Информация о событии Обнаружение

В окне с информацией о событии типа Обнаружение содержатся следующие сведения:

Дерево событий.
На закладке Сведения в блоке параметров Обнаружение:
- Имя IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.
  По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.
  
  База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.
- Время события – дата и время события.
- Обнаружено – имя обнаруженного объекта. По ссылке с именем объекта раскрывается список, в котором вы можете выбрать одно из следующих действий:
  - Найти события – найти все события, в которых был обнаружен этот объект.
  - Просмотреть на Kaspersky Threats Portal.
  - Скопировать значение в буфер.
- Последнее действие – последнее действие над обнаруженным объектом.
- Имя хоста – имя хоста, на котором выполнено обнаружение.
- Имя пользователя – учетная запись пользователя, от имени которой было совершено действие над обнаруженным объектом.
- Тип объекта – тип объекта (например, файл).
- Имя объекта – полное имя файла, в котором обнаружен объект.
- MD5 – MD5-хеш файла, в котором обнаружен объект.
- SHA256 – SHA256-хеш файла, в котором обнаружен объект.
- Режим обнаружения – режим проверки, в котором выполнено обнаружение.
- ID записи – идентификатор записи об обнаружении в базе.
- Версия баз – версия баз, с помощью которых выполнено обнаружение.
На закладке Сведения в блоке параметров Родительский процесс:
- Файл – путь к файлу родительского процесса.
- MD5 – MD5-хеш файла родительского процесса.
- SHA256 – SHA256-хеш файла родительского процесса.
- ID процесса – идентификатор родительского процесса.
- Параметры запуска – параметры запуска родительского процесса.
На закладке История в таблице:
- Тип – тип события: Обнаружение и Результат обработки обнаружения.
- Описание – описание события.
- Время – дата и время обнаружения и результата обработки обнаружения.

По ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:

По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

Найти события.
Найти обнаружения.
Скопировать значение в буфер.

По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:

Найти события.
Найти обнаружения.
Найти на KL TIP.
Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.
Найти в хранилище.
Создать правило запрета.
Скопировать значение в буфер.

По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:

Найти события.
Найти обнаружения.
Найти на KL TIP.
Найти на virustotal.com.
Найти в хранилище.
Создать правило запрета.
Скопировать значение в буфер.

Сервер Kaspersky Anti Targeted Attack Platform формирует событие Обнаружение на основе данных, полученных от программ EPP. Если программы EPP не установлены на компьютер и не интегрированы с программой Kaspersky Endpoint Agent, информация о событии Обнаружение не записывается в базу событий и не отображается в веб-интерфейсе программы.

См. также

Информация о событиях

Просмотр таблицы событий

Просмотр информации о событии

Информация о событиях в дереве событий

Рекомендации по обработке событий

Информация о событии Запущен процесс

Информация о событии Загружен модуль

Информация о событии Удаленное соединение

Информация о событии Правило запрета

Информация о событии Заблокирован документ

Информация о событии Создан файл