Таблица обнаружений

Kaspersky Anti Targeted Attack Platform обрабатывает данные из следующих источников:

• Зеркалированного трафика локальной сети организации (HTTP-, FTP- и DNS-протоколов).
• HTTP- и FTP-трафика, а также HTTPS-трафика, если администратор настроил подмену SSL-сертификата на прокси-сервере.
• Копий сообщений электронной почты, полученных по протоколу POP3, SMTP, а также копий сообщений электронной почты, полученных от программ Kaspersky Secure Mail Gateway или Kaspersky Security для Linux Mail Server, если они используется в вашей организации.
• Данных о запущенных процессах, открытых сетевых соединениях и изменяемых файлах, полученных от отдельных компьютеров, которые входят в IT-инфраструктуру организации и работают под управлением операционной системы Microsoft Windows.

Kaspersky Anti Targeted Attack Platform отображает обнаруженные признаки целевых атак и вторжений в IT-инфраструктуру организации в виде таблицы обнаружений.

В таблице обнаружений не отображается информация об объектах, для которых выполняется хотя бы одно из следующих условий:

• Объект имеет репутацию Доверенный в базе KSN.
• Объект имеет цифровую подпись одного из доверенных производителей:
  • "Лаборатория Касперского".
  • Google.
  • Apple.
  • Microsoft.

Информация об этих обнаружениях сохраняется в базе данных программы (на Central Node или SCN).

Информация об обнаружениях в базе данных ротируется ежедневно в ночное время при достижении максимально разрешенного количества обнаружений:

• Обнаружения, выполненные компонентами (IDS) Intrusion Detection System, (URL) URL Reputation – 100000 обнаружений для каждого из компонентов.
• Все остальные обнаружения – 20000 обнаружений для каждого из модулей или компонентов.

Если вы используете режим распределенного решения и multitenancy, то ротация производится на всех SCN, а затем происходит синхронизация с PCN. После синхронизации все удаленные обнаружения автоматически удаляются также на PCN.

Таблица обнаружений находится в разделе Обнаружения.

По умолчанию в разделе отображается информация только об обнаружениях, не обработанных пользователями. Если вы хотите, чтобы информация об обработанных обнаружениях тоже отображалась, включите переключатель Обработано в правом верхнем углу окна.

Вы можете сортировать обнаружения в таблице по графам Создано или Обновлено, Важность, Адрес источника и Состояние.

В таблице обнаружений содержится следующая информация:

1. VIP – наличие у обнаружения статуса с особыми правами доступа. Например, обнаружения со статусом VIP недоступны для просмотра пользователями программы Сотрудник службы безопасности.
2. Создано – время, в которое программа выполнила обнаружение и Обновлено – время, в которое обнаружение было обновлено.
3.  – важность обнаружения для пользователя Kaspersky Anti Targeted Attack Platform в соответствии с тем, какое влияние это обнаружение может оказать на безопасность компьютера или локальной сети вашей организации, по опыту "Лаборатории Касперского".

   Обнаружения могут принимать одну из следующих степеней важности:

   • Высокая, отмеченную знаком , – обнаружение высокой степени важности.
   • Средняя, отмеченную знаком , – обнаружение средней степени важности.
   • Низкая, отмеченную знаком , – обнаружение низкой степени важности.
4. Обнаружено – одна или несколько категорий обнаруженных объектов. Например, если программа обнаружила файл, зараженный вирусом Trojan-Downloader.JS.Cryptoload.ad, в поле Обнаружено будет указана категория Trojan-Downloader.JS.Cryptoload.ad для этого обнаружения.
5. Сведения – краткая информация об обнаружении. Например, имя обнаруженного файла или URL-адрес вредоносной ссылки.
6. Адрес источника – адрес источника обнаруженного объекта. Например, адрес электронной почты, с которого был отправлен вредоносный файл, или URL-адрес, с которого был загружен вредоносный файл.
7. Адрес назначения – адрес назначения обнаруженного объекта. Например, адрес электронной почты почтового домена вашей организации, на который был отправлен вредоносный файл, или IP-адрес компьютера локальной сети вашей организации, на который был загружен вредоносный файл.
8. Серверы – имена серверов, на которых выполнено обнаружение. Серверы относятся к той организации, с которой вы работаете в веб-интерфейсе программы. Информация о серверах отображается только когда вы работаете в режиме распределенного решения и multitenancy.
9. Технологии – названия модулей или компонентов программы, выполнивших обнаружение.

   В графе Технологии могут быть указаны следующие модули и компоненты программы:

   • (YARA) YARA.
   • (SB) Sandbox.
   • (URL) URL Reputation.
   • (IDS) Intrusion Detection System.
   • (AM) Anti-Malware Engine.
   • (TAA) Targeted Attack Analyzer.
   • (IOC) IOC.
10. Состояние – состояние обнаружения в зависимости от того, обработал пользователь Kaspersky Anti Targeted Attack Platform это обнаружение или нет.

    Обнаружения могут быть в одном из следующих состояний:

    • Новое – новые обнаружения.
    • В обработке – обнаружения, которые один из пользователей Kaspersky Anti Targeted Attack Platform уже обрабатывает.
    • Повторная проверка – обнаружения, выполненные в результате повторной проверки объекта.

    Кроме того, в этой графе отображается имя пользователя, которому назначено данное обнаружение. Например, Administrator.

Если информация в графах таблицы отображается в виде ссылки, по ссылке раскрывается список, в котором вы можете выбрать действие над объектом. В зависимости от типа значения ячейки вы можете выполнить одно из следующих действий:

• Любой тип значения ячейки:
  • Добавить в фильтр.
  • Исключить из фильтра.
  • Скопировать значение в буфер.
• MD5-хеш:
  • Добавить в фильтр.
  • Исключить из фильтра.
  • Найти события.
  • Найти на KL TIP.
  • Создать правило запрета.
  • Скопировать значение в буфер.
• SHA256-хеш:
  • Добавить в фильтр.
  • Исключить из фильтра.
  • Найти события.
  • Найти на KL TIP.
  • Создать правило запрета.
  • Скопировать значение в буфер.
• IP-адрес назначения: Найти события.
• Состояние обнаружения:
  • Назначить мне.
  • Отметить как обработанное.

Модуль Intrusion Detection System консолидирует информацию об обработанных сетевых событиях в одном обнаружении при одновременном соблюдении следующих условий:

• для сетевых событий совпадает название сработавшего правила, версия баз программы и источник;
• между событиями прошло не более 24 часов.

Для всех сетевых событий, удовлетворяющих этим условиям, отображается одно обнаружение. В уведомлении об обнаружении содержится информация только о первом сетевом событии.

В начало