Просмотр таблицы событий

Таблица событий отображается в разделе Поиск угроз окна веб-интерфейса программы после выполнения поиска угроз по базе событий. Вы можете сортировать события в таблице по столбцам Время события, Тип события, Хост и Имя пользователя.

Если вы используете режим распределенного решения и мультитенантности, события в таблице сгруппированы по хостам выбранных серверов и тенантов.

В таблице событий содержится следующая информация:

  1. Время события – дата и время обнаружения события.
  2. Тип события – например, Запущен процесс.
  3. Хост – имя хоста, на котором было выполнено обнаружение.
  4. Сведения – сведения о событии.
  5. Имя пользователя – имя пользователя компьютера с программой Kaspersky Endpoint Agent, под учетной записью которого было обнаружено событие.

В таблице событий для каждого типа событий в столбце Тип события отображается свой набор данных в столбце Сведения (см. таблицу ниже).

Набор данных в столбце Событие для каждого типа событий в столбце Сведения

Тип события

Сведения

Запущен процесс

Имя файла процесса, который был запущен. SHA256- и MD5-хеш.

Загружен модуль

Имя динамической библиотеки, которая была загружена. SHA256- и MD5-хеш.

Удаленное соединение

URL-адрес, к которому была произведена попытка удаленного подключения. Имя файла, который пытался осуществить удаленное подключение.

Правило запрета

Имя файла приложения, запуск которого был заблокирован. SHA256- и MD5-хеш.

Заблокирован документ

Имя документа, запуск которого был заблокирован. SHA256- и MD5-хеш.

Изменен файл

Имя созданного файла. SHA256- и MD5-хеш.

Журнал событий ОС

Канал записи событий в системный журнал. Идентификатор типа события.

Изменение в реестре

Имя ключа в реестре. <имя переменной в ключе>=<значение переменной>.

Прослушан порт

Адрес сервера и порт. Имя файла процесса, который осуществляет прослушивание порта.

Загружен драйвер

Имя файла драйвера, который был загружен. SHA256- и MD5-хеш.

Обнаружение

Обнаружение.

Результат обработки обнаружения

Результат обработки обнаружения.

AMSI-проверка

Результат AMSI-проверки.

Интерпретированный запуск файла

Интерпретированный запуск файла.

Интерактивный ввод команд в консоли

Интерактивный ввод команд в консоли.

Данные о событии AMSI-проверка доступны при интеграции Kaspersky Anti Targeted Attack Platform с программой Kaspersky Endpoint Agent для Windows версии 3.10 и выше и при интеграции Kaspersky Endpoint Agent с программой Kaspersky Endpoint Security для Windows версий 11.5 и выше. Если программа Kaspersky Endpoint Security для Windows не установлена на компьютер и не интегрирована с программой Kaspersky Endpoint Agent, информация о событии AMSI-проверка не записывается в базу событий и не отображается в веб-интерфейсе Kaspersky Anti Targeted Attack Platform.

Сервер Central Node формирует событие Обнаружение и Результат обработки обнаружения на основе данных, полученных от программ EPP. Если программы EPP не установлены на компьютер и не интегрированы с программой Kaspersky Endpoint Agent, информация об этих событиях не записывается в базу событий и не отображается в веб-интерфейсе Kaspersky Anti Targeted Attack Platform.

По ссылке с названием типа события, сведениями, дополнительной информацией и именем пользователя раскрывается список, в котором вы можете выбрать действие над объектом. В зависимости от значения в ячейке вы можете выполнить одно из следующих действий:

См. также

Информация о событиях

Настройка отображения таблицы событий

Просмотр информации о событии

Информация о событиях в дереве событий

Рекомендации по обработке событий

Информация о событии Запущен процесс

Информация о событии Завершен процесс

Информация о событии Загружен модуль

Информация о событии Удаленное соединение

Информация о событии Правило запрета

Информация о событии Заблокирован документ

Информация о событии Изменен файл

Информация о событии Журнал событий ОС

Информация о событии Изменение в реестре

Информация о событии Прослушан порт

Информация о событии Загружен драйвер

Информация о событии Обнаружение

Информация о событии Результат обработки обнаружения

Информация о событии Интерпретированный запуск файла

Информация о событии AMSI-проверка

Информация о событии Интерактивный ввод команд в консоли

В начало