3. Använda enbart ESET Endpoint Antivirus
3.9 Arbeta med ESET Endpoint Antivirus
3.9.4 Verktyg
I menyn Verktyg finns moduler som förenklar programadministration och innehåller ytterligare alternativ för avancerade användare.
Denna meny innefattar följande verktyg:
· Loggfiler
· Skyddsstatistik
· Se aktivitet
· Processer som körs (om ESET LiveGrid® aktiverats i ESET Endpoint Antivirus)
· Schemaläggare
· Karantän
· ESET SysInspector
Skicka in prov för analys – gör det möjligt att skicka in en misstänkt fil till ESET:s forskningslabb för analys.
Dialogrutan som visas när det här alternativet väljs beskrivs i avsnittet Sändning av prover till analys.
ESET SysRescue – omdirigerar dig till ESET SysRescue Live-sidan där du kan hämta ESET SysRescue Live Image eller Live CD/USB Creator för Microsoft Windows-operativsystem.
86
3.9.4.1 Loggfiler
Loggfiler innehåller information om viktiga programhändelser som har inträffat och ger en översikt över upptäckta hot. Loggar utgör ett viktigt verktyg vid systemanalys, detektering av hot och vid felsökning. Loggning sker aktivt i bakgrunden utan att användaren behöver göra något. Informationen som sparas baseras på loggens aktuella utförlighetsinställningar. Det går att visa textmeddelanden och loggar direkt i ESET Endpoint Antivirus-miljön. Det går även att arkivera loggfiler.
Loggfilerna finns tillgängliga från huvudmenyn genom att klicka på Verktyg > Loggfiler. Välj önskad loggtyp i rullgardinsmenyn Logg. Följande loggar finns tillgängliga:
· Upptäckta hot – i hotloggen sparas detaljerad information om de infiltreringar som upptäckts av ESET Endpoint Antivirus-modulerna. Bland informationen finns tiden för upptäckt, infiltreringens namn, plats, utförd åtgärd och namnet på den användare som var inloggad vid den tidpunkt då infiltreringen upptäcktes. Dubbelklicka på loggposten för att visa detaljerna i ett separat fönster.
· Händelser – alla viktiga åtgärder som utförs av ESET Endpoint Antivirus sparas i händelseloggen. I händelseloggen finns information om händelser och fel som uppstått i programmet. Det är utformat för att hjälpa
systemadministratörer och användare lösa problem. Informationen i loggfiler hjälper ofta till att hitta en lösning på ett problem i programmet.
· Genomsökning av datorn – alla genomsökningsresultat visas i det här fönstret. Varje rad motsvarar en enskild kontrollåtgärd. Dubbelklicka på en post för att visa information om respektive genomsökning av datorn.
· Blockerade filer – innehåller information om filer som blockerats och inte varit åtkomliga. I protokollet framgår anledningen och källmodulen som blockerade filen samt vilken app och användare som kört filen.
· HIPS – innehåller poster för vissa regler som markerades för registrering. Protokollet visar programmet som anropade åtgärden, resultatet (om regeln tilläts eller var förbjuden) och den skapade regelns namn.
· Filtrerade webbplatser – Denna lista är praktisk om du vill visa en lista med alla webbplatser som blockerades av Webbåtkomstskydd. I dessa loggar visas tid, webbadress, användare och program som öppnade en anslutning till en viss webbplats.
· Enhetskontroll – innehåller poster med flyttbara medier eller enheter som anslutits till datorn. Endast enheter med en enhetskontrollregel registreras i loggfilen. Om regeln inte motsvarar en ansluten enhet skapas inte en loggpost för en ansluten enhet. Här går det även att visa information såsom enhetstyp, serienummer,
leverantörsnamn och mediastorlek (om tillgängligt).
Den visade informationen i varje avsnitt går att kopiera till Urklipp (tangentbordsgenväg Ctrl + C) genom att välja posten och klicka på Kopiera. Välj flera poster med tangenterna Ctrl och Shift.
Klicka på Filtrering för att öppna fönstret Loggfiltrering där filtreringskriterierna kan anges.
Visa en kontextmeny genom att högerklicka på en post. Följande alternativ är tillgängliga i kontextmenyn:
· Visa – visar mer utförlig information om den valda loggen i ett nytt fönster.
