ESET PROTECT – 目錄

事件

事件可讓我們將指示器與事件相關聯,進而改善威脅調查。事件是根據指示器自動建立的,這大大減少警示分級時間。

過濾檢視

有不同方法可過濾檢視:

按一下 [標籤] 選擇器 (箭頭圖示) 進行過濾,然後選擇一個標籤以啟動列出事件的過濾條件。結果以藍色反白顯示,並顯示具有所選標籤的事件。

按一下 [事件嚴重性]高嚴重性 [高]中等嚴重性 [中]低嚴重性 [低]。您可以開啟或關閉圖示以將其合併。

事件狀態開啟 [開啟]進行中 [正在進行中]等待輸入內容 [等待輸入內容]已關閉 [關閉]

按一下 [新增過濾器],然後從下拉式功能表選取事件類型。

o受託人—輸入受託人姓名。

o作者—從下拉式功能表選取:ESET、ESET 服務或使用者名稱。

o關閉原因—從下拉式功能表選取:全部、誤判、可疑、預判為真。

o建立時間—從下拉式功能表中選取:≤今天、≤24 小時前、≤3 天前、≤7 天前、≤14 天前、≤30 天前、≤90 天前或 ≤180 天前。

o上次更新—從下拉式功能表中選取:≤今天、≤24 小時前、≤3 天前、≤7 天前、≤14 天前、≤30 天前、≤90 天前或≤180 天前。

o名稱—輸入事件名稱。

o電腦數量—輸入所選電腦的數量。

o指示器數量—輸入所選指示器的數量。

o使用者數目—輸入所選使用者數目。

過濾器及配置自訂

您可以自訂目前的 Web Console 畫面檢視:

管理側邊面板及主要表格

新增過濾器及過濾預設集。 您可以使用標籤來過濾顯示的項目。


注意

如果您在清單中找不到特定事件,但確定它位於您的 ESET PROTECT 基礎架構中,請確定所有過濾器皆已關閉,且權限集合已指派給您的使用者帳戶。

重要

您配置的權限將套用於您在靜態群組步驟中所選擇靜態群組的上層公司。

齒輪 預設

過濾器集

開啟 ESET Inspect Web 主控台。 Inspect

開啟 ESET Inspect Web 主控台事件 區段。 ESET Inspect 僅在您擁有 ESET Inspect 訂閱且 ESET Inspect 已連線至 ESET PROTECT 時可供使用。 Web 主控台使用者需要讀取權限或更高權限才能存取 ESET Inspect

重新整理 重新整理

重新整理頁面。

事件詳細資訊

選取任何事件,按一下 [處理方法] 按鈕,然後按一下三點 其他 按鈕以:

檢視詳細資料—顯示事件的概觀。

概觀—提供以下資訊:

o事件詳細資料將在主要區段中顯示。

o公司影響—受影響[電腦][可執行檔][處理程序] 的數量。按一下該數字可前往相關的特定頁面。

重要

可執行檔處理程序僅適用於具有作用中 ESET Inspect 訂閱的 EDR 層客戶。系統將您重新導向到雲端 ESET Inspect 主控台以查看清單。

o註解—您可以為事件新增註解。按一下 [檢視所有註解] 以顯示所有建立的註解。您可以 [編輯註解][釘選註解][刪除註解]

o說明—事件說明。

oMITTRE ATT&CK® 技術—針對所選事件可用的 MITTRE ATT&CK 技術。

o建議的步驟—起始事件回應程序時要遵循的步驟。

圖形—查看由複合或階層形式中的指示器組成的事件圖形結構。圖表提供 [控制台],並有按鈕讓您方便快速設定—放大/縮小直條圖、[適合螢幕][重設檢視] 以及具有 [捷徑] 的資訊工具提示。

該圖形由節點組成。在圖形中,您可以按一下任何白色節點,以查看側邊面板的詳細資訊。您無法查看灰色節點的詳細資訊。

事件圖形

節點間的箭頭代表不同節點類型之間的關係,例如:

o使用者 → 登入 → 電腦

o使用者 → 執行 → 程序

o父程序 →次程序 →子程序

您可以在時間軸控制台找到事件圖形時間軸,將圖形狀態倒回起點、往前或播放所選圖形時間段。

您可以根據指示器的嚴重程度選取分組。按一下指示器群組時,畫面上會標示一個子圖形。子圖形僅會包含所選嚴重性指示器群組。

事件圖形中的嚴重性指示器

指示器—指示器列表。按一下指示器以查看詳細資訊。您可以在新分頁查看詳細資訊,按一下 icon_more_vertical > [在新分頁檢視詳細資訊]

您可以檢視包含處理程序和指示器節點的處理程序樹狀結構:

處理程序樹狀結構

重要

指示器和程序的指示器詳細資訊適用於 ESET PROTECT 6.4 版本更新 (2025 年 8 月 1 日) 之後所建立的事件。如果您在 ESET PROTECT 6.4 版本更新之前已建立事件,系統會將您重新導向至雲端 ESET Inspect 主控台以查看更多詳細資料。

處理程序樹狀結構允許使用者瀏覽指示器。您可以按一下處理程序樹狀結構中的處理程序節點 (圓形節點) 或指示器節點 (矩形節點) 以根據資料可用性來顯示詳細資料:

arrow_down_business指示器節點:
arrow_down_business處理程序節點:

受影響的電腦—受影響的電腦清單。

受影響的身分—受影響使用者名單。

事件時間軸—包含事件簡要歷程的時間軸,從觸發事件到關閉事件

除了 [圖形] 以外,您可以在每個區段中按一下:

[檢查] 按鈕以重新導向到 ESET Inspect 並調查事件圖表中的事件。

重新整理按鈕 重新整理 以重新整理頁面。

按一下 [回應事件] 按鈕以選取受影響的物件並為其定義回應動作。您可以選取回應動作([隔離][登出使用者][重新開機][掃描並清除]),然後按一下 [確定]

o[電腦] > [繼續] > 選取回應動作 ([隔離][登出使用者][重新開機][掃描並清除]) > [確定]

o[處理程序] > [繼續] > 選取回應動作 ([終止處理程序]) > [確定]

o[可執行檔] > [繼續] > 選取回應動作 ([封鎖][封鎖並清除]) > [確定]

變更狀態和受託人—按一下以從下拉式功能表中進行選取。

o狀態—從下拉式功能表中選取事件目前的狀態:[開啟][正在進行中][等待輸入內容][關閉]。當您選取 [關閉] 時,另外選取關閉事件的原因 ([預判為真][可疑][誤判或無效]) 並選擇性撰寫評論。

o受託人—當您已選取 [開啟][進行中] 狀態時,從下拉式功能表中選取可用的使用者。

按一下 [儲存]

標籤—按一下以從下拉式功能表中選取標籤,然後按一下 [套用]。或者,您可以輸入新關鍵字並按下 [Enter] 以建立新標籤。