问题
- 使用多个条件过滤 ESET Inspect 和 ESET On-Prem Inspect 中的对象
解决方案
-
打开要过滤对象的视图:单击页面左下角的展开图标 (
) 展开导航面板。如果需要,单击更多。单击要打开的视图。 -
在视图右上方,单击添加过滤器。
-
从下拉菜单中选择过滤器。您可以开始键入过滤器名称以缩小选项范围。请参阅下面每个对象的可用筛选器列表。
-
如有需要,请定义筛选条件。
可用筛选器
仪表盘
- 时间-按发生时间筛选
计算机
- ESET Inspect Connector 版本-根据特定计算机上部署的 ESET Inspect Connector 版本进行筛选
- 警报数量-根据 ESET PROTECT On-Prem 相关警报的数量进行筛选
- AVG 接收到的事件/24H-按 24 小时内接收到的事件平均数量筛选
- AVG 存储事件/24 小时-按 24 小时内存储事件的平均数量筛选;数量取决于设置、数据保留和数据收集设置
- 描述-根据 ESET PROTECT On-Prem 提供的计算机描述进行筛选
- 端点版本-根据该计算机上安装的端点版本进行筛选
- FQDN-通过完全合格域名进行筛选,该域名指定了其在域名系统 (DNS) 树层次结构中的确切位置
- 组-通过特定计算机所属计算机组的名称进行筛选
- 信息-根据计算机上未解决的信息检测总数进行筛选
- 与网络隔离-通过与网络隔离的计算机进行筛选(仅 ESET Security 产品之间的连接可用)
- 最后更改日期-根据对象最后更改的日期进行筛选
- 最后更改类型-根据对象的最后更改进行筛选
- 最后更改者-按最后更改对象的用户筛选
- 上次连接-通过创建的永久连接进行筛选,该连接用于监听有关封锁哈希值、下载文件请求或杀死进程的通知;刷新间隔为 90 秒
- 最后事件-通过发送到服务器的最后事件的时间戳进行筛选;该事件在计算机上发生的时间,而不是发送到 ESET Inspect 服务器的时间
- 名称-根据计算机、可执行文件、排除项、任务、阻止的散列或报告名称进行筛选
- 操作系统名称-根据操作系统名称("Windows"、"macOS "或 "Linux")进行筛选
- OS Platform-通过特定计算机上运行的操作系统进行筛选:32 位或 64 位
- 操作系统版本-根据特定计算机上部署的EEA或EES版本进行筛选
- 从今天起收到的事件-根据自午夜以来特定计算机上发生的事件数进行筛选
- 已解决-根据计算机上已解决的检测总数进行筛选,不考虑严重程度
- 从今天起存储的事件--根据从午夜开始的计算机事件数进行筛选
- 支持通过 SHA-256 阻止检测-根据基于 SHA-256 哈希值的阻止检测功能进行筛选
- 威胁-根据计算机上未解决的威胁检测总数进行筛选
- 未解决-根据计算机上未解决的检测总数进行筛选
- 警告-根据计算机上未解决的警告检测总数进行筛选
警告
- 详细信息-根据详细信息列中的文本进行筛选
- 发生-根据警报发生的时间进行筛选;选择早于或晚于,以及所需的时间范围
- 问题-根据警报问题的文本进行筛选
- 产品-按警报产品的文本进行筛选
- 状态-按 ESET PROTECT On-Prem 警报状态的名称筛选
- 子产品-按子产品文本筛选
检测
- 采取的行动-根据采取的行动筛选
- 被阻止的 URL-根据被阻止检测的URL(如果适用)进行筛选
- 类别-按类别名称筛选,您可以在 "编辑规则"部分的类别标记中找到该名称
- 命令行-按命令行文件名过滤检测
- 已破解-按已破解计算机过滤
- 计算机-按计算机名称过滤:等于、不等于,以包括或排除特定名称;在脚本选项卡中,按检测触发的计算机名称过滤
- 检测信息-按检测的特定信息过滤:规则检测中的规则名称、反病毒检测中的恶意软件信息等
- 检测类型-按检测类型筛选
- 可执行文件-根据检测详细信息或可执行文件列中发现的可执行文件的名称进行筛选
- 首次出现(LiveGrid®)-筛选可执行文件在连接到 LiveGrid® 的任何计算机上首次出现的时间
- 完整性级别-根据完整性级别进行筛选
- 最后更改日期-根据对象最后更改的日期进行筛选
- 最后更改类型-根据对象的最后更改进行筛选
- 最后更改者-按最后更改对象的用户筛选
- MITRE ATT&CK™ TECHNIQUES-按 MITRE ATT&CK™ TECHNIQUE 的 ID 过滤
- 注释-通过注释进行筛选
- 发生时间-按发生时间筛选:早于或晚于,以及所需的时间范围
- 父进程 ID-通过创建此子进程的父进程 ID 进行筛选
- 父进程名称-根据创建此子进程的父进程名称进行筛选
- 父进程 SHA-1-通过父进程的哈希值进行筛选
- 父进程 SHA-256-通过父进程的哈希值进行筛选
- 父进程签名类型-根据父进程的文件签名类型进行筛选
- 父进程签名者名称-根据父进程的文件签名者名称进行筛选
- 受欢迎程度(LiveGrid®)-根据向 LiveGrid® 报告可执行文件的计算机数量进行筛选
- 进程 ID-根据检测详细信息或进程名称 (ID)列中的进程 ID 进行筛选。您可以选择进程 ID 是否等于、大于、小于或不等于您要查找的进程 ID。或者选择 "已知 "或 "未知",以分别显示进程 ID 为已知或未知的检测结果。
- 进程名称-根据在检测详细信息或进程名称 (ID)列中找到的进程名称进行筛选;您可以选择该名称是否与您要查找的进程名称相同或不相同。
- 信誉 (LiveGrid®)-按 1 到 9 的数字筛选,表示文件的安全程度:1-2 红色 = 恶意,3-7 黄色 = 可疑,8-9 绿色 = 安全
- 已解决-根据计算机上已解决的检测总数进行筛选,不考虑严重性;在检测视图中,根据检测状态(是否已解决)进行筛选
- 规则操作-根据规则操作进行筛选
- 规则名称-根据规则名称(默认或自定义)进行筛选
- 扫描仪-按防止潜在威胁的端点扫描仪类型筛选
- 严重性分数-按更精确的严重性定义筛选:1-39 > 信息,40-69 > 警告,70-100 > 威胁
- SHA-1-根据可执行文件的哈希值筛选
- SHA-256-根据可执行文件的哈希值进行筛选
- 签名类型-按签名类型筛选
- 签名者名称-根据文件签名者进行筛选
- 任务名称-根据任务选项卡中的任务名称进行筛选
- 威胁名称-按威胁名称筛选;查看当前趋势威胁
- 触发时间-按触发时间筛选:早于、晚于或等于以及所需的时间
- URI-按导致触发此检测的 URI 进行筛选
- 用户部门-根据用户的部门(如果活动目录中提供)进行筛选
- 用户描述-通过用户描述(如果活动目录中提供)进行筛选
- 用户名-按检测触发时登录计算机的用户帐户筛选
搜索
- 作者-创建或编辑时当前登录用户的名称
- 进度-根据任务进度进行筛选
- 结果-根据对象类型筛选结果
事件
- 受让人-根据受让人名称筛选
- 作者-创建或版本中当前登录用户的名称
- 计算机-根据报告人为其创建报告的计算机数量筛选
- 创建时间-按报告创建时间筛选
- 描述-根据 ESET PROTECT On-Prem 提供的计算机描述进行筛选;在事件中,根据报告者提供的描述进行筛选
- 检测-根据此任务触发的检测数进行筛选;在事件中,根据报告包含的检测数进行筛选
- 可执行文件-按报告包含的可执行文件数量筛选
- 上次更新-按报告上次更新的时间筛选
- 名称-按计算机、可执行文件、排除、任务、阻止的哈希值或报告的名称进行筛选
- 进程-根据报告包含的进程数量进行筛选
- 状态原因-按事件的状态原因筛选
可执行文件
- 阻止-根据可执行文件的哈希值是否被阻止进行筛选
- 公司名称-按生成可执行文件的公司(例如 "Microsoft Corporation "或 "Standard Micro-systems Corporation, Inc.)
- DNS 事件-根据特定可执行文件触发的 DNS 事件总数进行筛选
- Events/24h-根据 24 小时内的事件总数进行筛选
- 可执行文件丢失--根据该可执行文件丢失的可执行文件数量进行筛选
- 在计算机上执行-根据执行该文件的计算机数量进行筛选
- 执行次数-根据此
.exe文件在所有计算机上的执行次数进行筛选 - 文件描述-根据文件的完整描述(例如 "AT 样式键盘的键盘驱动程序")进行筛选
- 文件修改-根据被修改的文件数量进行筛选
- 文件版本-根据文件的版本号进行筛选
- 首次执行-根据可执行文件在此计算机上首次执行的日期进行筛选
- 首次出现-筛选可执行文件在任何计算机上首次出现的时间
- 首次看到(LiveGrid®)-筛选可执行文件在连接到 LiveGrid® 的任何计算机上首次看到的时间
- HTTP 事件-根据特定可执行文件触发的 HTTP 事件总数进行筛选
- 信息-根据计算机上未解决的信息检测总数进行筛选
- 内部名称-根据文件的内部名称(如果存在)进行筛选
- 上次更改日期-根据对象上次更改的日期进行筛选
- 上次更改类型-根据对象的上次更改进行筛选
- 上次更改用户-按最后更改对象的用户筛选
- 上次被当前用户阻止-按上次阻止对象的当前用户筛选
- 当前用户最后一次将对象标记为安全-筛选最后一次将对象标记为安全的当前用户
- 最后执行-筛选可执行文件在任何计算机上最后执行的时间
- 上次在 (ESET LiveGuard) 上处理-根据可执行文件上次在 ESET LiveGuard 中处理的时间进行筛选
- 名称-根据计算机名称、可执行文件名称、排除名称、任务名称、阻止的哈希值或报告名称进行筛选
- 近似报告-筛选检测是否因可疑恶意软件触发
- 网络连接-根据该文件的网络连接数进行筛选
- 原始文件名-根据原始文件名(不包括路径)进行筛选,使应用程序能够确定用户是否对文件进行了重命名
- 打包器名称--如果可执行文件已打包,则根据打包器名称进行筛选
- 受欢迎程度 (LiveGrid®)-根据向 LiveGrid® 报告可执行文件的计算机数量进行筛选
- 产品名称-根据文件随附的产品名称进行筛选
- 产品版本--根据发布文件的产品版本进行筛选
- 注册表修改-根据有多少注册表项被修改进行筛选
- 信誉 (LiveGrid®)-通过 1 到 9 的数字进行筛选,表示文件的安全程度:1-2 红色 = 恶意,3-7 黄色 = 可疑,8-9 绿色 = 安全
- 已解决-筛选检测是否标记为已解决
- 安全-筛选标记为安全的可执行文件
- 在计算机上查看-根据发现该文件的计算机数量进行筛选
- 发送字节数-根据该文件从所有计算机和所有进程发送的字节总数进行筛选
- 发送日期(ESET LiveGuard)-根据可执行文件最后一次在 ESET LiveGuard 中发送的日期进行筛选
- SFX 名称-如果可执行文件已打包,则根据自解压压缩包类型进行筛选
- SHA-1-根据可执行文件的哈希值进行筛选
- SHA-256-根据可执行文件的哈希值进行筛选
- 签名 CN #1-仅限 MacOS;与Windows 产品名称列相同
- 签名 CN #2-仅限 MacOS;与Windows 文件版本列相同
- 签名 CN #3-仅限 MacOS;与Windows 产品版本列相同
- 签名 CN #4-仅限 MacOS;与Windows 内部名称列相同
- 签名 CN #5-仅限 MacOS;与 Windows 原始文件名相同
- 签名 ID-仅限 MacOS;与Windows 公司名称列相同
- 签名类型-根据签名类型进行筛选
- 签名者名称-根据文件签名者筛选
- 状态(ESET LiveGuard)-根据可执行文件在分析工作流中的当前位置进行筛选
- 状态(ESET LiveGuard)-根据行为分析的结果或无结果进行筛选
- 提交状态(ESET LiveGuard)-根据提交状态进行筛选
- 威胁-根据计算机上未解决的威胁检测总数进行筛选
- 未解决-根据计算机上未解决的检测总数进行筛选
- 用户 ID - 仅适用于 MacOS;与Windows 文件描述列相同
- 警告-根据计算机上未解决的警告检测总数进行筛选
- 白名单类型-根据可执行文件是否在白名单中的信息进行筛选
脚本
- 命令行-根据命令行文件名的检测结果进行筛选
- 命令行长度-根据命令行长度(字符数)进行筛选
- 计算机-按计算机名称过滤。选择等于/不等于可包括/排除特定名称;在脚本选项卡中,按触发检测的计算机名称过滤
- 结束-按进程终止的时间筛选
- 第一个子模块名称-按子进程名称筛选
- 第一个 HTTP 请求-如果脚本访问网络,则按 HTTP 源地址筛选
- 用户全名--如果活动目录中有用户全名,则按用户全名进行筛选
- 完整性级别-根据完整性级别进行筛选
- 工作职位-根据用户的工作职位(如果活动目录中提供)进行筛选
- 上次更改日期-根据对象上次更改的日期进行筛选
- 最后更改类型-按对象的最后更改进行筛选
- 最后更改人-按最后更改对象的用户筛选
- 父模块名称-按父进程名称筛选
- 进程 ID-根据检测详细信息或进程名称 (ID)列中的进程 ID 进行筛选。您可以选择进程 ID 是否等于、大于、小于或不等于您要查找的进程 ID。或者选择 "已知 "或 "未知",分别显示进程 ID 为已知或未知的脚本。
- 进程名称-根据您在检测详细信息中或进程名称(ID)列中找到的进程名称进行筛选
- 已解决的检测-根据特定计算机上已解决的检测总数进行筛选,不考虑严重程度
- 安全-按安全状态筛选
- 脚本片段-根据包含捕获的脚本片段的事件进行筛选
- Started(开始)- 根据此进程导致的进程执行时间进行筛选
- 未解决检测(唯一)-根据特定计算机上唯一未解决检测的总数进行筛选
- 用户部门-根据用户的部门(如果活动目录中提供)进行筛选
- 用户说明-根据用户说明(如果活动目录中提供)进行筛选
- 用户名-根据检测触发时登录计算机的用户账户进行筛选
通知
- 描述-根据通知的描述进行筛选
- 过期日期-根据通知的过期日期筛选
- 状态-根据通知状态筛选
- 时间戳-设置时间段:日期和时间
- 时间-根据发生时间筛选
规则
- 作者-创建或编辑时当前登录用户的名称
- 类别-根据类别名称筛选,您可以在编辑规则部分的类别标签中找到该名称
- 已启用-通过规则/排除进行筛选:已启用或已禁用
- 命中计数-通过该排除项排除的检测次数进行筛选
- 上次更改日期-根据对象上次更改的日期进行筛选
- 最后更改类型-根据对象的最后更改进行筛选
- 最后更改者-按最后更改对象的用户筛选
- MITRE ATT&CK™ TECHNIQUES-通过包含 MITRE ATT&CK™ TECHNIQUE ID 的规则进行筛选
- 操作系统名称-根据操作系统名称("Windows"、"macOS "或 "Linux")进行筛选
