Просмотр таблицы событий
Таблица событий отображается в разделе Поиск угроз окна веб-интерфейса приложения после выполнения поиска угроз по базе событий. Вы можете сортировать события в таблице по столбцам Время события, Тип события, Хост и Имя пользователя.
Если вы используете режим распределенного решения и мультитенантности, события в таблице сгруппированы по хостам выбранных серверов и тенантов.
В таблице событий содержится следующая информация:
- Время события – дата и время обнаружения события.
- Тип события – например, Запущен процесс.
- Имя хоста – имя хоста, на котором было выполнено обнаружение.
- Сведения – сведения о событии.
- Имя пользователя – имя пользователя компьютера с компонентом Endpoint Agent, под учетной записью которого было обнаружено событие.
В таблице событий для каждого типа событий в столбце Тип события отображается свой набор данных в столбце Сведения (см. таблицу ниже).
Набор данных в столбце Тип события для каждого типа событий в столбце Сведения
Тип события |
Сведения |
|---|---|
Запущен процесс |
Имя файла процесса, который был запущен. SHA256- и MD5-хеш. |
Загружен модуль |
Имя динамической библиотеки, которая была загружена. SHA256- и MD5-хеш. |
Удаленное соединение |
URL-адрес, к которому была произведена попытка удаленного подключения. Имя файла, который пытался осуществить удаленное подключение. |
Правило запрета |
Имя файла приложения, запуск которого был заблокирован. SHA256- и MD5-хеш. |
Заблокирован документ |
Имя документа, запуск которого был заблокирован. SHA256- и MD5-хеш. |
Изменен файл |
Имя созданного файла. SHA256- и MD5-хеш. |
Журнал событий ОС |
Канал записи событий в системный журнал. Идентификатор типа события. |
Изменение в реестре |
Имя ключа в реестре. |
Прослушан порт |
Адрес сервера и порт. Имя файла процесса, который осуществляет прослушивание порта. |
Загружен драйвер |
Имя файла драйвера, который был загружен. SHA256- и MD5-хеш. |
Обнаружение |
Обнаружение. |
Результат обработки обнаружения |
Результат обработки обнаружения. |
AMSI-проверка |
Результат AMSI-проверки. |
Интерпретированный запуск файла |
Интерпретированный запуск файла. |
Интерактивный ввод команд в консоли |
Интерактивный ввод команд в консоли. |
Если в роли компонента Endpoint Agent вы используете Kaspersky Endpoint Agent, то данные о событии AMSI-проверка доступны при интеграции Kaspersky Anti Targeted Attack Platform с Kaspersky Endpoint Agent для Windows версии 3.10 и выше и при интеграции Kaspersky Endpoint Agent с приложением Kaspersky Endpoint Security для Windows версий 11.5 и выше. Если приложение Kaspersky Endpoint Security для Windows не установлено на компьютер и не интегрировано с Kaspersky Endpoint Agent, информация о событии AMSI-проверка не записывается в базу событий и не отображается в веб-интерфейсе Kaspersky Anti Targeted Attack Platform.
Если в роли компонента Endpoint Agent используется Kaspersky Endpoint Agent, сервер Central Node формирует событие Обнаружение и Результат обработки обнаружения на основе данных, полученных от приложений EPP. Если приложения EPP не установлены на компьютер и не интегрированы с Kaspersky Endpoint Agent, информация об этих событиях не записывается в базу событий и не отображается в веб-интерфейсе Kaspersky Anti Targeted Attack Platform.
По ссылке с названием типа события, сведениями, дополнительной информацией и именем пользователя раскрывается список, в котором вы можете выбрать действие над объектом. В зависимости от значения в ячейке вы можете выполнить одно из следующих действий:
- Для всех значений в ячейке:
- Добавить в фильтр.
- Исключить из фильтра.
- Скопировать значение в буфер.
- Имя хоста:
- Имя файла:
- MD5-хеш:
- SHA256-хеш:
- Найти события.
- Найти обнаружения.
- Найти на TIP.
- Найти на virustotal.com.
- Создать правило запрета.
- Найти в Хранилище.