· Filtrera samma poster – aktivera detta filter för att endast visa poster av samma typ (diagnostik, varningar...).
· Filter.../Sök... – när du klickar på det här alternativet kan du ange filtreringskriterier för specifika loggposter i fönstret Sök i logg.
· Aktivera filter – aktiverar filterinställningarna.
· Inaktivera filter – rensar alla inställningar i filtret (enligt beskrivning ovan).
· Kopiera/Kopiera alla – kopierar information om alla posterna i fönstret.
· Ta bort/Ta bort alla – tar bort vald(a) post(er) eller alla visade poster – denna åtgärd kräver administratörsbehörighet.
· Exportera... – Exporterar information om posterna i XML-format.
· Exportera alla... – exportera information om posterna i XML-format.
· Bläddra i loggen – låt alternativet vara aktiverat för att bläddra automatiskt och visa aktiva loggar i fönstret Loggfiler.
3.9.4.1.1 Sök i logg
I loggfilerna lagras information om viktiga systemhändelser. Funktionen för loggfiltrering gör det möjligt att visa poster om en viss typ av händelse.
Ange sökordet i fältet Sök text. Om du vill söka efter nyckelordet i vissa kolumner, ändra filtret i rullgardinsmenyn Sök i kolumner.
Posttyper – välj en eller flera posttyper i listrutan:
· Diagnostik – loggar information som behövs för att fininställa programmet och alla poster ovan.
· Informativ – loggar alla informationsmeddelanden, inklusive framgångsrika uppdateringar och alla poster ovan.
· Varningar – registrerar kritiska fel och varningsmeddelanden.
· Fel – fel som ”Fel när filen hämtades” och kritiska fel registreras.
· Kritiska – loggar endast kritiska fel (fel vid start av antivirusskyddet, osv.).
Tidsperiod – definiera tidsperioden för vilken du vill visa resultat.
Matcha endast hela ord – markera den här kryssrutan om du vill söka efter hela ord för mer exakta resultat.
Skiftlägeskänslig – aktivera detta alternativ om det är viktigt att använda stora eller små bokstäver i filtret.
Sök uppåt – Sökresultat som förekommer högre i dokumentet visas först.
3.9.4.2 Inställning av proxyserver
I stora LAN-nätverk kan kommunikationen mellan datorn och Internet gå via en proxyserver. När den här konfigurationen används behöver följande inställningar göras. Annars går det inte att uppdatera programmet automatiskt. Inställningar för proxyserver i ESET Endpoint Antivirus är tillgängliga i två olika avsnitt i trädet Avancerade inställningar.
Först går det att konfigurera inställningarna för proxyserver i Avancerade inställningar under Verktyg > Proxyserver.
Anges proxyservern på denna nivå definieras de globala proxyserverinställningarna för hela ESET Endpoint Antivirus. Dessa parametrar används av alla moduler som kräver anslutning till Internet.
Ange proxyserverinställningarna för denna nivå genom att välja Använd proxyserver och ange adressen till proxyservern i fältet Proxyserver tillsammans med proxyserverns portnummer.
Om kommunikationen med proxyservern kräver autentisering, välj Proxyservern kräver autentisering och ange ett giltigt Användarnamn och Lösenord i respektive fält. Klicka på Identifiera för att automatiskt identifiera och fylla i inställningarna för proxyservern. Det inställda parametrarna i Internet Explorer kopieras.
OBS!
Användarnamnet och lösenordet måste fyllas i manuellt i Proxyserver-inställningarna.
Använd direktanslutning om proxy inte är tillgänglig – om en produkt är konfigurerad att använda HTTP-proxy och proxyn inte kan nås, så åsidosätter produkten proxyn och kommunicerar direkt med ESET:s servrar.
Proxyserverns inställningar går även att ställa in i Avancerade uppdateringsinställningar (Avancerade inställningar >
Uppdatera > Profiler > Uppdateringar > Anslutningsalternativ genom att välja Anslutning via en proxyserver i listrutan Proxyläge). Dessa inställningar gäller den aktuella uppdateringsprofilen och rekommenderas för bärbara datorer, som ofta tar emot uppdateringar av detekteringsmotorn från fjärrplatser. Ytterligare information om denna inställning finns i avsnittet Avancerade uppdateringsinställningar.
