事件

事件可讓我們將偵測結果與事件相關聯，進而改善威脅調查。事件是根據偵測自動建立的，這大大減少警示分級時間。

[事件] 區段會列出根據預先定義規則從偵測自動建立的事件。

過濾檢視

有不同方法可過濾檢視：

•按一下 [標籤] 選擇器 (箭頭圖示) 進行過濾，然後選擇一個標籤以啟動列出事件的過濾條件。結果以藍色反白顯示，並顯示具有所選標籤的事件。

•按一下 [事件嚴重性]— [高]、 [中] 或 [低]。您可以開啟或關閉圖示以將其合併。

•事件狀態— [開啟]、 [正在進行中]、 [等待輸入內容] 或 [關閉]

•按一下 [新增過濾器]，然後從下拉式功能表選取事件類型。

o受託人—輸入受託人姓名。

o作者—從下拉式功能表選取：ESET、ESET 服務或使用者名稱。

o關閉原因—從下拉式功能表選取：全部、誤判、可疑、預判為真。

o建立時間—從下拉式功能表中選取：≤今天、≤24 小時前、≤3 天前、≤7 天前、≤14 天前、≤30 天前、≤90 天前或 ≤180 天前。

o上次更新—從下拉式功能表中選取：≤今天、≤24 小時前、≤3 天前、≤7 天前、≤14 天前、≤30 天前、≤90 天前或≤180 天前。

o名稱—輸入事件名稱。

o電腦數量—輸入所選電腦的數量。

o偵測數量—輸入所選偵測的數量。

過濾器及配置自訂

您可以自訂目前的 Web Console 畫面檢視：

•管理側邊面板及主要表格。

•新增過濾器及過濾預設集。 您可以使用標籤來過濾顯示的項目。

事件詳細資訊

選取任何事件，按一下 [處理方法] 按鈕，然後按一下三點 按鈕以：

•檢視詳細資料—顯示事件的概觀。

概觀—提供以下資訊：

o事件詳細資料將在主要區段中顯示。

o公司影響—受影響[電腦]、[可執行檔] 和 [處理程序] 的數量。按一下該數字可前往相關的特定頁面。

o註解—您可以為事件新增註解。按一下 [檢視所有註解] 以顯示所有建立的註解。您可以 [編輯註解]、[釘選註解] 或 [刪除註解]。

o說明—事件說明。

oMITTRE ATT&CK® 技術—針對所選事件可用的 MITTRE ATT&CK 技術。

o建議的步驟—起始事件回應程序時要遵循的步驟。

偵測—偵測清單。按一下偵測以檢視偵測詳細資料。您可以檢視包含處理程序和偵測節點的處理程序樹狀結構：

處理程序樹狀結構允許使用者瀏覽偵測。您可以按一下處理程序樹狀結構中的處理程序節點 (圓形節點) 或偵測節點 (矩形節點) 以根據資料可用性來顯示詳細資料：

受影響的電腦—受影響的電腦清單。

事件時間軸—包含事件簡要歷程的時間軸，從觸發事件到關閉事件。

在每個區段中，您可以按一下：

•[檢查] 按鈕以重新導向到 ESET Inspect 並調查事件圖表中的事件。

•重新整理按鈕 以重新整理頁面。

按一下 [回應事件] 按鈕以選取受影響的物件並為其定義回應動作。您可以選取回應動作([隔離]、[登出使用者]、[重新開機]、[掃描並清除])，然後按一下 [確定]。

o[電腦] > [繼續] > 選取回應動作 ([隔離]、[登出使用者]、[重新開機]、[掃描並清除]) > [確定]。

o[處理程序] > [繼續] > 選取回應動作 ([終止處理程序]) > [確定]。

o[可執行檔] > [繼續] > 選取回應動作 ([封鎖]、[封鎖並清除]) > [確定]。

•變更狀態和受託人—按一下以從下拉式功能表中進行選取。

o狀態—從下拉式功能表中選取事件目前的狀態：[開啟]、[正在進行中]、[等待輸入內容] 或 [關閉]。當您選取 [關閉] 時，另外選取關閉事件的原因 ([預判為真]、[可疑]、[誤判或無效]) 並選擇性撰寫評論。

o受託人—當您已選取 [開啟] 或 [進行中] 狀態時，從下拉式功能表中選取可用的使用者。

按一下 [儲存]。

•標籤—按一下以從下拉式功能表中選取標籤，然後按一下 [套用]。或者，您可以輸入新關鍵字並按下 [Enter] 以建立新標籤。

˄˅