有关“在控制台进行交互式命令输入”事件的信息
显示过程: 控制台交互式输入事件信息的窗口包含以下详情:
- 事件树。
- 事件处理建议。
- 过程: 控制台交互式输入部分:
- IOA 标记— 有关使用 Targeted Attack Analyzer 技术进行文件分析的结果的信息:用于创建警报的 TAA (IOA) 规则的名称。
单击链接可显示有关 TAA (IOA) 规则的信息。如果规则是由卡巴斯基专家提供的,则它包含有关触发的MITRE 技术的信息以及对事件进行反应的建议。
如果在创建事件时触发了 TAA (IOA) 规则,则会显示该字段。
- 输入类型 — 被传递到控制台应用程序的命令输入类型。
该应用程序提供两种输入命令的方式:
- 如果用户在控制台应用程序中输入命令,输入类型字段将显示控制台命令输入类型。
- 如果命令被通过管道从另一个应用程序传递到控制台应用程序,输入类型字段将显示管道命令输入类型。
如果您使用 Kaspersky Endpoint Agent 应用程序作为 Endpoint Agent 组件,则仅当 Kaspersky Anti Targeted Attack Platform 与 Kaspersky Endpoint Agent 3.10 for Windows 集成时,Kaspersky Anti Targeted Attack Platform 才会收到填充输入字段所需的数据。当应用程序与旧版本的 Kaspersky Endpoint Agent for Windows 应用程序集成时,该字段不会显示在事件信息中。
- 输入文本 — 使用 Kaspersky Endpoint Agent for Windows 应用程序在主机上的命令行(例如 CMD)中输入的文本。
您可以通过单击位于输入文本字段中的复制到剪贴板按钮复制此文本。
- 事件时间 — 检测到事件的时间。
- 事件发起者部分:
- 文件 — 父进程文件的路径。
单击具有文件名称或文件路径的链接将打开一个列表,您可以在其中选择以下操作之一:
运行以下任务:
- MD5 — 父进程文件的 MD5 哈希。
单击 MD5 链接将打开一个列表,您可以从其中选择以下操作之一:
- SHA256 — 父进程文件的 SHA256 哈希。
单击 SHA256 链接将打开一个列表,您可以从其中选择以下操作之一:
- 系统信息部分:
- 主机名称 — 在其上输入命令的主机的名称。
单击具有主机名的链接将打开一个列表,您可以从其中选择以下操作之一:
运行以下任务:
- 主机 IP — 在其上输入命令的主机的 IP 地址。
如果您使用动态 IP 地址,该字段将显示创建事件时分配给主机的 IP 地址。
该应用程序不支持 IPv6。如果您使用 IPv6,则不会显示主机的 IP 地址。
- 用户名称 — 被用于输入命令的用户账户。
- 操作系统版本 — 主机上正在使用的操作系统的版本。
页面顶部