Информация о событии Обнаружение

В окне с информацией о событии типа Обнаружение содержатся следующие сведения:

• Дерево событий.
• Рекомендации по обработке события.
• На закладке Сведения в разделе Обнаружение:
  • Имя IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.

    По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.

    База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.

    Поле отображается, если при создании события сработало правило TAA (IOA).

  • Обнаружено – имя обнаруженного объекта. По ссылке с именем объекта раскрывается список, в котором вы можете выбрать одно из следующих действий:
    • Найти события.
    • Просмотреть на Kaspersky Threats Portal.
    • Скопировать значение в буфер.
  • Последнее действие – последнее действие над обнаруженным объектом.
  • Имя объекта – полное имя файла, в котором обнаружен объект.
  • MD5 – MD5-хеш файла, в котором обнаружен объект.
  • SHA256 – SHA256-хеш файла, в котором обнаружен объект.
  • Тип объекта – тип объекта (например, файл).
  • Режим обнаружения – режим проверки, в котором выполнено обнаружение.
  • Время события – дата и время события.
  • ID записи – идентификатор записи об обнаружении в базе.
  • Версия баз – версия баз, с помощью которых выполнено обнаружение.
  • Содержание – содержание скрипта, переданного на проверку.

    Вы можете скачать эти данные, нажав на кнопку Сохранить в файл.

• На закладке Сведения в разделе Инициатор события:
  • Файл – путь к файлу родительского процесса.

    По ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:

    • Найти события.
    • Найти обнаружения.
    • Выполнить задачи:
      • Завершить процесс.
      • Завершить по уникальному PID.
      • Удалить файл.
      • Получить файл.
      • Получить список файлов, процессов.
      • Поместить файл на карантин.
    • Скопировать значение в буфер.
  • ID процесса – идентификатор родительского процесса.
  • Параметры запуска – параметры запуска родительского процесса.
  • MD5 – MD5-хеш файла родительского процесса.
  • SHA256 – SHA256-хеш файла родительского процесса.
• На закладке Сведения в разделе Сведения о системе:
  • Имя хоста – имя хоста, на котором выполнено обнаружение.

    По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

    • Найти события.
    • Найти обнаружения.
    • Выполнить задачи:
      • Завершить процесс.
      • Удалить файл.
      • Получить файл.
      • Получить список файлов, процессов.
      • Поместить файл на карантин.
      • Выполнить программу.
    • Скопировать значение в буфер.
  • Имя пользователя – учетная запись пользователя, от имени которой было совершено действие над обнаруженным объектом.
  • Версия ОС – версия операционной системы, используемой на хосте.
• На закладке История в таблице:
  • Тип – тип события: Обнаружение или Результат обработки обнаружения.
  • Описание – описание события.
  • Время – дата и время обнаружения и результата обработки обнаружения.

По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Найти на KL TIP.

  Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.

• Найти в хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Найти на KL TIP.
• Найти на virustotal.com.
• Найти в хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

Сервер Central Node формирует событие Обнаружение на основе данных, полученных от программ EPP. Если программы EPP не установлены на компьютер и не интегрированы с программой Kaspersky Endpoint Agent, информация о событии Обнаружение не записывается в базу событий и не отображается в веб-интерфейсе Kaspersky Anti Targeted Attack Platform.

См. также Информация о событиях Просмотр таблицы событий Просмотр информации о событии Информация о событиях в дереве событий Рекомендации по обработке событий Информация о событии Запущен процесс Информация о событии Загружен модуль Информация о событии Удаленное соединение Информация о событии Правило запрета Информация о событии Заблокирован документ Информация о событии Изменен файл Информация о событии Журнал событий ОС Информация о событии Изменение в реестре Информация о событии Прослушан порт Информация о событии Загружен драйвер Информация о событии Результат обработки обнаружения Информация о событии Интерпретированный запуск файла Информация о событии AMSI-проверка Информация о событии Интерактивный ввод команд в консоли

В начало