88
3.9.4.3 Schemaläggare
Schemaläggaren hanterar och startar schemalagda aktiviteter med fördefinierade inställningar och egenskaper.
Det går att hitta Schemaläggare i ESET Endpoint Antivirus huvudmeny genom att klicka på Verktyg. Schemaläggaren innehåller en lista med alla schemalagda aktiviteter och konfigurationsegenskaper som t.ex. förinställt datum, tid och använd genomsökningsprofil.
Schemaläggaren används för att schemalägga följande aktiviteter: uppdatering av detekteringsmotor,
genomsökning, kontroll av systemstartfiler och underhåll av loggfiler. Det går att lägga till eller ta bort aktiviteter direkt i Schemaläggarens huvudfönster (klicka på Lägg till aktivitet eller Ta bort längst ned). Du kan utföra följande åtgärder genom att högerklicka var som helst i Schemaläggarens fönster: visa detaljerad information, utföra
aktiviteten omedelbart, lägga till en ny aktivitet eller ta bort en befintlig aktivitet. Aktivera/inaktivera aktiviteterna med hjälp av kryssrutorna i början av varje post.
Som standard visas följande schemalagda aktiviteter i Schemaläggaren:
· Loggunderhåll
· Vanlig automatisk uppdatering
· Automatisk uppdatering efter modemuppkoppling
· Automatisk uppdatering efter inloggning
· Kontroll av filer som startas automatiskt (när användaren loggat in)
· Kontroll av filer som startas automatiskt (efter lyckad moduluppdatering)
Redigera konfigurationen för en befintlig schemalagd aktivitet (både standard och användardefinierad), genom att högerklicka på aktiviteten och klicka på Redigera... eller markera den aktivitet du vill ändra och klicka på knappen Redigera.
Lägg till ny aktivitet
1. Klicka på Lägg till aktivitet längst ned i fönstret.
2. Namnge aktiviteten.
3. Välj önskad aktivitet på rullgardinsmenyn:
· Kör externt program – schemalägger körning av ett externt program.
· Underhåll av loggning – loggfiler innehåller även rester från borttagna poster. Denna aktivitet optimerar regelbundet posterna i loggfiler för effektiv funktion.
· Kontroll av filer som startas automatiskt – kontrollerar filer som tillåts köra vid systemstart eller inloggning.
· Skapa en genomsökning av datorn – skapar en avbildning av datorn i ESET SysInspector – samlar in detaljerad information om systemkomponenter (t.ex. drivrutiner och program) och utvärderar risknivån för varje komponent.
· Genomsökning av datorn på begäran – utför genomsökning av filer och mappar på datorn.
· Uppdatering – schemalägger en uppdateringsaktivitet genom att uppdatera detekteringsmotorn och programmodulerna.
4. Välj Aktiverad om du vill aktivera åtgärden (du kan göra detta senare genom att markera/avmarkera kryssrutan i listan över schemalagda aktiviteter), klicka på Nästa och välj något av tidsalternativen:
· En gång – aktiviteten utförs vid det datum och den tidpunkt som angetts.
· Flera gånger – aktiviteten utförs regelbundet med angivet tidsintervall.
· Dagligen – aktiviteten körs varje dag vid den angivna tidpunkten.
· Varje vecka – aktiviteten körs angiven dag och tidpunkt.
· När en händelse utlöser den – aktiviteten utförs efter en angiven händelse.
5. Välj Hoppa över aktivitet när datorn körs på batteri för att minimera systemresurserna när datorn körs på batteri.
Aktiviteten körs vid det datum och den tidpunkt som angetts i fältet Utförande av aktivitet. Om aktiviteten inte kunde köras vid den förutbestämda tidpunkten, ange när den ska utföras igen:
· Vid nästa schemalagda tid
· Så snart som möjligt
· Omedelbart om tiden sedan senaste körning överskrider angivet värde (intervallet kan anges i rullningsrutan Tid sedan senaste körning)
Du kan granska den schemalagda aktiviteten genom att högerklicka och klicka på Visa aktivitetsinformation.
3.9.4.4 Skyddsstatistik
Visa en graf över statistiska data från skyddsmodulerna i ESET Endpoint Antivirus genom att klicka på Verktyg >
Skyddsstatistik. Välj önskad skyddsmodul i rullgardinsmenyn Statistik för att se motsvarande graf och förklaring. Om du håller muspekaren över ett objekt i förklaringen visas endast data för det objektet i grafen.
Följande statistikgrafer finns tillgängliga:
· Skydd mot virus och spionprogram – visar antalet infekterade och rensade objekt.
· Skydd av filsystemet i realtid – visar endast objekt som lästes eller skrevs till filsystemet.
· Skydd av e-postklienter – visar endast objekt som skickades eller mottogs av e-postklienter.
· Webbåtkomstskydd och skydd mot nätfiske – visar endast objekt som har hämtats av webbläsare.
Intill statistikgraferna visas antal genomsökta objekt, antal infekterade objekt, antal rensade objekt och antal rena objekt. Klicka på Återställ om du vill rensa statistikinformationen eller klicka på Återställ alla om du vill rensa och ta bort all befintlig data.
90
3.9.4.5 Se aktivitet
Visa graf för aktuell Filsystemsaktivitet genom att klicka på Verktyg > Se aktivitet. Längst ned i grafen finns en tidslinje där filsystemsaktiviteten registreras i realtid baserat på det angivna tidsintervallet. Om du vill ändra tidsintervallet väljer du från listrutan Uppdateringshastighet.
Följande alternativ finns tillgängliga:
· Stega: 1 sekund – grafen uppdateras varje sekund och tidslinjen täcker de senaste 10 minuterna.
· Stega: 1 minut (senaste 24 timmarna) – grafen uppdateras varje minut och tidslinjen täcker de senaste 24 timmarna.
· Stega: 1 timme (senaste månaden) - grafen uppdateras varje timme och tidslinjen täcker den senaste månaden.
· Stega: 1 timme (vald månad) – grafen uppdateras varje timme och tidslinjen täcker de X valda månaderna.
Den lodräta axeln i grafen Filsystemsaktivitet representerar mängden lästa data (blå) och mängden skrivna data (röd). Båda värdena anges i kB (kilobyte)/MB/GB. Om du håller muspekaren över förklaringen för antingen lästa data eller skrivna data under grafen, visas endast data för den aktivitetstypen i grafen.
3.9.4.6 ESET SysInspector
ESET SysInspector är ett program som grundligt undersöker din dator, samlar detaljerad information om systemkomponenter, som t.ex. drivrutiner och program, nätverksanslutningar eller viktiga registerposter och utvärderar risknivån för varje komponent. Informationen kan hjälpa till att fastställa orsaken till misstänkta systemfunktioner som kan ha uppstått på grund av inkompatibla program- eller maskinvaror eller infektion av skadlig programvara.
SysInspector-fönstret visar följande information om skapade loggar:
· Tid – tiden då loggen skapades.
· Kommentar – en kort kommentar.
· Användare – namnet på användaren som skapade loggen.
· Status – status för loggskapande.
Följande åtgärder finns tillgängliga:
· Öppna – öppnar den skapade loggen. Du kan även högerklicka på en viss loggfil och välja Visa på kontextmenyn.
· Jämför – jämför två befintliga loggar.
· Skapa... – skapar en ny logg. Vänta tills ESET SysInspector är klart (loggstatusen visas som Skapad) innan du försöker komma åt loggen.
· Ta bort – tar bort vald eller valda loggar från listan.
Följande objekt är tillgängliga på kontextmenyn när en eller flera loggfiler väljs:
· Visa – öppnar markerad logg i ESET SysInspector (samma funktion som att dubbelklicka på en logg).
· Jämför – jämför två befintliga loggar.
· Skapa... – skapar en ny logg. Vänta tills ESET SysInspector är klart (loggstatusen visas som Skapad) innan du försöker komma åt loggen.
· Ta bort alla – tar bort alla loggar.
· Exportera... – exporterar loggen till en .xml-fil eller zippad .xml.
