Таблица событий отображается в разделе Поиск угроз окна веб-интерфейса программы после выполнения поиска угроз по базе событий. Вы можете сортировать события в таблице по столбцам Время события, Тип события, Хост и Имя пользователя.
Если вы используете режим распределенного решения, события в таблице сгруппированы по хостам выбранных серверов и организаций.
В таблице событий содержится следующая информация:
В таблице событий для каждого типа событий в столбце Тип события отображается свой набор данных в столбце Сведения (см. таблицу ниже).
Набор данных в столбце Событие для каждого типа событий в столбце Сведения
Тип события |
Сведения |
---|---|
Запущен процесс |
Имя файла процесса, который был запущен. SHA256- и MD5-хеш. |
Загружен модуль |
Имя динамической библиотеки, которая была загружена. SHA256- и MD5-хеш. |
Удаленное соединение |
URL-адрес, к которому была произведена попытка удаленного подключения. Имя файла, который пытался осуществить удаленное подключение. |
Правило запрета |
Имя файла приложения, запуск которого был заблокирован. SHA256- и MD5-хеш. |
Заблокирован документ |
Имя документа, запуск которого был заблокирован. SHA256- и MD5-хеш. |
Изменен файл |
Имя созданного файла. SHA256- и MD5-хеш. |
Журнал событий ОС |
Канал записи событий в системный журнал. Идентификатор типа события. |
Изменение в реестре |
Имя ключа в реестре. |
Прослушан порт |
Адрес сервера и порт. Имя файла процесса, который осуществляет прослушивание порта. |
Загружен драйвер |
Имя файла драйвера, который был загружен. SHA256- и MD5-хеш. |
Обнаружение |
Обнаружение. |
Результат обработки обнаружения |
Результат обработки обнаружения. |
AMSI-проверка |
Результат AMSI-проверки. |
Интерпретированный запуск файла |
Интерпретированный запуск файла. |
Интерактивный ввод команд в консоли |
Интерактивный ввод команд в консоли. |
Данные о событии AMSI-проверка доступны при интеграции Kaspersky Anti Targeted Attack Platform с программой Kaspersky Endpoint Agent для Windows версии 3.10 и выше и при интеграции Kaspersky Endpoint Agent с программой Kaspersky Endpoint Security для Windows версий 11.5 и выше. Если программа Kaspersky Endpoint Security для Windows не установлена на компьютер и не интегрирована с программой Kaspersky Endpoint Agent, информация о событии AMSI-проверка не записывается в базу событий и не отображается в веб-интерфейсе Kaspersky Anti Targeted Attack Platform.
Сервер Central Node формирует событие Обнаружение и Результат обработки обнаружения на основе данных, полученных от программ EPP. Если программы EPP не установлены на компьютер и не интегрированы с программой Kaspersky Endpoint Agent, информация об этих событиях не записывается в базу событий и не отображается в веб-интерфейсе Kaspersky Anti Targeted Attack Platform.
По ссылке с названием типа события, сведениями, дополнительной информацией и именем пользователя раскрывается список, в котором вы можете выбрать действие над объектом. В зависимости от значения в ячейке вы можете выполнить одно из следующих действий: