事件处理建议

事件窗口在事件树和具有高级安全官角色的用户的信息文本之间的框中显示事件处理建议。

您可以遵循以下建议：

• 隔离<主机名> –将在其中检测到事件的具有 Endpoint Agent 组件的主机从网络隔离。适用于所有事件类型。
• 创建防止规则–禁止执行在事件中检测到的文件。适用于所有事件类型，除了系统事件日志。
• 创建任务 — 创建一个任务。适用于所有事件类型，除了系统事件日志。

此外，您可以通过单击包含文件名称、路径、MD5 或 SHA256 哈希值以及主机名的链接来处理事件，同时在窗口下部查看有关事件的文本信息。

单击具有文件名称或文件路径的链接将打开一个列表，您可以在其中选择以下操作之一：

• 查找事件。
• 查找警报。
• 运行以下任务：
  • 杀死进程。
  • 使用唯一的 PID 杀死进程。
  • 删除文件。
  • 获取文件。
  • 进行取证。
  • 隔离文件。
• 复制值到剪贴板。

单击 MD5 链接将打开一个列表，您可以从其中选择以下操作之一：

• 按照此值进行过滤。
• 从过滤器中排除。
• 在 Kaspersky TIP 上查找。

  卡巴斯基信息系统 包含并显示文件和 URL 地址的信誉信息。

• 查找事件。
• 查找警报。
• 复制值到剪贴板。

单击 SHA256 链接将打开一个列表，您可以从其中选择以下操作之一：

• 查找事件。
• 查找警报。
• 在 Kaspersky TIP 上查找。
• 在 virustotal.com 上查找。
• 在存储中查找。
• 创建防止规则。
• 复制值到剪贴板。

单击具有主机名的链接将打开一个列表，您可以从其中选择以下操作之一：

• 查找事件。
• 查找警报。
• 运行以下任务：
  • 杀死进程。
  • 删除文件。
  • 获取文件。
  • 进行取证。
  • 隔离文件。
  • 运行应用程序。
• 复制值到剪贴板。

具有安全审计员和安全官角色的用户不会被显示事件处理建议。

另请参阅 有关事件树中事件的信息 查看事件表 配置事件表显示 查看有关事件的信息 有关“进程已启动”事件的信息 有关“进程已终止”事件的信息 有关“模块已加载”事件的信息 有关“远程连接”事件的信息 “防御规则”事件信息 有关“文档被阻止”事件的信息 有关“文件已修改”事件的信息 有关“系统事件日志”事件的信息 有关“注册表更改”事件的信息 有关“端口被侦听”事件的信息 有关“驱动程序已加载”事件的信息 有关“警报”事件的信息 有关“警报处理结果”事件的信息 有关“被解释文件运行”事件的信息 有关“AMSI 扫描”事件的信息 有关“在控制台进行交互式命令输入”事件的信息

本节内容 遵循建议隔离主机 遵循建议防止文件运行 遵循建议创建任务

页面顶部