3.9.4.7 ESET LiveGrid®
är ett avancerat system för tidig varning bestående av flera molnbaserade tekniker. Det hjälper till att upptäcka nya hot baserat på rykte och förbättrar genomsökningsprestanda med hjälp av vitlistning. Ny hotinformation strömmas i realtid till molnet, vilket gör det möjligt för ESET:s viruslabb att hålla skyddet aktuellt för en konstant skyddsnivå.
Användare kontrollerar ryktet för filer och processer som körs direkt från programmets gränssnitt eller kontextmeny med ytterligare information från ESET LiveGrid®. Välj ett av följande alternativ när ESET Endpoint Antivirus
installeras:
1. Du kan besluta att inte aktivera ESET LiveGrid®. Du missar inga programfunktioner, men i vissa fall kan ESET Endpoint Antivirus reagera långsammare på nya hot än uppdateringen av detekteringsmotorn.
2. Det går att konfigurera ESET LiveGrid® så att det skickar anonym information om nya hot och om var den nya hotfulla koden upptäcktes. Filen kan skickas till ESET för detaljerad analys. Genom att studera hoten kan ESET förbättra förmågan att upptäcka hot.
ESET LiveGrid® samlar in anonym information om din dator som är kopplad till nyupptäckta hot. Informationen kan bestå av ett exempel eller en kopia av filen som innehåller hotet, sökvägen till filen, filnamnet, datum och tid, sättet på vilket hotet uppträdde på datorn samt information om datorns operativsystem.
ESET Endpoint Antivirus är som standard konfigurerat så att misstänkta filer skickas för detaljerad analys till ESET:s viruslaboratorium. Filer med särskilda tillägg som .doc eller .xls är alltid undantagna. Det går att lägga till ytterligare filtillägg om du eller din organisation vill att andra filer inte heller skickas.
Med ESET LiveGrid®-ryktessystemet får du molnbaserad vitlistning och svartlistning. Om du vill komma åt
inställningarna för ESET LiveGrid® trycker du på F5 för att öppna Avancerade inställningar och expanderar Verktyg >
ESET LiveGrid®.
Aktivera ESET LiveGrid®-ryktessystemet (rekommenderas) – ESET LiveGrid®-ryktessystemet förbättrar
effektiviteten för ESET-lösningar mot skadlig programvara genom att genomsökta filer jämförs mot en databas med vit- och svartlistade objekt i molnet.
Skicka anonym statistik – tillåt att ESET samlar in information om nyligen upptäckta hot, såsom hotets namn, datum och tid då det upptäcktes, detekteringsmetod och associerade metadata, produktversion och -konfiguration, inklusive information om ditt system.
Skicka in filer – misstänkta filer som liknar hot och/eller filer med ovanliga egenskaper skickas till ESET för analys.
Välj alternativet Aktivera loggning för att skapa en händelselogg med filer som skickas och statistik. Det aktiverar loggning till Händelseloggen när filer eller statistik skickas.
E-postadress (valfritt) – din e-postadress skickas med de misstänkta filerna och används för att kontakta dig om ytterligare information är nödvändig för analysen. Observera att du endast får ett svar från ESET om ytterligare information är nödvändig.
92
Exkludering – med exkluderingsfiltret går det att exkludera vissa filer/mappar från att skickas in (det kan till exempel vara lämpligt att exkludera filer som kan innehålla konfidentiell information, som till exempel dokument eller kalkylblad). De filer som finns listade skickas inte till ESET:s labb för analys, även om de innehåller misstänkt kod. De vanligaste filtyperna är undantagna som standard (.doc osv.). Det går att lägga till filtyper till listan.
Om du har använt ESET LiveGrid® tidigare och inaktiverat det, finns det kanske datapaket att skicka. Sådana paket skickas till ESET även efter inaktivering. När all aktuell information skickats skapas inte fler paket.
3.9.4.8 Processer som körs
Processer som körs visar program eller processer som körs på datorn och håller ESET omedelbart och kontinuerligt informerad om nya infiltrationer. ESET Endpoint Antivirus ger detaljerad information om processer som körs för att skydda användare med ESET LiveGrid®-teknik aktiverad.