- 规则操作-根据规则操作进行筛选
- 规则正文-根据规则正文进行筛选
- 规则名称-按规则名称筛选
- 规则模块更新-通过规则模块更新的最新规则进行筛选
- 严重性得分-根据严重性的精确定义筛选:1-39 > 信息,40-69 > 警告,70-100 > 威胁
- 有效-筛选语法错误和标签无效的规则
排除
- 作者-创建或编辑时当前登录用户的名称
- 已启用-通过规则/排除项进行筛选
- 命中计数-通过该排除项排除的检测次数进行筛选
- 上次更改日期-根据对象上次更改的日期筛选
- 最后更改类型-根据对象的最后更改(例如,标记为已解决、优先级更改)进行筛选
- 最后更改人-按最后更改对象的用户筛选
- 名称-按计算机、可执行文件、排除、任务、阻止的哈希值或报告名称进行筛选
- 规则数量-按规则数量筛选
- 规则名称-按规则名称筛选
- 规则模块更新-按规则模块更新的最新规则进行筛选
被阻止的哈希值
- 已清理-按文件清理时间筛选
- 文件描述-根据完整的文件描述进行筛选
- 首次看到(LiveGrid®)-筛选可执行文件在连接到 LiveGrid® 的任何计算机上首次看到的时间
- 最后更改日期-根据对象最后更改的日期进行筛选
- 最后更改类型-根据对象的最后更改进行筛选
- 最后更改人-按最后更改对象的用户筛选
- 名称-按计算机、可执行文件、排除、任务、阻止的哈希值或报告名称进行筛选
- 受欢迎程度(LiveGrid®)-根据有多少台计算机向 LiveGrid® 报告可执行文件进行筛选
- 声誉 (LiveGrid®)-按 1 到 9 的数字筛选,表示文件的安全程度:1-2 红色 = 恶意,3-7 黄色 = 可疑,8-9 绿色 = 安全
- SHA-1-通过可执行文件的哈希值进行筛选
- SHA-256-根据可执行文件的哈希值进行筛选
- 签名类型-根据签名类型筛选
- 签名者名称-根据文件签名者进行筛选
任务
- 作者-创建或编辑时当前登录用户的名称
- 创建-根据任务创建时间筛选
- 检测次数-按该任务触发的检测次数筛选
- 起始日期-按任务开始的日期筛选
- 组-根据特定计算机所属计算机组的名称进行筛选
- 上次更改日期-根据对象上次更改的日期筛选
- 上次更改类型-按对象的上次更改(例如,标记为已解决、优先级更改)进行筛选
- 最后更改人-按最后更改对象的用户筛选
- 名称-根据计算机、可执行文件、排除、任务、阻止的哈希值或报告名称进行筛选
- 进度-根据已启动任务的进度进行筛选
- 规则名称-按规则名称筛选
- 截止日期-按任务结束日期筛选
事件过滤器
- 作者-创建或编辑时当前登录用户的名称
- 已启用-按规则/排除进行筛选
- 筛选器名称-按事件筛选器名称筛选
- 命中计数-通过该排除项排除的检测次数进行筛选
- 最后更改日期-根据对象最后更改的日期进行筛选
- 最后更改类型-通过对象的最后更改进行筛选
- 最后更改人-按最后更改对象的用户筛选
- 操作系统名称-根据操作系统名称("Windows"、"macOS "或 "Linux")进行筛选
- 规则操作-按规则操作筛选
- 规则模块更新-根据规则模块更新的最新规则进行筛选
- 有效-筛选语法错误和标签无效的规则
审计日志
- 操作-从可用操作中选择一个
- 部分-从可用部分中选择一个
- 时间戳-设置时间段:日期和时间
- 用户-选择执行更改的用户
