Информация о событии Удаленное соединение

В окне с информацией о событиях типа Удаленное соединение содержатся следующие сведения:

• Дерево событий.
• Рекомендации по обработке события.
• Раздел Удаленное соединение:
  • Имя IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.

    По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.

    База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.

  • Время события – время попытки удаленного соединения.
  • Направление соединения – направление соединения (Входящее или Исходящее).
  • Удаленный IP-адрес – IP-адрес хоста, на который была произведена попытка удаленного соединения.
  • Локальный IP-адрес – IP-адрес локального компьютера, с которого была произведена попытка удаленного соединения.
  • Имя хоста – имя хоста, с которого была произведена попытка удаленного соединения.
  • Имя пользователя – имя пользователя, который пытался установить удаленное соединение.
• Раздел Родительский процесс:
  • Файл – имя файла родительского процесса.
  • MD5 – MD5-хеш файла родительского процесса.
  • SHA256 – SHA256-хеш файла родительского процесса.

По ссылке с именем файла раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Завершить процесс.
  • Завершить уникальный процесс.
  • Удалить файл.
  • Получить файл.
  • Поместить файл на карантин.
  • Выполнить программу.
• Скопировать значение в буфер.

По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Скопировать значение в буфер.

По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Найти на KL TIP.

  Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.

• Найти в хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Найти на KL TIP.
• Найти на virustotal.com.
• Найти в хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

См. также Информация о событиях Просмотр таблицы событий Просмотр информации о событии Информация о событиях в дереве событий Рекомендации по обработке событий Информация о событии Запущен процесс Информация о событии Загружен модуль Информация о событии Правило запрета Информация о событии Заблокирован документ Информация о событии Создан файл Информация о событии Событие в журнале Windows Информация о событии Изменение в реестре Информация о событии Прослушан порт Информация о событии Загружен драйвер Информация о событии Обнаружение Информация о событии Результат обработки обнаружения Информация о событии Интерпретированный запуск файла Информация о событии Интерактивный ввод команд в консоли

В начало