ESET PROTECT – Зміст

Інциденти

Зіставляючи виявлені об’єкти з інцидентами, ми покращуємо розслідування загроз. Інциденти створюються автоматично на основі виявлених об’єктів, що значно скорочує час їх сортування.

У розділі Інциденти перелічено інциденти, автоматично створені на основі виявлених об’єктів за попередньо визначеними правилами.

Фільтрування елементів, що відображаються

Існують різні способи фільтрування.

Натисніть селектор Теги (піктограми стрілки) і вибрати теги, щоб активувати фільтр для перелічених інцидентів. Результати підсвічуються синім кольором і показують інциденти з вибраними тегами.

Натисніть Рівень критичності інциденту: severity_high Високий, severity_medium Середній або severity_low Низький. Ви можете налаштувати комбінацію цих піктограм, вмикаючи або вимикаючи їх.

Статус інциденту — open_incident Відкрито, in_progress_incident Виконання, scheduled Очікування вводу або closed_incident Закрито

Натисніть Додати фільтр і виберіть типи інцидентів у розкривному меню.

oОтримувач: введіть ім’я отримувача.

oАвтор — виберіть у розкривному меню: ESET, служба ESET або ім’я користувача.

oПричина закриття — виберіть у розкривному меню: Усі, Помилкові спрацювання, Підозрілі, Непомилкові спрацювання.

oЧас створення: виберіть у розкривному меню: ≤ Сьогодні, ≤ 24 години тому, ≤ 3 дні тому, ≤ 7 днів тому, ≤ 14 днів тому, ≤ 30 днів тому, ≤ 90 днів тому або ≤ 180 днів тому.

oОстаннє оновлення: виберіть у розкривному меню: ≤ Сьогодні, ≤ 24 години тому, ≤ 3 дні тому, ≤ 7 днів тому, ≤ 14 днів тому, ≤ 30 днів тому, ≤ 90 днів тому або ≤ 180 днів тому.

oНазва: введіть назву інциденту.

oКількість комп’ютерів — введіть кількість вибраних комп’ютерів.

oКількість виявлених об’єктів — введіть кількість вибраних виявлених об’єктів.

Налаштування фільтрів і макетів

Ви можете налаштувати поточний вигляд екрана веб-консолі.

Керуйте бічною панеллю й основною таблицею.

Додавайте фільтри та їхні заготовки. Ви можете використовувати теги для фільтрування відображуваних елементів.


Примітка

Якщо не вдається знайти певний інцидент, який є у вашій інфраструктурі ESET PROTECT, переконайтеся, що всі фільтри вимкнено, а набори дозволів призначено вашому обліковому запису користувача.

Важливі

Налаштовані дозволи застосовуються до батьківської компанії статичної групи, яку ви вибрали на етапі Статичні групи.

gear_icon Попередньо встановлені параметри

Набори фільтрів.

icon_inspect_default Inspect

Відкрийте розділ Інциденти у вебконсолі ESET Inspect. ESET Inspect доступний, лише якщо у вас є ліцензія ESET Inspect і ESET Inspect підключено до ESET PROTECT. Користувачеві вебконсолі потрібен дозвіл на читання або вищого рівня для доступу до домену ESET Inspect.

update_default Оновити

Оновити сторінку

Відомості про інцидент

Виберіть інциденти, натисніть кнопку Дії, а потім — кнопку з трьома крапками icon_more_vertical. Доступні дії:

Переглянути деталі — щоб відобразити огляд інциденту.

Огляд — надає наступну інформацію:

oДеталі про інцидент, які відображаються в основному розділі.

oВплив на компанію — кількість уражених комп’ютерів, виконуваних файлів і процесів. Натисніть число, щоб перейти на відповідну сторінку.

Важливі

Виконувані файли й процеси доступні лише для клієнтів, які мають рівень EDR з активною ліцензією ESET Inspect. Ви перейдете в хмарну консоль ESET Inspect, де можна переглянути списки.

oКоментарі — можна додати коментар до інциденту. Натисніть Переглянути всі коментарі, щоб відобразити всі створені коментарі. Ви можете відредагувати, закріпити або видалити коментар.

oОпис: пояснення інциденту.

oМетоди MITTRE ATT&CK®: доступні методи MITTRE ATT&CK для вибраного інциденту.

oРекомендовані кроки — кроки, які потрібно виконати, щоб розпочати процес реагування на інциденти.

Виявлені об’єкти: Список виявлених об’єктів Щоб переглянути відомості про виявлений об’єкт, клацніть його. Ви можете переглянути дерево процесів із вузлами певного процесу й виявленого об’єкта.

Дерево процесу

Важливі

Наразі доступна лише бета-версія дерева процесів, де відображається тільки вибраний виявлений об’єкт.

Дерево процесів дає користувачам змогу поетапно досліджувати виявлені об’єкти. Ви можете клацнути на дереві процесів вузол певного процесу (округлий) або виявленого об’єкта (прямокутний), щоб переглянути відомості про них на основі доступності даних, зокрема наведені нижче.

arrow_down_businessВузол виявленого об’єкта:
arrow_down_businessВузол процесу:

Уражені комп’ютери: список комп’ютерів, які зазнали впливу інциденту.

Часова шкала інцидентів: хронологія з короткою історією інцидентів (від події, що спричинила інцидент, до закриття інциденту).

У кожному розділі ви можете натиснути наведені нижче кнопки.

Кнопка Inspect, що переспрямовує в ESET Inspect для розслідування інциденту на графіку.

Кнопка update_default, що оновлює сторінку.

Натисніть кнопку Реагування на інцидент, щоб вибрати уражені об’єкти й налаштувати дії з реагування. Доступні такі дії: Ізолювати, Виконати вихід для користувача, Перезавантажити, Сканувати й очистити. Потім натисніть Підтвердити.

oКомп’ютери > Продовжити > виберіть дію з реагування (Ізолювати, Виконати вихід для користувача, Перезавантажити, Сканувати й очистити) > Підтвердити.

oПроцеси > Продовжити > виберіть дію з реагування (Завершити процес) > Підтвердити.

oВиконувані файли > Продовжити > виберіть дію з реагування (Заблокувати, Заблокувати й очистити) > Підтвердити.

Зміна статусу й отримувача: натисніть, щоб зробити вибір у розкривному меню.

oСтатус: виберіть поточний статус інциденту в розкривному меню Відкрито, Виконання, Очікування вводу або Закрито. Якщо ви виберете "Закритий", виберіть також причину закриття інциденту (Непомилкове спрацювання, Підозріле, Помилкове або недійсне спрацювання) і за бажанням напишіть коментар.

oОтримувач: якщо ви вибрали статус Відкритий або Розглядається, виберіть доступного користувача з розкривного меню.

Натисніть Зберегти.

Теги: натисніть цю кнопку, щоб вибрати теги з розкривного меню, і клацніть Застосувати. Або ви можете ввести нове ключове слово й натиснути клавішу Enter, щоб створити новий тег.