Risknivå – i de flesta fall tilldelar ESET Endpoint Antivirus med hjälp av ESET LiveGrid®-teknik risknivåer till objekt (filer, processer, registernycklar osv.) med hjälp av ett antal heuristiska regler så att egenskaperna för varje objekt granskas och risken för skadlig aktivitet utvärderas. Baserat på heuristiken kan objekt tilldelas en risknivå från 1 – Okej (grönt) till 9 – Riskfyllt (rött).
Process – avbildningsnamn för programmet eller processen som för närvarande körs på datorn. Det går även att använda Windows Aktivitetshanterare för att visa alla processer som körs i datorn. Det går att öppna
Aktivitetshanteraren genom att högerklicka på ett tomt utrymme på aktivitetsfältet och sedan klicka på Aktivitetshanteraren eller genom att trycka på Ctrl+Skift+Esc på tangentbordet.
PID – är ett ID för processer som körs i Windows-operativsystem.
OBS!
Kända program märkta som Okej (grön) är säkert rena (vitlistade) och undantas från genomsökning då detta ökar genomsökningshastigheten för genomsökning av datorn eller skydd av filsystemet i realtid på datorn.
Antal användare – antalet användare som använder ett visst program. Denna information samlas in med ESET LiveGrid®-teknik.
Identifieringstid – tiden sedan programmet identifierades av ESET LiveGrid®-tekniken.
OBS!
När ett program tilldelats säkerhetsnivån Okänd (orange) är det inte säkert att det är skadlig programvara. Det är ofta ett nytt program. Om du inte är säker på filen kan du skicka in filen för analys till ESET:s viruslaboratorium.
Om filen visar sig vara ett skadligt program läggs den till i någon av de kommande uppdateringarna av detekteringsmotorn.
Programnamn – namnet på ett visst program eller viss process.
Genom att klicka på ett program längst ned visas följande information längst ned i fönstret:
· Sökväg – platsen för programmet på din dator.
· Storlek – filstorlek i antingen kB (kilobyte) eller MB (megabyte).
· Beskrivning – filens egenskaper som de beskrivs av operativsystemet.
· Företag – namnet på försäljaren eller programprocessen.
· Version – information från programmets utgivare.
· Produkt – programmets namn och/eller affärsnamn.
· Skapad den – datum och tid då ett program skapades.
· Ändrad den – datum och tid då ett program ändrades senast.
OBS!
Rykte går även att kontrolleras på filer som inte är program/processer som körs - markera filer som ska kontrolleras, högerklicka på dem och välj Avancerade alternativ > Kontrollera filrykte med ESET LiveGrid® på kontextmenyn.
3.9.4.9 Sändning av prover till analys
Denna dialogruta gör det möjligt att skicka en fil eller plats till ESET för analys och finns i Verktyg > Skicka in prov för analys. Om du hittar en fil som beter sig misstänkt på datorn eller en misstänkt webbplats på internet kan du skicka den till ESET:s viruslaboratorium för analys. Om filen visar sig vara ett skadligt program eller en skadlig webbplats läggs den till i en kommande uppdatering.
Det går även att skicka filen med e-post. Om du föredrar detta alternativ, arkivera filerna med WinRAR/ZIP, skydda arkivet med lösenordet "infected" och skicka det till samples@eset.com. Kom i håg att skriva tydligt i ämnesraden vad det rör sig om och ta med så mycket information som möjligt om filen (t.ex. webbplatsen där du hämtade filen).
OBS!
Innan du skickar ett prov till ESET, kontrollera att det uppfyller ett eller flera av följande villkor:
· filen eller webbplatsen är inte alls detekterad,
· filen eller webbplatsen är felaktigt detekterad som ett hot.
Du får inget svar om inte närmare information krävs för en analys.
Välj beskrivningen på rullgardinsmenyn Orsak att skicka in provet som bäst motsvarar meddelandet:
· Misstänkt fil
· Misstänkt webbplats (en webbplats som är infekterad av skadlig kod),
· Falsk positiv fil (fil som detekterats som infekterad men inte är infekterad),
· Falsk positiv webbplats
· Annat
Fil/webbplats – sökväg till filen eller webbplatsen som du tänker skicka in.
94
E-postadress – e-postadressen skickas tillsammans med misstänkta filer till ESET och används för att kontakta dig om
E-postadress – e-postadressen skickas tillsammans med misstänkta filer till ESET och används för att kontakta dig om