Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.
По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.
База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.
Поле отображается, если при создании события сработало правило TAA (IOA).
Файл – имя заблокированного документа.
MD5 – MD5-хеш заблокированного документа.
SHA256 – SHA256-хеш заблокированного документа.
Время события – время блокирования документа.
Файл процесса – имя файла процесса, который попытался открыть документ.
MD5 процесса – MD5-хеш процесса, который попытался открыть документ.
SHA256 процесса – SHA256-хеш процесса, который попытался открыть документ.
Раздел Инициатор события:
Файл – имя файла родительского процесса.
MD5 – MD5-хеш файла родительского процесса.
SHA256 – SHA256-хеш файла родительского процесса.
ID процесса – идентификатор родительского процесса.
Раздел Сведения о системе:
Имя хоста – имя хоста, на котором был заблокирован документ.
IP хоста – IP-адрес хоста, на котором был заблокирован документ.
Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный хосту на момент создания события.
Приложение не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес хоста не отображается.
Имя пользователя – имя пользователя, попытавшегося открыть документ.
Версия ОС – версия операционной системы, используемой на хосте.
По ссылке с именем файла или путем к файлу в разделе Заблокирован документ раскрывается список, в котором вы можете выбрать одно из следующих действий: