Die Seite mit Prozessverhaltensdetails enthält Informationen zu Systemänderungen, die durch Ausführen von Dateien auf einem Endgerät aufgetreten sind. Symantec Endpoint Detection and Response stellt auch die Attribute zur Verfügung, die mit den Systemänderungen verknüpft sind. Eine Seite mit Prozessverhaltensdetails ist nur verfügbar, wenn ein Prozess auf einem Endgerät auftritt und mindestens ein Ereignis im Prozess bösartig ist.

Siehe Info zum Analysieren des auf Endgeräten auftretenden Prozessverhaltens.

So zeigen Sie ausführliche Informationen zu einem Prozessverhalten an

  • Sie haben folgende Möglichkeiten:

Rechts neben der Grafik werden folgende Informationen angezeigt:

SHA256

Der sichere 256-Bit-Hash-Wert der Datei. Zeigen Sie mit der Maus auf dieses Feld, um den vollständigen Hash-Wert anzuzeigen.

FILE NAME (Dateiname)

Der Name der Datei, wie er auf dem Hostcomputer angezeigt wird.

MD5

Das MD5-Hash, das mit dem SHA256-Hash dieser Datei verknüpft ist.

HOST NAME (Hostname)

Der Hostname des Computers, auf dem diese Datei sich befindet.

LAST IP ADDRESS (Letzte IP-Adresse)

Die letzte von SEP gemeldete IP-Adresse für dieses Endgerät.

Prozessverhalten

Ein Prozess wird durch eine Gruppe von Systemänderungen dargestellt. Jeder Prozess hat einen anderen Datums-/Uhrzeitbereich. Symantec EDR zeigt die Prozesse in der Reihenfolge an, in der sie auf dem Endgerät durchgeführt wurden. Klicken Sie zum Anzeigen der mit der Systemänderung verknüpften Attribute ("dynamische Dateiattribute") ganz rechts in der Zeile auf den Pfeil nach unten. Die Daten für die dynamischen angezeigten Dateiattribute gelten nur für diesen Prozess. Andere Prozesse enthalten andere Attribute - je nach den für Symantec EDR verfügbaren Informationen. Zum Ausblenden der Details klicken Sie ganz rechts in der Zeile auf den Pfeil nach oben.

Mit Symantec EDR können Sie Prozesse filtern, um die Liste einzuschränken. Klicken Sie auf "Show Filters", um die Filter anzuzeigen. Wählen Sie den Prozess aus, nach dem gefiltert werden soll. (Es werden sofort Ergebnisse angezeigt.) Klicken Sie auf "Hide Filters", um die Filter auszublenden. Symantec EDR behält die Filterauswahl bei, bis Sie die Filterkriterien zurücksetzen oder die Seite aktualisieren.

Die Tabelle "Process Behavior" (Prozessverhalten) enthält die folgenden Informationen:

Typ

Prozesse werden in folgende Typen unterteilt:

  • Registry

  • File

  • Internet Explorer

  • Windows-Einstellungen

  • Prozess

  • Load point (Ladepunkt)

Beschreibung

Die Prozessbeschreibung lautet wie folgt:

<Actor> <Action> <Target>

wobei <Actor> das Objekt ist, das die Aktion durchführt. Dies kann eine Datei oder ein Prozess sein. <Action> ist die Aufgabe, die der Akteur durchführt. Verfügbare Aktionen: created (erstellt), deleted (gelöscht), renamed (umbenannt), updated (aktualisiert), disabled (deaktiviert), loaded (geladen), executed (ausgeführt), initiated (initiiert) und modified (geändert). <Target> ist das Objekt, auf das die Aktion ausgeführt wurde.

Date (Datum)

Das Datum und die Zeit des Ereignisses in UTC.

Siehe Beispiel für Prozessverhalten

Legacy ID: v117055294_v128921691

Vielen Dank für Ihr Feedback. Wenn Sie weitere Kommentare haben, können Sie diese unten eingeben. (Einloggen erforderlich)

    © 1995-2019 Symantec Corporation