ESET PROTECT – 目錄

事件詳細資訊

選取任何事件,按一下 [動作] 按鈕,或按一下三點 其他 按鈕 > [檢視詳細資料]

概觀—事件的概觀,提供以下資訊:

事件詳細資料將在主要區段中顯示。

o嚴重性:低、中或高

o狀態:—開啟事件是指由安全管理員或其他使用者開啟或重新開啟的事件。進行中—事件正在進行中且正在調查中。已關閉—事件已關閉。

o建立時間

o作者

o標籤—從現有清單中選取標籤並將其套用到事件,或建立新的自訂標籤。

公司影響—受影響 [電腦][身分][可執行檔][處理程序] 的數量。按一下該數字可前往相關的特定頁面。

註解—您可以為事件新增註解。按一下 [檢視所有註解] 以顯示所有建立的註解。您可以 [編輯註解][釘選註解][刪除註解]

說明—事件說明。

MITTRE ATT&CK® 技術—針對所選事件可用的 MITTRE ATT&CK 技術。

建議的動作—起始事件回應程序時的 AI 驅動的建議步驟。您可以按一下建議步驟以執行修復動作。無法直接修復的動作可以根據需要 [標記為已完成][標記為未完成]

圖形—查看由複合或階層形式中的指示器組成的事件圖形結構。圖表提供 [控制台],並有按鈕讓您方便快速設定—放大/縮小直條圖、[適合螢幕][重設檢視] 以及具有 [捷徑] 的資訊工具提示。

該圖形由節點組成。在圖形中,您可以按一下任何白色節點,以查看側邊面板的詳細資訊。您無法查看灰色節點的詳細資訊。特定節點包含一個具有動作的功能表:[詳細檢視][在新分頁檢視詳細資訊][掃描並清除][與網路隔離][進階搜尋]

事件圖形

節點間的箭頭代表不同節點類型之間的關係,例如:

o使用者 → 登入 → 電腦

o使用者 → 執行 → 程序

o父程序 →次程序 →子程序

您可以在時間軸控制台找到事件圖形時間軸,將圖形狀態倒回起點、往前或播放所選圖形時間段。

您可以根據指示器的嚴重程度選取分組。按一下指示器群組時,畫面上會標示一個子圖形。子圖形僅會包含所選嚴重性指示器群組。當您將滑鼠移到表格中的指示器上時,圖表中對應的物件會反白顯示。

事件圖形中的嚴重性指示器

指示器—指示器列表。按一下指示器以查看詳細資訊。您可以在新分頁查看詳細資訊,按一下 icon_more_vertical > [在新分頁檢視詳細資訊]

您可以檢視包含處理程序和指示器節點的處理程序樹狀結構:

處理程序樹狀結構


重要

指示器和程序的指示器詳細資訊適用於 ESET PROTECT 6.4 版本更新 (2025 年 8 月 1 日) 之後所建立的事件。如果您在 ESET PROTECT 6.4 版本更新之前已建立事件,系統會將您重新導向至雲端 ESET Inspect 主控台以查看更多詳細資料。

處理程序樹狀結構允許使用者瀏覽指示器。您可以按一下處理程序樹狀結構中的處理程序節點 (圓形節點) 或指示器節點 (矩形節點) 以根據資料可用性來顯示詳細資料:

arrow_down_business指示器節點:
arrow_down_business處理程序節點:

受影響的電腦—受影響的電腦清單。

受影響的身分—受影響使用者名單。您可以按一下三點 icon_more_vertical 按鈕來 [啟用/停用使用者][重設使用者密碼][撤銷工作階段] > [在 AD 中將使用者登出相關聯的裝置]。您可以建立 XDR 工作作為事件的回應動作。

處理程序—由可執行檔觸發的處理程序清單。您可以按一下三點 icon_more_vertical 按鈕,以進行以下動作:

檢視詳細資料—導向至包含詳細資料的處理程序樹狀結構。

在新索引標籤檢視詳細資料重新導向到新分頁中的流程樹。

終止處理程序—如果處理程序仍在作業記憶體中處於作用中狀態,則終止該處理程序。

進階搜尋—重新導向至進階搜尋區段 (已過濾 related.hash)。

下載可執行檔—下載可執行檔以進一步調查。

提交至 ESET LiveGuard—手動提交 ESET LiveGuard 檔案。

可執行檔—可執行檔的清單。您可以按一下三點 icon_more_vertical 按鈕,以進行以下動作:

檢視詳細資料—重新導向至可執行檔詳細資料。

在新索引標籤檢視詳細資料—在新索引標籤中重新導向至可執行檔詳細資料。

封鎖可執行檔

封鎖並清除可執行檔

進階搜尋—重新導向至進階搜尋區段。

下載可執行檔下載可執行檔以進一步調查。

事件時間軸—包含事件簡要歷程的時間軸,從觸發事件到關閉事件如果可用的話,您可以:

參閱狀態。

按一下物件以檢視詳細資料。

按一下回應動作 (「封鎖」和「封鎖並清除」除外) 以檢視 [摘要][執行][觸發][執行詳細資料] 索引標籤的詳細資料 (若可用)。

在每個區段中,您都可以按一下重新整理按鈕 重新整理 來重新整理頁面。

按一下 [回應事件] 按鈕以選取受影響的物件並為其定義回應動作。您可以選取回應動作([隔離][登出使用者][重新開機][掃描並清除]),然後按一下 [確定]

o[電腦] > [繼續] > 選取回應動作 ([隔離][登出使用者][重新開機][掃描並清除]) > [確定]

o[身分] > [繼續] > 選取回應動作

o[處理程序] > [繼續] > 選取回應動作 ([終止處理程序]) > [確定]

o[可執行檔] > [繼續] > 選取回應動作 ([封鎖][封鎖並清除]) > [確定]