事件
事件使我们能够将检测结果与事件相关联,以改进威胁调查。事件是根据检测自动创建的,这大大减少了警报分类时间。
事件部分列出了根据预定义规则从检测自动创建的事件。
过滤视图
可采用不同方式过滤视图:
•单击标签选择器(箭头图标),然后选择一个标签以激活所列事件的过滤条件。结果以蓝色突出显示,并显示带有所选标签的事件。
•单击事件严重性(
高、
中等或 
低)。您可以通过打开或关闭这些图标来组合使用它们。
•事件状态 - 
未完结、
正在进行、
等待输入或 
已关闭
•单击添加筛选,然后从下拉菜单中选择事件类型。
o受理人 - 键入受理人姓名。
o作者 - 从下拉菜单中选择:ESET、ESET 服务或用户名。
o关闭原因 - 从下拉菜单中选择:全部、误报、可疑、正报。
o创建时间 - 从下拉菜单中选择:≤ 今天、≤ 24 小时前、≤ 3 天前、≤ 7 天前、≤ 14 天前、≤ 30 天前、≤ 90 天前或 ≤ 180 天前。
o上次更新时间 - 从下拉菜单中选择:≤ 今天、≤ 24 小时前、≤ 3 天前、≤ 7 天前、≤ 14 天前、≤ 30 天前、≤ 90 天前或 ≤ 180 天前。
o名称 - 键入事件名称。
o计算机数 - 键入所选计算机的数量。
o检测数量 - 键入所选检测的数量。
过滤器和布局自定义
可以自定义当前的 Web 控制台屏幕视图:
•管理侧面板和主表。
|
如果您无法在列表中找到特定事件,且您知道它在您的 ESET PROTECT 基础架构中,请确保已关闭所有过滤器,且权限集已分配到您的用户帐户。 |
|
您配置的权限将应用于您在静态组步骤中选择的静态组的母公司。 |
|
过滤器组。 |
|
打开 ESET Inspect Web 控制台事件部分。 仅当您拥有 ESET Inspect 许可证并且 ESET Inspect 已连接到 ESET PROTECT 时,ESET Inspect 才可用。 Web 控制台用户需要具有读取权限或更高权限才能访问 ESET Inspect。 |
|
刷新页面 |
事件详细信息
选择任何事件,单击操作按钮,然后单击三个点按钮 
以:
•查看详细信息 - 显示事件的概述。
概述 - 提供以下信息:
o主要部分中显示的事件详情。
o公司影响 - 受影响的计算机、可执行文件和进程的数量。单击编号可转到相关的特定页面。
|
可执行文件和进程仅适用于具有有效 ESET Inspect 许可证的 EDR 层的客户。您将被重定向到云 ESET Inspect 控制台以查看列表。 |
o注释 - 您可以为事件添加注释。单击查看全部注释以显示所有创建的注释。您可以编辑注释、置顶注释或删除注释。
o描述 - 对事件的解释。
oMITTRE ATT&CK® 技术 - 所选事件的可用 MITTRE ATT&CK 技术。
o推荐步骤 - 启动事件响应过程的步骤。
检测 - 检测列表单击检测可查看检测详情。您可以查看包含进程和检测节点的进程树:
|
检测和进程的检测详细信息适用于 ESET PROTECT 6.4 版本更新(2025 年 8 月 1 日)之后创建的事件。如果您在 ESET PROTECT 6.4 版本更新前创建了事件,则将被重定向到云 ESET Inspect 控制台来查看更多详细信息。 |
用户可通过进程树浏览检测。您可以单击进程树中的进程节点(圆角节点)或检测节点(矩形节点),以根据数据可用性显示详细信息:
受影响的计算机 - 受影响的计算机列表。
事件时间线 - 包含事件简要历史记录的时间线,从触发事件到关闭事件。
在每个部分中,您可以单击:
•检查按钮以重定向到 ESET Inspect 并调查事件图中的事件。
•“刷新”按钮 
以刷新页面。
单击响应事件按钮以选择受影响的对象并为其定义响应操作。您可以选择响应操作(隔离、注销用户、重新启动、扫描和清除),然后单击确认。
o计算机 > 继续 > 选择响应操作(隔离、注销用户、重新启动、扫描和清除)> 确认。
o进程 > 继续 > 选择响应操作(终止进程)> 确认。
o可执行文件 > 继续 > 选择响应操作(阻止、阻止和清除)> 确认。
•更改状态和受理人 - 单击以从下拉菜单中进行选择。
o状态 - 从下拉菜单中选择事件当前状态:未完结、正在进行、等待输入或已关闭当您选择“已关闭”时,另请选择关闭事件的原因(正报、可疑、误报或无效)并选择性地编写注释。
o受理人 - 当您选择打开或正在进行状态时,请从下拉菜单中选择可用用户。
单击保存。
•标签 - 单击以从下拉菜单中选择标签,然后单击应用。也可以键入新的关键字并按 Enter 以创建新标签。