Просмотр таблицы обнаружений
Kaspersky Anti Targeted Attack Platform обрабатывает данные из следующих источников:
- Зеркалированного трафика локальной сети организации (HTTP-, FTP- и DNS-протоколов).
- HTTP- и FTP-трафика, а также HTTPS-трафика, если администратор настроил подмену SSL-сертификата на прокси-сервере.
- Копий сообщений электронной почты, полученных по протоколу POP3, SMTP, а также копий сообщений электронной почты, полученных от программ Kaspersky Secure Mail Gateway или Kaspersky Security для Linux Mail Server, если они используется в вашей организации.
- Данных о запущенных процессах, открытых сетевых соединениях и изменяемых файлах, полученных от отдельных компьютеров, которые входят в IT-инфраструктуру организации.
Kaspersky Anti Targeted Attack Platform отображает обнаруженные признаки целевых атак и вторжений в IT-инфраструктуру организации в виде таблицы обнаружений.
В таблице обнаружений не отображается информация об объектах, для которых выполняется хотя бы одно из следующих условий:
- Объект имеет репутацию Доверенный в базе KSN.
- Объект имеет цифровую подпись одного из доверенных производителей:
- "Лаборатория Касперского".
- Google.
- Apple.
- Microsoft.
Информация об этих обнаружениях сохраняется в базе данных программы (на Central Node или SCN).
Информация об обнаружениях в базе данных ротируется ежедневно в ночное время при достижении максимально разрешенного количества обнаружений:
- Обнаружения, выполненные компонентами (IDS) Intrusion Detection System, (URL) URL Reputation – 100000 обнаружений для каждого из компонентов.
- Все остальные обнаружения – 20000 обнаружений для каждого из модулей или компонентов.
Если вы используете и , то ротация производится на всех SCN, а затем происходит синхронизация с PCN. После синхронизации все удаленные обнаружения автоматически удаляются также на PCN.
Таблица обнаружений находится в разделе Обнаружения.
По умолчанию в разделе отображается информация только об обнаружениях, не обработанных пользователями. Если вы хотите, чтобы информация об обработанных обнаружениях тоже отображалась, включите переключатель Обработано в правом верхнем углу окна.
Вы можете сортировать обнаружения в таблице по столбцам Создано или Обновлено, Важность, Адрес источника и Состояние.
В таблице обнаружений содержится следующая информация:
- VIP – наличие у обнаружения статуса с особыми правами доступа. Например, обнаружения со статусом VIP недоступны для просмотра пользователями программы Сотрудник службы безопасности.
- Создано – время, в которое программа выполнила обнаружение и Обновлено – время, в которое обнаружение было обновлено.
- – важность обнаружения для пользователя Kaspersky Anti Targeted Attack Platform в соответствии с тем, какое влияние это обнаружение может оказать на безопасность компьютера или локальной сети вашей организации, по опыту "Лаборатории Касперского".
Обнаружения могут принимать одну из следующих степеней важности:
- Высокая, отмеченную знаком , – обнаружение высокой степени важности.
- Средняя, отмеченную знаком , – обнаружение средней степени важности.
- Низкая, отмеченную знаком , – обнаружение низкой степени важности.
- Обнаружено – одна или несколько категорий обнаруженных объектов. Например, если программа обнаружила файл, зараженный вирусом Trojan-Downloader.JS.Cryptoload.ad, в поле Обнаружено будет указана категория Trojan-Downloader.JS.Cryptoload.ad для этого обнаружения.
- Сведения – краткая информация об обнаружении. Например, имя обнаруженного файла или URL-адрес вредоносной ссылки.
- Адрес источника – адрес источника обнаруженного объекта. Например, адрес электронной почты, с которого был отправлен вредоносный файл, или URL-адрес, с которого был загружен вредоносный файл.
- Адрес назначения – адрес назначения обнаруженного объекта. Например, адрес электронной почты почтового домена вашей организации, на который был отправлен вредоносный файл, или IP-адрес компьютера локальной сети вашей организации, на который был загружен вредоносный файл.
- Серверы – имена серверов, на которых выполнено обнаружение. Серверы относятся к тому тенанту, с которым вы работаете в веб-интерфейсе программы. Информация о серверах отображается только когда вы работаете в режиме распределенного решения и мультитенантности.
- Технологии – названия модулей или компонентов программы, выполнивших обнаружение.
В столбце Технологии могут быть указаны следующие модули и компоненты программы:
- (YARA) YARA.
- (SB) Sandbox.
- (URL) URL Reputation.
- (IDS) Intrusion Detection System.
- (AM) Anti-Malware Engine.
- (TAA) Targeted Attack Analyzer.
- (IOC) IOC.
- Состояние – состояние обнаружения в зависимости от того, обработал пользователь Kaspersky Anti Targeted Attack Platform это обнаружение или нет.
Обнаружения могут быть в одном из следующих состояний:
- Новое – новые обнаружения.
- В обработке – обнаружения, которые один из пользователей Kaspersky Anti Targeted Attack Platform уже обрабатывает.
- Повторная проверка – обнаружения, выполненные в результате повторной проверки объекта.
Кроме того, в этом столбце отображается имя пользователя, которому назначено данное обнаружение. Например, Administrator.
Если информация в столбцах таблицы отображается в виде ссылки, по ссылке раскрывается список, в котором вы можете выбрать действие над объектом. В зависимости от типа значения ячейки вы можете выполнить одно из следующих действий:
- Любой тип значения ячейки:
- Добавить в фильтр.
- Исключить из фильтра.
- Скопировать значение в буфер.
- MD5-хеш:
- Добавить в фильтр.
- Исключить из фильтра.
- Найти события.
- Найти на TIP.
- Создать правило запрета.
- Скопировать значение в буфер.
- SHA256-хеш:
- Добавить в фильтр.
- Исключить из фильтра.
- Найти события.
- Найти на TIP.
- Создать правило запрета.
- Скопировать значение в буфер.
- IP-адрес назначения: Найти события.
- Состояние обнаружения:
- Назначить мне.
- Закрыть обнаружение.
Модуль Intrusion Detection System консолидирует информацию об обработанных сетевых событиях в одном обнаружении при одновременном соблюдении следующих условий:
- для сетевых событий совпадает название сработавшего правила, версия баз программы и источник;
- между событиями прошло не более 24 часов.
Для всех сетевых событий, удовлетворяющих этим условиям, отображается одно обнаружение. В уведомлении об обнаружении содержится информация только о первом сетевом событии.
В начало