Просмотр таблицы обнаружений

Kaspersky Anti Targeted Attack Platform отображает обнаруженные признаки целевых атак и вторжений в IT-инфраструктуру организации в виде таблицы обнаружений.

В таблице обнаружений не отображается информация об объектах, для которых выполняется хотя бы одно из следующих условий:

Информация об этих обнаружениях сохраняется в журнал приложения. Вы можете просмотреть эту информацию.

Информация об обнаружениях в журнале приложения ротируется ежедневно в ночное время при достижении максимально разрешенного количества обнаружений:

Если вы используете режим распределенного решения и мультитенантности, то ротация производится на всех SCN, а затем происходит синхронизация с PCN. После синхронизации все удаленные обнаружения автоматически удаляются также на PCN.

Таблица обнаружений находится в разделе Обнаружения.

По умолчанию в разделе отображается информация только об обнаружениях, не обработанных пользователями. Если вы хотите, чтобы информация об обработанных обнаружениях тоже отображалась, включите переключатель Обработано в правом верхнем углу окна.

Вы можете сортировать обнаружения в таблице по столбцам Создано или Обновлено, Важность, Адрес источника и Состояние.

В таблице обнаружений содержится следующая информация:

  1. VIP – наличие у обнаружения статуса с особыми правами доступа. Например, обнаружения со статусом VIP недоступны для просмотра пользователями программы Сотрудник службы безопасности.
  2. Создано – время, в которое программа выполнила обнаружение и Обновлено – время, в которое обнаружение было обновлено.
  3. Apt_icon_Importance_new – важность обнаружения для пользователя Kaspersky Anti Targeted Attack Platform в соответствии с тем, какое влияние это обнаружение может оказать на безопасность компьютера или локальной сети вашей организации, по опыту "Лаборатории Касперского".

    Обнаружения могут принимать одну из следующих степеней важности:

    • Высокая, отмеченную знаком Apt_icon_importance_high, – обнаружение высокой степени важности.
    • Средняя, отмеченную знаком Apt_icon_importance_medium, – обнаружение средней степени важности.
    • Низкая, отмеченную знаком Apt_icon_importance_low, – обнаружение низкой степени важности.
  4. Обнаружено – одна или несколько категорий обнаруженных объектов. Например, если приложение обнаружило файл, зараженный вирусом Trojan-Downloader.JS.Cryptoload.ad, в поле Обнаружено будет указана категория Trojan-Downloader.JS.Cryptoload.ad для этого обнаружения.
  5. Сведения – краткая информация об обнаружении. Например, имя обнаруженного файла или URL-адрес вредоносной ссылки.
  6. Адрес источника – адрес источника обнаруженного объекта. Например, адрес электронной почты, с которого был отправлен вредоносный файл, или URL-адрес, с которого был загружен вредоносный файл.
  7. Адрес назначения – адрес назначения обнаруженного объекта. Например, адрес электронной почты почтового домена вашей организации, на который был отправлен вредоносный файл, или IP-адрес компьютера локальной сети вашей организации, на который был загружен вредоносный файл.
  8. Технологии – названия модулей или компонентов приложения, выполнивших обнаружение.

    В столбце Технологии могут быть указаны следующие модули и компоненты приложения:

    • (YARA) YARA.
    • (SB) Sandbox.
    • (URL) URL Reputation.
    • (IDS) Intrusion Detection System.
    • (AM) Anti-Malware Engine.
    • (TAA) Targeted Attack Analyzer.
    • (IOC) IOC.
  9. Состояние – состояние обнаружения в зависимости от того, обработал пользователь Kaspersky Anti Targeted Attack Platform это обнаружение или нет.

    Обнаружения могут быть в одном из следующих состояний:

    • Новое – новые обнаружения.
    • В обработке – обнаружения, которые один из пользователей Kaspersky Anti Targeted Attack Platform уже обрабатывает.
    • Повторная проверка – обнаружения, выполненные в результате повторной проверки объекта.
    • Назначено – имя пользователя, которому назначено обнаружение.

Если информация в столбцах таблицы отображается в виде ссылки, по ссылке раскрывается список, в котором вы можете выбрать действие над объектом. В зависимости от типа значения ячейки вы можете выполнить одно из следующих действий:

Модуль Intrusion Detection System консолидирует информацию об обработанных сетевых событиях в одном обнаружении при одновременном соблюдении следующих условий:

Для всех сетевых событий, удовлетворяющих этим условиям, отображается одно обнаружение. В уведомлении об обнаружении содержится информация только о первом сетевом событии.

В начало