Информация в блоке Результаты проверки

В блоке Результаты проверки могут отображаться следующие результаты проверки обнаружения:

• Названия модулей или компонентов приложения, выполнивших обнаружение.
• Одна или несколько категорий обнаруженного объекта. Например, может отображаться название вируса Virus.Win32.Chiton.i.
• Версии баз модулей и компонентов Kaspersky Anti Targeted Attack Platform, выполнивших обнаружение.
• Результаты проверки обнаружений модулями и компонентами приложения:
  • YARA – результаты потоковой проверки файлов и объектов, поступающих на Central Node, или результаты проверки хостов с компонентом Endpoint Agent. Может принимать следующие значения:
    • Категория обнаруженного файла в правилах YARA (например, может отображаться название категории susp_fake_Microsoft_signer).

      Отображается при потоковой проверке.

      Кнопка Создать правило запрета позволяет запретить запуск файла.

      Кнопка Найти на TIP позволяет найти файл на Kaspersky Threat Intelligence Portal.

      Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.

    • Путь к файлу и/или имя дампа памяти.

      Отображается при проверке хостов с компонентом Endpoint Agent.

      По ссылке с путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:

      • Найти события.
      • Найти обнаружения.
      • Скопировать значение в буфер.

    Кнопка Создать задачу позволяет создать следующие задачи:

    • Собрать данные → Файл, Образ диска, Дамп памяти.
    • Удалить файл.
    • Поместить файл на карантин.

    Кнопка Создать правило запрета позволяет запретить запуск файла.

    Кнопка Найти на TIP позволяет найти файл на Kaspersky Threat Intelligence Portal.

    Кнопка Просмотреть на карантине позволяет просмотреть информацию об объекте, помещенном на карантин.

  • SB (Sandbox) – результаты исследования поведения файла, выполненного компонентом Sandbox.

    Нажатием на кнопку Sandbox-обнаружение вы можете открыть окно с подробной информацией о результатах исследования поведения файла.

    Кнопка Найти на TIP позволяет найти файл на Kaspersky Threat Intelligence Portal.

    Кнопка Создать правило запрета позволяет запретить запуск файла.

    Вы можете загрузить подробный журнал исследования поведения файла во всех операционных системах нажав на кнопку Скачать сведения об отладке.

    Файл загружается в формате ZIP-архива, зашифрованного паролем infected. Имя проверенного файла внутри архива заменено на MD5-хеш файла. Расширение файла внутри архива не отображается.

    По умолчанию максимальный объем жесткого диска для хранения журналов исследования поведения файлов во всех операционных системах составляет 300 ГБ. По достижении этого ограничения приложение удаляет журналы исследования поведения файлов, созданные раньше остальных, и заменяет их новыми журналами.

  • URL (URL Reputation) – категория обнаруженного вредоносного, фишингового URL-адреса или URL-адреса, который ранее использовался злоумышленниками для целевых атак на IT-инфраструктуру организаций.
  • IDS (Intrusion Detection System) – категория обнаруженного объекта по базе Intrusion Detection System или название пользовательского правила IDS, по которому было выполнено обнаружение. Например, может отображаться категория Trojan-Clicker.Win32.Cycler.a.

    По ссылке открывается информация о категории объекта в базе угроз "Лаборатории Касперского" Kaspersky Threats.

  • AM (Anti-Malware Engine) – категория обнаруженного объекта по антивирусной базе. Например, может отображаться название вируса Virus.Win32.Chiton.i.

    По ссылке открывается информация о категории объекта в базе угроз "Лаборатории Касперского" Kaspersky Threats.

    Кнопка Найти на TIP позволяет найти файл на Kaspersky Threat Intelligence Portal.

    Кнопка Создать правило запрета позволяет запретить запуск файла.

    Кнопка Скачать позволяет загрузить файл на жесткий диск вашего компьютера.

  • TAA (Targeted Attack Analyzer) – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.

    По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.

    База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.

  • IOC – Название IOC-файла, по которому было выполнено обнаружение.

    При выборе IOC-файла открывается окно с результатами IOC-проверки.

    По ссылке Все события, связанные с обнаружением в новой вкладке браузера откроется таблица событий Поиск угроз. В условиях поиска настроен фильтр поиска, например, по MD5, FileFullName. В значениях фильтрации указаны свойства обнаружения, над которым вы работаете. Например, MD5 файла из обнаружения.

См. также Просмотр информации об обнаружении Общая информация об обнаружении любого типа Информация в блоке Информация об объекте Информация в блоке Информация об обнаружении Информация в блоке Правило IDS Информация в блоке Сетевое событие Результаты проверки в Sandbox Результаты IOC-проверки Информация в блоке Хосты Информация в блоке Журнал изменений Отправка данных об обнаружении

В начало