事件

事件使我们能够将指标与事件相关联，以改进威胁调查。事件是根据指标自动创建的，可大大减少警报分类时间。

过滤视图

可采用不同方式过滤视图：

•单击标签选择器（箭头图标），然后选择一个标签以激活所列事件的过滤条件。结果以蓝色突出显示，并显示带有所选标签的事件。

•单击事件严重性（ 高、 中等或 低）。您可以通过打开或关闭这些图标来组合使用它们。

•事件状态 - 未完结、 正在进行、 等待输入或 已关闭

•单击添加筛选，然后从下拉菜单中选择事件类型。

o受理人 - 键入受理人姓名。

o作者 - 从下拉菜单中选择：ESET、ESET 服务或用户名。

o关闭原因 - 从下拉菜单中选择：全部、误报、可疑、正报。

o创建时间 - 从下拉菜单中选择：≤ 今天、≤ 24 小时前、≤ 3 天前、≤ 7 天前、≤ 14 天前、≤ 30 天前、≤ 90 天前或 ≤ 180 天前。

o上次更新时间 - 从下拉菜单中选择：≤ 今天、≤ 24 小时前、≤ 3 天前、≤ 7 天前、≤ 14 天前、≤ 30 天前、≤ 90 天前或 ≤ 180 天前。

o名称 - 键入事件名称。

o计算机数 - 键入所选计算机的数量。

o指标数量 - 键入所选指标的数量。

o用户数 - 键入所选用户数。

过滤器和布局自定义

可以自定义当前的 Web 控制台屏幕视图：

•管理侧面板和主表。

•添加过滤器和过滤器预设。 可以将标记用于过滤显示项目。

事件详细信息

选择任何事件，单击操作按钮，然后单击三个点按钮 以：

•查看详细信息 - 显示事件的概述。

概述 - 提供以下信息：

o主要部分中显示的事件详情。

o公司影响 - 受影响的计算机、可执行文件和进程的数量。单击编号可转到相关的特定页面。

o注释 - 您可以为事件添加注释。单击查看全部注释以显示所有创建的注释。您可以编辑注释、置顶注释或删除注释。

o描述 - 对事件的解释。

oMITTRE ATT&CK® 技术 - 所选事件的可用 MITTRE ATT&CK 技术。

o推荐步骤 - 启动事件响应过程的步骤。

图形 - 查看由采用复合布局或层级布局的指标组成的事件图结构。此图形提供控制面板，其中具有快速定位按钮 - 放大/缩小条形、适应屏幕、重置视图以及包含快捷方式的信息工具提示。

该图形由节点组成。在此图形中，您可以单击任意白色节点以在侧面板中查看详细信息。您无法查看灰色节点的详细信息。

节点之间的箭头表示不同类型节点之间的关系，例如：

o用户 → 已登录→计算机

o用户 → 执行→ 进程

o父进程 →子进程 → 子进程

您可以使用时间线控制面板找到事件图时间线，以将图形状态倒回起点、前进或播放图形中的选定时间段。

您可以根据指标的严重级别来选择指标组。当您单击某个指标组时，会突出显示一个子图。子图仅包含选定的严重级别指标组。

指标 - 指标列表。单击指标可查看详细信息。您还可以在新标签页中查看详细信息，单击 > 在新标签页中查看详细信息。

您可以查看包含进程和指标节点的进程树：

用户可通过进程树浏览指标。您可以单击进程树中的进程节点（圆角节点）或指标节点（矩形节点），以根据数据可用性显示详细信息：

受影响的计算机 - 受影响的计算机列表。

受影响身份 - 受影响用户列表。

事件时间线 - 包含事件简要历史记录的时间线，从触发事件到关闭事件

在每个部分（图形除外），您可以单击：

•检查按钮以重定向到 ESET Inspect 并调查事件图中的事件。

•“刷新”按钮 以刷新页面。

单击响应事件按钮以选择受影响的对象并为其定义响应操作。您可以选择响应操作（隔离、注销用户、重新启动、扫描和清除），然后单击确认。

o计算机 > 继续 > 选择响应操作（隔离、注销用户、重新启动、扫描和清除）> 确认。

o进程 > 继续 > 选择响应操作（终止进程）> 确认。

o可执行文件 > 继续 > 选择响应操作（阻止、阻止和清除）> 确认。

•更改状态和受理人 - 单击以从下拉菜单中进行选择。

o状态 - 从下拉菜单中选择事件当前状态：未完结、正在进行、等待输入或已关闭当您选择“已关闭”时，另请选择关闭事件的原因（正报、可疑、误报或无效）并选择性地编写注释。

o受理人 - 当您选择打开或正在进行状态时，请从下拉菜单中选择可用用户。

单击保存。

•标签 - 单击以从下拉菜单中选择标签，然后单击应用。也可以键入新的关键字并按 Enter 以创建新标签。

˄˅