ESET PROTECT – Spis treści

Incydenty

Incydenty pozwalają nam korelować wskaźniki z incydentami, co pomaga badać zagrożenia. Incydenty są tworzone automatycznie na podstawie wskaźników, co znacznie skraca czas klasyfikacji alertów.

Filtrowanie widoku

Widok można filtrować na kilka sposobów:

Kliknij selektor Znaczniki (ikona strzałki) i wybierz znacznik(i), aby aktywować filtr dla wymienionych incydentów. Wyniki są wyróżnione kolorem niebieskim i pokazują incydenty z wybranymi znacznikami.

Kliknij opcję Ważność incydentuWysoki stopień zagrożenia Wysoka, Średni stopień zagrożenia Średnia lub Niski stopień zagrożenia Niska. Z tych ikon można korzystać łącznie, włączając je i wyłączając.

Stan incydentuOtwórz Otwarty, W toku W toku, Oczekiwanie na wprowadzenie danych Oczekiwanie na dane wejściowe lub Zamknięte Zamknięty

Kliknij przycisk Dodaj filtr i wybierz typy incydentów z menu rozwijanego.

oOsoba odpowiedzialna — wpisz imię i nazwisko osoby odpowiedzialnej.

oAutor — wybierz z menu rozwijanego: ESET, usługa ESET lub nazwa użytkownika.

oPowód zamknięcia — wybierz z menu rozwijanego: Wszystkie, fałszywy alarm, podejrzany, prawdziwy alarm.

oCzas utworzenia — wybierz z menu rozwijanego: ≤ Dzisiaj, ≤ 24 godziny temu, ≤ 3 dni temu, ≤ 7 dni temu, ≤ 14 dni temu, ≤ 30 dni temu, ≤ 90 dni temu lub ≤ 180 dni temu.

oOstatnia aktualizacja — wybierz z menu rozwijanego: ≤ Dzisiaj, ≤ 24 godziny temu, ≤ 3 dni temu, ≤ 7 dni temu, ≤ 14 dni temu, ≤ 30 dni temu, ≤ 90 dni temu lub ≤ 180 dni temu.

oNazwa — wpisz nazwę incydentu.

oLiczba komputerów — wpisz liczbę wybranych komputerów.

oLiczba wskaźników — wpisz liczbę wybranych wskaźników.

oLiczba użytkowników — wpisz liczbę wybranych użytkowników.

Filtry i dostosowanie układu

Można dostosować bieżący widok ekranu konsoli internetowej:

Zarządzanie panelem bocznym i tabelą główną.

Dodawanie filtrów i ustawień wstępnych filtra. Za pomocą tagów można filtrować wyświetlane elementy.


Uwaga

Jeśli nie uda się znaleźć określonego incydentu na liście, a wiadomo, że znajduje się on w infrastrukturze ESET PROTECT, należy wyłączyć wszystkie filtry i ustawić uprawnienia zgodnie ze swoim kontem użytkownika.

WAŻNE

Skonfigurowane uprawnienia są stosowane do firmy nadrzędnej z grupy statycznej wybranej w kroku Grupy statyczne.

Koło zębate Filtry domyślne

Zestawy filtrów.

Otwórz konsolę internetową programu ESET Inspect Inspect

Otwórz sekcję Incydenty w konsoli internetowej programu ESET Inspect. ESET Inspect jest dostępny tylko wtedy, gdy masz subskrypcję ESET Inspect i ESET Inspect łączy się z ESET PROTECT. Użytkownik konsoli internetowej musi mieć uprawnienie do odczytu lub wyższe, aby uzyskać dostęp do ESET Inspect.

Odśwież Odśwież

Odśwież stronę

Szczegóły incydentu

Wybierz dowolne incydenty, kliknij przycisk Akcje, a następnie ikonę trzech kropek Więcej, aby skorzystać z następujących opcji:

Wyświetl szczegóły — wyświetlanie przeglądu incydentu.

Przegląd — zawiera następujące informacje:

oSzczegóły incydentu wyświetlane w sekcji głównej.

oWpływ na firmę — liczba narażonych komputerów, plików wykonywalnych i procesów. Kliknij liczbę, aby przejść do powiązanej strony.

WAŻNE

Pliki wykonywalne i procesy są dostępne tylko dla klientów z warstwą EDR z aktywną subskrypcją ESET Inspect. Nastąpi przekierowanie do konsoli ESET Inspect w chmurze, w której będzie można zobaczyć listy.

oKomentarze — możesz dodać komentarz do incydentu. Kliknij przycisk Wyświetl wszystkie komentarze, aby wyświetlić wszystkie utworzone komentarze. Możesz edytować komentarz, przypiąć komentarz lub usunąć komentarz.

oOpis — wyjaśnienie incydentu.

oTechniki MITTRE ATT&CK® — techniki MITTRE ATT&CK dostępne dla wybranego incydentu.

oZalecane kroki — kroki, które należy wykonać, aby zainicjować proces reagowania na incydent.

Wykres — wyświetlanie struktury wykresu incydentów złożonego ze wskaźników w układzie złożonym lub hierarchicznym. Wykres zawiera panel sterowania z przyciskami do szybkiej orientacji — pasek przybliżenia/oddalania, Dopasowywanie do ekranu, Resetowanie widoku oraz etykieta informacyjna ze skrótami.

Wykres składa się z węzłów. Na wykresie możesz kliknąć dowolny biały węzeł, aby zobaczyć szczegółowe informacje w panelu bocznym. Nie możesz zobaczyć szczegółów szarych węzłów.

Wykres incydentów

Strzałka między węzłami reprezentuje relację między różnymi typami węzłów, na przykład:

oUżytkownik → ZALOGOWANY → Komputer

oUżytkownik → WYKONANIA → Proces

oProces nadrzędny → PODPROCES → Proces podrzędny

Możesz znaleźć oś czasu wykresu incydentów w panelu sterowania osi czasu, która pozwala cofnąć stan wykresu do początku, przesunąć go do przodu lub odtworzyć wybrany zakres czasu wykresu.

Możesz wybierać grupy wskaźników na podstawie ich nasilenia. Gdy klikniesz grupę wskaźników, podwykres zostanie podświetlony. Podwykres składa się wyłącznie z wybranych wskaźników nasilenia.

Wskaźniki nasilenia na wykresie incydentów

Wskaźniki — lista wskaźników. Kliknij wskaźnik, aby zobaczyć szczegóły. Opcjonalnie możesz zobaczyć szczegóły w nowej karcie, klikając icon_more_vertical > Pokaż szczegóły w nowej karcie.

Można wyświetlić drzewo procesów z węzłami procesu i wskaźnika:

Drzewo procesów

WAŻNE

Szczegóły wskaźników i procesów są dostępne w przypadku incydentów utworzonych po aktualizacji ESET PROTECT do wersji 6.4 (1 sierpnia 2025 r.). Jeśli masz incydenty utworzone przed aktualizacją ESET PROTECT do wersji 6.4, nastąpi przekierowanie do konsoli w chmurze ESET Inspect, gdzie można zobaczyć więcej szczegółów.

Drzewo procesów umożliwia użytkownikom nawigację po wskaźniku. Można kliknąć węzeł procesu (węzeł zaokrąglony) lub węzeł wskaźnika (węzeł prostokątny) w drzewie procesów, aby wyświetlić szczegóły na podstawie dostępności danych:

arrow_down_businessWęzeł wskaźnika:
arrow_down_businessWęzeł procesu:

Narażone komputery — lista narażonych komputerów.

Narażone tożsamości — lista narażonych użytkowników.

Oś czasu incydentów — oś czasu z krótką historią incydentów, od zdarzenia wyzwalającego do zamknięcia incydentu

W każdej sekcji (z wyjątkiem Wykres) możesz kliknąć:

przycisk Sprawdź, aby przejść do ESET Inspect i zbadać incydent na wykresie incydentu.

przycisk odświeżania Odśwież, aby odświeżyć stronę.

Kliknij przycisk Odpowiedz na incydent, aby wybrać narażone obiekty i skonfigurować dla nich działania związane z odpowiedzią. Wybierz działanie w ramach odpowiedzi (Izoluj, Wyloguj użytkownika, Uruchom ponownie, Skanuj i wyczyść) i kliknij przycisk Potwierdź.

oKomputery > Kontynuuj > wybierz działanie w ramach odpowiedzi (Izoluj, Wyloguj użytkownika, Uruchom ponownie, Skanuj i wyczyść) > Potwierdź.

oProcesy > Kontynuuj > wybierz działanie w ramach odpowiedzi (Blokada procesu) > Potwierdź.

oPliki wykonywalne > Kontynuuj > wybierz działanie w ramach odpowiedzi (Blokuj, Zablokuj i wyczyść) > Potwierdź.

Zmień stan i osobę otrzymującą przypisanie — kliknij, aby wybrać z menu rozwijanego.

oStan — wybierz bieżący stan incydentu z menu rozwijanego: Otwarty, W toku, Oczekiwanie na dane wejściowe lub Zamknięty. Po wybraniu opcji Zamknięty dodatkowo wybierz przyczynę zamknięcia incydentu (Prawdziwy alarm, Podejrzany, Fałszywy alarm lub nieprawidłowy) i opcjonalnie napisz komentarz.

oOsoba otrzymująca przypisanie — po wybraniu stanu Otwarte lub W toku wybierz dostępnego użytkownika z menu rozwijanego.

Kliknij przycisk Dalej.

Znaczniki — kliknij, aby wybrać znaczniki z menu rozwijanego, a następnie kliknij przycisk Zastosuj. Możesz też wpisać nowe słowo kluczowe i nacisnąć klawisz Enter, aby utworzyć nowy znacznik.