—透過選定的系統功能進行處理程序活動的概觀。

靜態分析

您可以看到 [靜態分析] 區段來分析其環境中的範例。 在此處，您有以下索引標籤：

•詳細資料—將顯示兩個視窗：包含檔案概觀的 [一般資訊] 視窗和包含檔案版本詳細資料的 [版本] 視窗。

•檔案幾何—列出從 ESET 子系統取得的結構資訊。 巢狀檔案中包含的檔案會反白顯示。

•匯入—列出可見程式庫及其匯入內容，包括那些不受檔案影響的程式庫。您可以在 [API 防護記錄] 區段找到動態載入的程式庫及其匯入內容。 巢狀檔案中包含的檔案會反白顯示。

•匯出—列出對 .dll 檔案有效的匯出功能。

•區段—列出包含符合程式的程式碼和資料的可攜式可執行檔。

•資源—列出 .rsrc 區段的內容。具有已知檔案類型的檔案會反白顯示。

•方法—列出範例使用的方法和功能。

•MacOS—列出特定於 macOS 範例的 Objective-C 類別。 巢狀檔案中包含的檔案會反白顯示。

˄˅