事件詳細資訊
選取任何事件,按一下 [動作] 按鈕,或按一下三點
按鈕 > [檢視詳細資料]。
概觀—事件的概觀,提供以下資訊:
•事件詳細資料將在主要區段中顯示。
o嚴重性:低、中或高
o狀態:—開啟事件是指由安全管理員或其他使用者開啟或重新開啟的事件。進行中—事件正在進行中且正在調查中。已關閉—事件已關閉。
o建立時間
o作者
o標籤—從現有清單中選取標籤並將其套用到事件,或建立新的自訂標籤。
•公司影響—受影響 [電腦]、[身分]、[可執行檔] 和 [處理程序] 的數量。按一下該數字可前往相關的特定頁面。
•註解—您可以為事件新增註解。按一下 [檢視所有註解] 以顯示所有建立的註解。您可以 [編輯註解]、[釘選註解] 或 [刪除註解]。
•說明—事件說明。
•MITTRE ATT&CK® 技術—針對所選事件可用的 MITTRE ATT&CK 技術。
•建議的動作—起始事件回應程序時的 AI 驅動的建議步驟。您可以按一下建議步驟以執行修復動作。無法直接修復的動作可以根據需要 [標記為已完成] 或[標記為未完成]。
圖形—查看由複合或階層形式中的指示器組成的事件圖形結構。圖表提供 [控制台],並有按鈕讓您方便快速設定—放大/縮小直條圖、[適合螢幕]、[重設檢視] 以及具有 [捷徑] 的資訊工具提示。
該圖形由節點組成。在圖形中,您可以按一下任何白色節點,以查看側邊面板的詳細資訊。您無法查看灰色節點的詳細資訊。特定節點包含一個具有動作的功能表:[詳細檢視]、[在新分頁檢視詳細資訊]、[掃描並清除]、[與網路隔離]、[進階搜尋]。

節點間的箭頭代表不同節點類型之間的關係,例如:
o使用者 → 登入 → 電腦
o使用者 → 執行 → 程序
o父程序 →次程序 →子程序
您可以在時間軸控制台找到事件圖形時間軸,將圖形狀態倒回起點、往前或播放所選圖形時間段。
您可以根據指示器的嚴重程度選取分組。按一下指示器群組時,畫面上會標示一個子圖形。子圖形僅會包含所選嚴重性指示器群組。當您將滑鼠移到表格中的指示器上時,圖表中對應的物件會反白顯示。

指示器—指示器列表。按一下指示器以查看詳細資訊。您可以在新分頁查看詳細資訊,按一下
> [在新分頁檢視詳細資訊]。
您可以檢視包含處理程序和指示器節點的處理程序樹狀結構:

指示器和程序的指示器詳細資訊適用於 ESET PROTECT 6.4 版本更新 (2025 年 8 月 1 日) 之後所建立的事件。如果您在 ESET PROTECT 6.4 版本更新之前已建立事件,系統會將您重新導向至雲端 ESET Inspect 主控台以查看更多詳細資料。 |
處理程序樹狀結構允許使用者瀏覽指示器。您可以按一下處理程序樹狀結構中的處理程序節點 (圓形節點) 或指示器節點 (矩形節點) 以根據資料可用性來顯示詳細資料:
受影響的電腦—受影響的電腦清單。
受影響的身分—受影響使用者名單。您可以按一下三點
按鈕來 [啟用/停用使用者]、[重設使用者密碼]、[撤銷工作階段] > [在 AD 中將使用者登出相關聯的裝置]。您可以建立 XDR 工作作為事件的回應動作。
處理程序—由可執行檔觸發的處理程序清單。您可以按一下三點
按鈕,以進行以下動作:
•檢視詳細資料—導向至包含詳細資料的處理程序樹狀結構。
•在新索引標籤檢視詳細資料重新導向到新分頁中的流程樹。
•終止處理程序—如果處理程序仍在作業記憶體中處於作用中狀態,則終止該處理程序。
•進階搜尋—重新導向至進階搜尋區段 (已過濾 related.hash)。
•下載可執行檔—下載可執行檔以進一步調查。
•提交至 ESET LiveGuard—手動提交 ESET LiveGuard 檔案。
可執行檔—可執行檔的清單。您可以按一下三點
按鈕,以進行以下動作:
•檢視詳細資料—重新導向至可執行檔詳細資料。
•在新索引標籤檢視詳細資料—在新索引標籤中重新導向至可執行檔詳細資料。
•封鎖可執行檔
•封鎖並清除可執行檔
•進階搜尋—重新導向至進階搜尋區段。
•下載可執行檔—下載可執行檔以進一步調查。
事件時間軸—包含事件簡要歷程的時間軸,從觸發事件到關閉事件如果可用的話,您可以:
•參閱狀態。
•按一下物件以檢視詳細資料。
•按一下回應動作 (「封鎖」和「封鎖並清除」除外) 以檢視 [摘要]、[執行]、[觸發] 和 [執行詳細資料] 索引標籤的詳細資料 (若可用)。
在每個區段中,您都可以按一下重新整理按鈕
來重新整理頁面。
按一下 [回應事件] 按鈕以選取受影響的物件並為其定義回應動作。您可以選取回應動作([隔離]、[登出使用者]、[重新開機]、[掃描並清除]),然後按一下 [確定]。
o[電腦] > [繼續] > 選取回應動作 ([隔離]、[登出使用者]、[重新開機]、[掃描並清除]) > [確定]。
o[身分] > [繼續] > 選取回應動作
o[處理程序] > [繼續] > 選取回應動作 ([終止處理程序]) > [確定]。
o[可執行檔] > [繼續] > 選取回應動作 ([封鎖]、[封鎖並清除]) > [確定]。