ESET PROTECT – Spis treści

Incydenty

note

Sekcja Incydenty będzie stopniowo udostępniana w nadchodzących tygodniach.

Incydenty pozwalają nam korelować wykrycia z incydentami, co pomaga badać zagrożenia. Incydenty są tworzone automatycznie na podstawie wykryć, co znacznie skraca czas klasyfikacji alertów.

W sekcji Incydenty znajduje się lista incydentów tworzonych automatycznie na podstawie wykryć zgodnie ze wstępnie zdefiniowanymi regułami.

Filtrowanie widoku

Widok można filtrować na kilka sposobów:

Kliknij selektor Znaczniki (ikona strzałki) i wybierz znacznik(i), aby aktywować filtr dla wymienionych incydentów. Wyniki są wyróżnione kolorem niebieskim i pokazują incydenty z wybranymi znacznikami.

Kliknij opcję Ważność incydentuseverity_high Wysoka, severity_medium Średnia lub severity_low Niska. Z tych ikon można korzystać łącznie, włączając je i wyłączając.

Stan incydentuopen_incident Otwarty, in_progress_incident W trakcie lub closed_incident Zamknięty

Kliknij przycisk Dodaj filtr i wybierz typy incydentów z menu rozwijanego.

oOsoba odpowiedzialna — wpisz imię i nazwisko osoby odpowiedzialnej.

oAutor — wybierz z menu rozwijanego: ESET, usługa ESET lub nazwa użytkownika.

oCzas utworzenia — wybierz z menu rozwijanego: < 24 godziny, ≥ 24 godziny temu, ≥ 3 dni temu, ≥ 7 dni temu, ≥ 14 dni temu, ≥ Miesiąc temu, ≥ 3 miesiące temu, ≥ 6 miesięcy temu.

oOstatnia aktualizacja — wybierz z menu rozwijanego: < 24 godziny, ≥ 24 godziny temu, ≥ 3 dni temu, ≥ 7 dni temu, ≥ 14 dni temu, ≥ Miesiąc temu, ≥ 3 miesiące temu, ≥ 6 miesięcy temu.

oNazwa — wpisz nazwę incydentu.

oLiczba komputerów — wpisz liczbę wybranych komputerów.

oLiczba wykryć — wpisz liczbę wybranych wykryć.

Filtry i dostosowanie układu

Można dostosować bieżący widok ekranu konsoli internetowej:

Zarządzanie panelem bocznym i tabelą główną.

Dodawanie filtrów i ustawień wstępnych filtra. Za pomocą tagów można filtrować wyświetlane elementy.


note

Jeśli nie uda się znaleźć określonego incydentu na liście, a wiadomo, że znajduje się on w infrastrukturze ESET PROTECT, należy wyłączyć wszystkie filtry i ustawić uprawnienia zgodnie ze swoim kontem użytkownika.

gear_icon Filtry domyślne

Zestawy filtrów.

icon_inspect_default Inspect

Otwórz sekcję Incydenty w konsoli internetowej programu ESET Inspect. ESET Inspect jest dostępny tylko wtedy, gdy masz licencję ESET Inspect i ESET Inspect łączy się z ESET PROTECT. Użytkownik konsoli internetowej musi mieć uprawnienie do odczytu lub wyższe, aby uzyskać dostęp do ESET Inspect.

update_default Odśwież

Odśwież stronę

Szczegóły incydentu

Wybierz dowolne incydenty, kliknij przycisk Akcje, a następnie ikonę trzech kropek icon_more_vertical, aby skorzystać z następujących opcji:

Wyświetl szczegóły — wyświetlanie przeglądu incydentu.

Przegląd — zawiera następujące informacje:

oKrótkie szczegóły — szczegóły incydentu wyświetlane w sekcji głównej.

oWpływ na firmę — liczba narażonych komputerów, plików wykonywalnych i procesów. Kliknij liczbę, aby przejść do powiązanej strony.

oKomentarze — możesz dodać komentarz do incydentu. Kliknij przycisk Wyświetl wszystkie komentarze, aby wyświetlić wszystkie utworzone komentarze. Możesz edytować komentarz, przypiąć komentarz lub usunąć komentarz.

oOpis — wyjaśnienie incydentu.

oTechniki MITTRE ATT&CK® — techniki MITTRE ATT&CK dostępne dla wybranego incydentu.

oZalecane kroki — kroki, które należy wykonać, aby zainicjować proces reagowania na incydent.

Wykrycia — lista wykryć. Możesz kliknąć icon_more_vertical ikonę trzech kropek, aby wybrać opcję Wyświetl szczegóły.

Narażone komputery — lista narażonych komputerów.

Oś czasu incydentów — oś czasu z krótką historią incydentów, od zdarzenia wyzwalającego do zamknięcia incydentu

W każdej sekcji możesz kliknąć:

przycisk Sprawdź, aby przejść do ESET Inspect i zbadać incydent na wykresie incydentu.

przycisk odświeżania update_default, aby odświeżyć stronę.

Kliknij przycisk Odpowiedz na incydent, aby wybrać narażone obiekty i skonfigurować dla nich działania związane z odpowiedzią. Wybierz działanie w ramach odpowiedzi (Izoluj, Wyloguj użytkownika, Uruchom ponownie, Skanuj i wyczyść) i kliknij przycisk Potwierdź.

oKomputery > Kontynuuj > wybierz działanie w ramach odpowiedzi (Izoluj, Wyloguj użytkownika, Uruchom ponownie, Skanuj i wyczyść) > Potwierdź.

oProcesy > Kontynuuj > wybierz działanie w ramach odpowiedzi (Blokada procesu) > Potwierdź.

oPliki wykonywalne > Kontynuuj > wybierz działanie w ramach odpowiedzi (Blokuj, Zablokuj i wyczyść) > Potwierdź.

Zmień stan i osobę otrzymującą przypisanie — kliknij, aby wybrać z menu rozwijanego.

oStan — wybierz bieżący stan incydentu z menu rozwijanego: Otwarty, W trakcie lub Zamknięty Po wybraniu opcji Zamknięty dodatkowo wybierz przyczynę zamknięcia incydentu (Prawdziwy alarm, Podejrzany, Fałszywy alarm lub nieprawidłowy) i opcjonalnie napisz komentarz.

oOsoba otrzymująca przypisanie — po wybraniu stanu Otwarte lub W toku wybierz dostępnego użytkownika z menu rozwijanego.

Kliknij przycisk Dalej.

Znaczniki — kliknij, aby wybrać znaczniki z menu rozwijanego, a następnie kliknij przycisk Zastosuj. Możesz też wpisać nowe słowo kluczowe i nacisnąć klawisz Enter, aby utworzyć nowy znacznik.