Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.
По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.
База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.
Поле отображается, если при создании события сработало правило TAA (IOA).
Файл – имя файла процесса.
ID процесса – идентификатор процесса.
Параметры запуска – параметры запуска процесса.
MD5 – MD5-хеш файла процесса.
SHA256 – SHA256-хеш файла процесса.
Размер – размер файла процесса.
Время события – время запуска процесса.
Процесс завершен – время завершения процесса.
Время создания – время создания файла процесса.
Время изменения – время последнего изменения файла процесса.
Если событие было записано в базу событий программой Kaspersky Endpoint Agent для Linux, в разделе Запущен процесс также отображается поле Команда – команда, с помощью которой был запущен процесс.
Раздел Сведения:
Название программы – например, название операционной системы.
Производитель – например, производитель операционной системы.
Если событие было записано в базу событий программой Kaspersky Endpoint Agent для Linux, в разделе Родительский процесс также отображается поле Команда – команда, с помощью которой был запущен родительский процесс.
Раздел Сведения о системе:
Имя хоста – имя хоста, на котором был запущен процесс.
IP хоста – IP-адрес хоста, на котором был запущен процесс.
Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный хосту на момент создания события.
Программа не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес хоста не отображается.
Тип учетной записи – тип учетной записи, под которой был запущен процесс. Например, администратор.
Тип входа в систему – например, с помощью запущенной службы.
Имя пользователя – имя пользователя, запустившего процесс.
Версия ОС – версия операционной системы, используемой на хосте.
Если событие было записано в базу событий программой Kaspersky Endpoint Agent для Linux, в разделе Сведения о системе также отображается поле Вход с удаленного хоста – имя хоста, с которого был совершен удаленный вход в систему.
По ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:
В информации о событии, записанном в базу событий программой Kaspersky Endpoint Agent для Linux, по ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:
В информации о событии, записанном в базу событий программой Kaspersky Endpoint Agent для Linux, по ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий: