Hrozby

Sekce Hrozby poskytuje přehled o všech hrozbách zachycených na spravovaných zařízeních ve vaší síti. V levé části obrazovky je zobrazena stejná stromová skupina jako na záložce Počítače.

Seznam hrozeb tak můžete procházet po jednotlivých skupinách. Pro zobrazení všech zachycených hrozeb vyberte nejnadřazenější skupinu Všechna zařízení a jako filtr použijte Všechny typy hrozeb. Po kliknutí na hrozbu se zobrazí kontextové menu zařízení, na kterém byla hrozba detekována.

validation-status-icon-warning DŮLEŽITÉ

V průběhu údržby databáze dochází k odstranění záznamů ze záložky hrozby odpovídajících protokolu incidentů (bez ohledu na stav hrozby). Ve výchozím nastavení se údržba protokolu zaznamenaných incidentů (a hrozeb) provádí každých 6 měsíců. Interval můžete změnit v Nastavení serveru.

Typy hrozeb

Aktivní hrozby – hrozby, které nebyly vyléčeny. Hrozby odstraníte a tento čítač vynulujete spuštěním Hloubkové kontroly s aktivním léčením a bez výjimek na složku, ve které byla detekována. Pro vynulování čítače musí kontrola doběhnout úspěšně. Pokud hrozbu nezpracujete do 24 hodin od její detekce, odebere se jí příznak aktivní, ale stále bude v seznamu označená jako nevyřešená.

Vyřešené hrozby – hrozby označené uživatelem konzole jako vyřešené, ale na zařízení nebyla provedena Hloubková kontrola. Pokud hrozbu označíte jako vyřešenou, čítač aktivních hrozeb se nevynuluje, dokud na zařízení vzdáleně nespustíte kontrolu.

threats_details

Filtrování hrozeb

Standardně se zobrazují nevyřešené hrozby za posledních 7 dní a to ze všech kategorií. Pomocí tohoto filtru můžete filtrovat podle mnoha kritérií. Standardně se zobrazují filtry: Počítač je potlačen a Hrozba je vyřešen. Pro získání konkrétních výsledků můžete použít další filtry jako je například Kategorie hrozby a filtrovat můžete antivirové hrozby, útoky, které zaznamenal firewall a akce zablokované modulem HIPS, Blokované soubory a Enterprise Inspector upozornění. Data můžete filtrovat podle Typu hrozby, IP adresy klienta, na níž se hrozba vyskytla nebo podle názvu Skeneru.

Správa filtrů

Pro vytvoření filtru klikněte na tlačítko Přidat filtr. Následně si ze seznamu vyberte požadovaný filtr. Do zobrazených polí zadejte požadovaný vyhledávací výraz a potvrďte klávesou Enter. Aktivní filtr je zvýrazněn modře.

Filtry si můžete uložit do svého uživatelského profilu pro budoucí použití. Následně pod tlačítkem Předvolby máte k dispozici následující možnosti:

Sady filtrů – seznam všech uložených filtrů. Po kliknutí na název se uložená konfigurace aplikuje. Aktuálně použitý filtr má u sebe příznak apply_default. Vybráním možnosti Zahrnout viditelné sloupce, řazení a stránkování se uloží také tyto parametry.

add_new_defaultUložit sadu filtrů jako – kliknutím si uložíte aktuální sadu filtrů jako novou předvolby. Po uložení předvolby již nemůžete měnit konfiguraci filtrů.

edit_defaultSpráva sad filtrů – pomocí této možnosti můžete přejmenovat nebo odebrat existující sady filtrů. Změny se projeví po kliknutí na tlačítko Uložit.

Vymazat hodnoty filtru – kliknutím vynulujete filtry na výchozí hodnoty. Uložená předvolba zůstane beze změny.

Odstranit filtry – kliknutím odstraníte použité filtry. Uložená předvolba zůstane beze změny.

Odstranit nepoužité filtry – kliknutím odstraníte filtry, ve kterých nemáte zadanou žádnou hodnotu.

details_hoverPoznámka

Některé filtry jsou standardně aktivní. Pokud se vám v hlavním menu u položky Hrozby zobrazuje číslo, ale v této sekci nevidíte žádné hrozby, ujistěte se, že nemáte aktivní nějaké filtry.

Ochrana proti ransomware

Firemní bezpečnostní produkty ve verzi 7 a novější jsou vybaveny samostatnou součástí proti ransomware Tato nová bezpečnostní funkce je součástí modulu HIPS a chrání počítač před ransomware. Při výskytu ransomware na stanici naleznete tuto informaci v jejích detailech na záložce Hrozby. Pro více informací o této funkci přejděte do uživatelské příručky k produktu ESET Endpoint Security.

Ochranu proti ransomware můžete vzdáleně konfigurovat z ESMC Web Console prostřednictvím politik pro daný bezpečností produkt.

Zapnout ochranu proti ransomware – bezpečnostní produkty ESET pro firemní uživatele dokáží automaticky blokovat podezřelé aplikace, které se chování jako ransomware.

Zapnout auditování – po aktivování auditování nebudou detekované hrozby ochranou proti ransomware blokovány, pouze budou reportovány do ESMC Web Console. Jako administrátor se následně můžete rozhodnout, zda potenciálně detekovanou hrozbu zablokujete nebo ji vyloučíte z detekce a Přidáte výjimku do politiky. Toto nastavení je dostupné výhradně prostřednictvím ESMC Web Console.

validation-status-icon-warning DŮLEŽITÉ

Standardně ochrana proti ransomware blokuje všechny aplikace, které se chovají potenciálně jako ransomware – včetně těch legitimních. Režim auditování doporučujeme na krátkou dobu zapnout na nově spravovaných počítačích, abyste mohli vytvořit výjimky pro legitimní aplikace, které by mohly být detekovány jako ransomware na základě svého chování (false positives). Nedoporučujeme však režim auditování používat trvale, protože ransomware po dobu běhu tohoto režimu není automaticky blokován.

Kontrola počítače - – pomocí této možnosti spustíte volitelnou kontrolu na klientovi, na kterém byla detekována hrozba (dle vašeho výběru).

Označit jako vyřešené / Označit jako nevyřešené – pomocí této možnosti označíte záznam z protokolu jako vyřešený (pro konkrétní stanici).

V kontextovém menu jsou dostupné tyto akce:

play_default Spustit úlohu – na zařízení s detekovanou hrozbou spustíte existující úlohu.

scan_default Zkontrolovat cestu – kliknutím vytvoříte úlohu na kontrolu počítače, ve které se jako cíl použije cesta v níž byla detekována hrozba. Tato možnost je dostupná pouze nad hrozbami se známou cestou.

Přidat výjimku do politiky – kliknutím vyberte politiku pro bezpečnostní produkt, do které chcete přidat výjimku pro tuto hrozbu. Tím zajistíte, že objekt již v budoucnu detekován. Hrozbu můžete vyloučit na základě následujících kritérií:

oPoužít název hrozby – výjimka je definována na základě názvu detekované hrozby (rodiny škodlivého kódu)

oPoužít URI – výjimka je definována na základě cesty k souboru, například file:///C:/Users/user/AppData/Local/Temp/34e1824e/ggdsfdgfd.pdf.exe

oPoužít hash – výjimka je definována na základě kontrolního součtu detekovaného souboru

Pro zobrazení detailních informací (názvu hrozby, URI a kontrolního součtu) klikněte na hrozbu a z kontextového menu vyberte možnost Zobrazit detaily.

validation-status-icon-error VAROVÁNÍ

Výjimky používejte s rozmyslem. Jejich aplikováním může dojít k infikování počítače.

details_hoverPoznámka

Do karantény se nepřesunují všechny objekty. Možné případy:

Hrozbu nelze odstranit.

Chování objektu je podezřelé, ale není detekován jako malware, například PUA.

Detaily hrozby

Pro zobrazení detailních informací klikněte na hrozbu a z kontextového menu vyberte možnost Zobrazit detaily. Kliknutím na možnost Hrozby nalezené touto kontrolou si zobrazíte seznam hrozeb, které byly detekovány stejnou kontrolou. Pokud se jedná o souboru, vybráním možnosti Odeslat soubor do EDTD (v Detailech hrozby) vytvoříte klientskou úlohu, která zajistí odeslání souborů k analýze do ESET Dynamic Threat Defense.

Počítače

Klikněte na hrozbu. V rozbalovacím menu v podsekci Počítače naleznete seznam dostupných akcí, které můžete provést nad počítačem, na kterém byla hrozba detekována. Jedná se o stejný seznam jako na záložce Počítače.

Sloupce tabulky

Pomocí ikony ozubeného kolečka gear_icon umístěné v pravé části okna a vybráním možnosti Upravit sloupce si můžete upravit množství zobrazených dat. K dispozici je mnoho sloupců, pomocí zaškrtávacích polí si vyberte ty, které chcete zobrazit.