Поиск событий в режиме конструктора

Чтобы задать условия поиска событий в режиме конструктора:

В окне веб-интерфейса программы выберите раздел Поиск угроз, закладку Конструктор.
Откроется форма поиска событий.
В раскрывающемся списке выберите критерий для поиска событий.
Доступные критерии для поиска событий
- В группе Общие сведения:
  - Host – имя хоста.
  - HostIP – IP-адрес хоста.
  - EventType – тип события.
  - UserName – имя пользователя.
  - OsFamily – семейство операционной системы.
  - OsVersion – версия операционной системы, используемой на хосте.
- В группе Свойства TAA:
  - IOAId – идентификатор правила TAA (IOA).
  - IOATag – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.
  - IOATechnique – техника MITRE.
  - IOATactics – тактика MITRE.
  - IOAImportance – степень важности, присвоенная событию, выполненному по этому правилу TAA (IOA).
  - IOAConfidence – уровень надежности в зависимости от вероятности ложных срабатываний правила.
- В группе Свойства файла:
  - CreationTime – время создания события.
  - FileName – имя файла.
  - FilePath – путь к директории, в которой располагается файл.
  - FileFullName – полный путь к файлу. Включает путь к директории и имя файла.
  - ModificationTime – время изменения файла.
  - FileSize – размер файла.
  - MD5 – MD5-хеш файла.
  - SHA256 – Sha256-хеш файла.
  - SimilarDLLPath – следующая по пути обхода DLL. Вредоносная DLL, помещенная в директорию по стандартному пути обхода, чтобы система загрузила ее раньше, чем исходную DLL.
- В группе Процессы Linux:
  - LogonRemoteHost – IP-адрес хоста, с которого был выполнен удаленный вход.
  - RealUserName – имя пользователя, назначенное ему при регистрации в системе.
  - EffectiveUserName – имя пользователя, которое было использовано для входа в систему.
  - Environment – переменные окружения.
  - ProcessType – тип процесса.
  - OperationResult – тип операции.
- В группе Запущен процесс:
  - PID – идентификатор процесса.
  - ParentFileFullName – путь к файлу родительского процесса.
  - ParentMD5 – MD5-хеш файла родительского процесса.
  - ParentSHA256 – SHA256-хеш файла родительского процесса.
  - StartupParameters – параметры запуска процесса.
  - ParentPID – идентификатор родительского процесса.
- В группе Удаленное соединение:
  - HTTPMethod – метод HTTP-запроса. Например, Get, Post или Connect.
  - ConnectionDirection – направление соединения (входящее или исходящее).
  - LocalIP – IP-адрес локального компьютера, с которого была произведена попытка удаленного соединения.
  - LocalPort – порт локального компьютера, с которого была произведена попытка удаленного соединения.
  - RemoteHostName – имя компьютера, на который была произведена попытка удаленного соединения.
  - RemoteIP – IP-адрес компьютера, на который была произведена попытка удаленного соединения.
  - RemotePort – порт компьютера, на который была произведена попытка удаленного соединения.
  - URl – адрес ресурса, к которому произведен запрос HTTP.
- В группе Изменение в реестре:
  - RegistryKey – путь к ключу реестра.
  - RegistryValueName – имя параметра реестра.
  - RegistryValue – значение параметра реестра.
  - RegistryOperationType – тип операции с реестром.
  - RegistryPreviousKey – предыдущий путь к ключу реестра.
  - RegistryPreviousValue – предыдущее имя параметра реестра.
- В группе Журнал событий ОС:
  - WinLogEventID – идентификатор типа события безопасности в журнале Windows.
  - LinuxEventType – тип события.
  - WinLogName – имя журнала.
  - WinLogEventRecordID – идентификатор записи в журнале.
  - WinLogProviderName – идентификатор системы, записавшей событие в журнал.
  - WinLogTargetDomainName – доменное имя удаленного компьютера.
  - WinLogObjectName – имя объекта, инициировавшего событие.
  - WinlogPackageName – имя пакета, инициировавшего событие.
  - WinLogProcessName – имя процесса, инициировавшего событие.
- В группе Обнаружение и результат обработки:
  - DetectName – имя обнаруженного объекта.
  - RecordID – идентификатор сработавшего правила.
  - ProcessingMode – режим проверки.
  - ObjectName – имя объекта.
  - ObjectType – тип объекта.
  - ThreatStatus – режим обнаружения.
  - UntreatedReason – статус обработки события.
  - ObjectContent (for AMSI events too) – содержание скрипта, переданного на проверку.
  - ObjectContentType (for AMSI events too) – тип содержимого скрипта.
- В группе Интерактивный ввод команд в консоли:
  - InteractiveInputText – текст, введенный в командную строку.
  - InteractiveInputType – тип ввода (консоль или канал).
- В группе Изменен файл:
  - FileOperationType – тип операции с файлом.
  - FilePreviousPath – путь к директории, в которой файл располагался ранее.
  - FilePreviousFullName – полное имя файла, включающее предыдущий путь к директории, в которой файл располагался ранее, и / или предыдущее имя файла.
  - DroppedFileType – тип измененного файла.
В раскрывающемся списке выберите оператор сравнения.
Доступные операторы сравнения
- =.
- !=.
- CONTAINS.
- !CONTAINS.
- STARTS.
- !STARTS.
- ENDS.
- !ENDS.
- >.
- <.
Для каждого типа значения поля будет доступен свой релевантный набор операторов сравнения. Например, при выборе типа значения поля EventType будут доступны операторы = и !=.
В зависимости от выбранного типа значения поля выполните одно из следующих действий:
- Укажите в поле один или несколько символов, по которым вы хотите выполнить поиск событий.
- В раскрывающемся списке выберите вариант значения поля, по которому вы хотите выполнить поиск событий.
Например, для поиска полного совпадения по имени пользователя введите имя пользователя.
Если вы хотите добавить новое условие, используйте логический оператор AND или OR и повторите действия по добавлению условия.
Если вы хотите добавить группу условий, нажмите на кнопку Group и повторите действия по добавлению условий.
Если вы хотите удалить группу условий, нажмите на кнопку Remove group.
Если вы хотите выполнить поиск событий за определенный период, в раскрывающемся списке За все время выберите один из следующих периодов поиска событий:
- За все время, если вы хотите, чтобы программа отображала в таблице события, найденные за все время.
- Прошедший час, если вы хотите, чтобы программа отображала в таблице события, найденные за предыдущий час.
- Прошедшие сутки, если вы хотите, чтобы программа отображала в таблице события, найденные за предыдущий день.
- Пользовательский диапазон, если вы хотите, чтобы программа отображала в таблице события, найденные за указанный вами период.
Если вы выбрали Пользовательский диапазон, выполните следующие действия:
1. В открывшемся календаре укажите даты начала и конца периода отображения событий.
2. Нажмите на кнопку Применить.
Календарь закроется.
Нажмите на кнопку Найти.
Отобразится таблица событий, соответствующих условиям поиска.

Если вы используете режим распределенного решения и мультитенантности, отобразятся уровни группировки найденных событий: Сервер – Названия тенантов – Имена серверов.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).
Нажмите на имя того сервера, события которого вы хотите просмотреть.

Отобразится таблица хостов выбранного сервера. Уровни группировки событий отобразятся над таблицей.

См. также

Поиск угроз по базе событий

Поиск событий в режиме исходного кода

Сортировка событий в таблице

Изменение условий поиска событий

Поиск событий по результатам их обработки в программах EPP

Загрузка IOC-файла и поиск событий по условиям, заданным в IOC-файле

Создание правила TAA (IOA) на основе условий поиска событий

В начало