Информация о событии Изменен файл

В окне с информацией о событиях типа Изменен файл содержатся следующие сведения:

• Дерево событий.
• Рекомендации по обработке события.
• В зависимости от типа операции, которая была проведена с файлом, в информации о событии отображается одно из следующих названий раздела:
  • Создан файл.
  • Изменен файл.
  • Переименован файл.
  • Удален файл.
  • Изменены атрибуты файла.
  • Прочитан файл.

  В разделе отображается следующая информация:

  • Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.

    По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.

    База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.

    Поле отображается, если при создании события сработало правило TAA (IOA).

  • Файл – имя созданного, удаленного или измененного файла.
  • MD5 – MD5-хеш созданного, удаленного или измененного файла.
  • SHA256 – SHA256-хеш созданного, удаленного или измененного файла.
  • Размер – размер созданного, удаленного или измененного файла.
  • Время события – время обнаружения события.
  • Время создания – время создания файла.
  • Время изменения – время последнего изменения файла.
  • Предыдущая версия – имя предыдущей версии файла.

    Поле Предыдущая версия отображается в информации о событии только для операции типа Переименован файл.

  • Удалить после перезагрузки – статус файла, предназначенного к удалению.

    Если файл, к которому была применена операция "удалить", открыт в каком-либо приложении или задействован в других процессах, он будет удален по завершении этих процессов после перезагрузки хоста. В этом случае в поле Удалить после перезагрузки отображается Да.

    Если файл, к которому была применена операция "удалить", был удален сразу, в поле Удалить после перезагрузки отображается Нет.

    Поле Удалить после перезагрузки отображается в информации о событии только для операции типа Удален файл.

  Если событие было записано в базу событий приложением Kaspersky Endpoint Security для Linux или Kaspersky Endpoint Security для Mac, в разделе также отображаются следующие поля:

  • Тип файла – расширение созданного, удаленного или измененного файла.
  • Флаги открытия файла – значение флагов открытия созданного, удаленного или измененного файла.
  • Имя пользователя-владельца – имя пользователя, создавшего файл.
  • Имя группы-владельца – название группы, пользователи которой могут изменить или удалить файл.
  • Разрешенные привилегии файла – разрешения, которые могут использоваться для доступа к созданному, удаленному или измененному файлу. Данное поле не отображается, если событие было записано приложением Kaspersky Endpoint Security для Mac.
  • Наследуемые привилегии файла – разрешения, которые есть у группы пользователей для выполнения операций с родительским каталогом созданного, удаленного или измененного файла. Данное поле не отображается, если событие было записано приложением Kaspersky Endpoint Security для Mac.
  • Актуальные привилегии файла – разрешения, которые актуальны для созданного или измененного файла на данный момент. Данное поле не отображается, если событие было записано приложением Kaspersky Endpoint Security для Mac.
• Раздел Инициатор события:
  • Файл – путь к файлу родительского процесса.
  • MD5 – MD5-хеш файла родительского процесса.
  • SHA256 – SHA256-хеш файла родительского процесса.

  Если событие было записано в базу событий приложением Kaspersky Endpoint Security для Linux или Kaspersky Endpoint Security для Mac, в разделе Инициатор события также отображаются следующие поля:

  • Переменные окружения – переменные окружения процесса.
  • Настоящее имя пользователя – имя пользователя, назначенное ему при регистрации в системе.
  • Настоящее имя группы – группа, к которой принадлежит пользователь.
  • Действующее имя пользователя – имя пользователя, которое было использовано для входа в систему.
  • Действующее имя группы – группа, к которой принадлежит пользователь, имя которого использовалось для входа в систему.
• Раздел Сведения о системе:
  • Имя хоста – имя хоста, на котором был создан файл.
  • IP хоста – IP-адрес хоста, на котором был создан файл.

    Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный хосту на момент создания события.

    Приложение не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес хоста не отображается.

  • Имя пользователя – имя пользователя, создавшего файл.
  • Версия ОС – версия операционной системы, используемой на хосте.

  Если событие было записано в базу событий приложением Kaspersky Endpoint Security для Linux или Kaspersky Endpoint Security для Mac, в разделе Сведения о системе также отображается поле Вход с удаленного хоста – имя хоста, с которого был совершен удаленный вход в систему.

По ссылке с именем файла или путем к файлу в разделе со сведениями о файле, с которым была произведена операция, раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Удалить файл.
  • Получить файл.
  • Собрать форензику.
  • Поместить файл на карантин.
• Скопировать значение в буфер.

По ссылке с именем файла или путем к файлу в разделе Инициатор события раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Завершить процесс.
  • Завершить по уникальному PID.
  • Удалить файл.
  • Получить файл.
  • Собрать форензику.
  • Поместить файл на карантин.
• Скопировать значение в буфер.

В информации о событии, записанном в базу событий приложением Kaspersky Endpoint Security для Linux или Kaspersky Endpoint Security для Mac, по ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачу Получить файл.
• Скопировать значение в буфер.

По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Собрать данные → Файл, Форензика, Образ диска, Дамп памяти.
  • Завершить процесс.
  • Удалить файл.
  • Поместить файл на карантин.
  • Выполнить приложение.
• Скопировать значение в буфер.

В информации о событии, записанном в базу событий приложением Kaspersky Endpoint Security для Linux или Kaspersky Endpoint Security для Mac, по ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Файл.
  • Выполнить приложение.
• Скопировать значение в буфер.

По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Найти на TIP.

  Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.

• Найти в Хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Найти на TIP.
• Найти на virustotal.com.
• Найти в Хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

См. также Информация о событиях Рекомендации по обработке событий Информация о событиях в дереве событий Просмотр таблицы событий Настройка отображения таблицы событий Просмотр информации о событии Информация о событии Запущен процесс Информация о событии Завершен процесс Информация о событии Загружен модуль Информация о событии Удаленное соединение Информация о событии Правило запрета Информация о событии Заблокирован документ Информация о событии Журнал событий ОС Информация о событии Изменение в реестре Информация о событии Прослушан порт Информация о событии Загружен драйвер Информация о событии Обнаружение Информация о событии Результат обработки обнаружения Информация о событии Интерпретированный запуск файла Информация о событии AMSI-проверка Информация о событии Интерактивный ввод команд в консоли

В начало