Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.
По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.
База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.
Поле отображается, если при создании события сработало правило TAA (IOA).
Путь к ключу – путь к разделу реестра, в котором произошло изменение.
Имя параметра – например, RegistrySizeLimit.
Значение параметра – значение параметра реестра.
Тип параметра – например, REG_DWORD.
Время события – время внесения изменения в реестр.
При изменении имени или параметра ключа реестра могут отображаться дополнительные поля с информацией о состоянии ключа реестра до его изменения:
поле Предыдущий путь к ключу отображается при изменении имени ключа реестра;
поле Предыдущее значение параметра отображается при изменении значения параметра реестра;
поле Предыдущий тип параметра отображается при изменении типа параметра реестра.
Kaspersky Anti Targeted Attack Platform получает данные, необходимые для заполнения полей Предыдущий путь к ключу, Предыдущее значение параметра, Предыдущий тип параметра, только при интеграции Kaspersky Anti Targeted Attack Platform с программой Kaspersky Endpoint Agent для Windows версии 3.10 и выше. При интеграции программы с предыдущими версиями Kaspersky Endpoint Agent указанные поля не будут отображаться в информации о событии.
Раздел Инициатор события:
Файл – путь к файлу родительского процесса. По ссылке с путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:
Имя хоста – имя хоста, на котором было произведено изменение в реестре. По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:
IP хоста – IP-адрес хоста, на котором было произведено изменение в реестре.
Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный хосту на момент создания события.
Программа не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес хоста не отображается.
Имя пользователя – имя пользователя, совершившего изменение в реестре.
Версия ОС – версия операционной системы, используемой на хосте.
Вы можете получать информацию о модификации выбранного ключа реестра, отредактировав или заменив конфигурационный файл Kaspersky Anti Targeted Attack Platform. Для редактирования и замены конфигурационного файла программы требуется обратиться в Службу технической поддержки.
Настоятельно не рекомендуется выполнять какие-либо операции с конфигурационным файлом Kaspersky Anti Targeted Attack Platform в режиме Technical Support Mode без консультации или указания сотрудников Службы технической поддержки.