查看警报表
Kaspersky Anti Targeted Attack Platform 使用警报表来显示检测到的针对性攻击和入侵企业 IT 基础架构的迹象。
警报表不会显示至少满足以下条件之一的对象的信息:
- 该对象在 KSN 数据库中具有受信任信誉。
- 该对象由以下可信供应商进行数字签名:
有关这些警报的信息会保存到应用程序日志中。您可以查看该信息。
当达到允许的最大警报数量时,应用程序日志中的警报信息每晚都会轮换:
- (IDS) 入侵检测系统和(URL) URL 信誉组件生成的警报对于每个组件最多有 100000 个警报。
- 所有其他警报对于每个模块或组件最多有 20000 个警报。
如果您使用的是和,则在所有 SCN 上进行轮转,然后再与 PCN 进行同步。同步后,所有已删除的警报都会被自动从 PCN 中删除。
警报表位于警报部分。
默认情况下,此部分仅显示有关用户未处理的警报的信息。若要也显示有关已处理警报的信息,请打开窗口右上角的进程开关。
您可以按创建时间或者已更新、重要级别、源和状态列对表中的警报进行排序。
警报表包含以下信息:
- VIP指定警报是否处于具有特殊访问权限的状态。例如,具有安全官角色的应用程序用户无法查看 VIP 身份的警报。
- 创建时间是程序生成警报的时间,已更新是警报更新的时间。
— 根据卡巴斯基的经验,对于 Kaspersky Anti Targeted Attack Platform 用户而言,警报重要性取决于此警报可能对计算机或企业 LAN 安全造成的影响。警报可以具有以下重要性级别之一:
- 高,以
符号标记 – 此警报具有高度重要性。 - 中,以
符号标记 – 此警报具有中度重要性。 - вижу低,以
符号标记 – 此警报重要性较低。
- 检测到 — 检测到的对象的一个或多个类别。例如,当应用程序检测到感染了 Trojan-Downloader.JS.Cryptoload.ad 病毒的文件时,检测到字段就会对此警报显示 Trojan-Downloader.JS.Cryptoload.ad 类别。
- 详细信息 — 警报摘要。比如:检测到的文件的名称或恶意链接的 URL 地址。
- 源 — 检测到的对象的源的地址。例如,这可以是发送恶意文件的电子邮件地址,也可以是从中下载恶意文件的 URL。
- 目标 — 检测到的对象的目标地址。例如,这可以是组织的邮件域(恶意文件发送到该邮件域)的电子邮件地址,也可以是企业 LAN 上的计算机(恶意文件已下载到该计算机)的 IP 地址。
- 技术是生成警报的应用程序模块或组件的名称。
技术列可能表示以下应用程序模块和组件:
- (YARA) YARA。
- (SB) Sandbox。
- (URL) URL 信誉。
- (IDS) 入侵检测系统。
- (AM) 反恶意软件引擎。
- (TAA) 针对性攻击分析器。
- (IOC) IOC。
- 状态 — 警报状态取决于此警报是否被 Kaspersky Anti Targeted Attack Platform 用户处理。
警报可具有以下状态之一:
- 新的用于新警报。
- 进行中用于 Kaspersky Anti Targeted Attack Platform 用户在处理的警报。
- 重新扫描用于重新扫描对象而产生的警报。
- 分配给是对其分配了警报的用户的名称。
如果表格列里的信息以链接形式显示,您可以单击链接打开列表,在列表中选择要对该对象执行的操作。根据单元格值的类型,您可以执行以下操作之一:
- 任意单元格值的类型:
- 按照此值进行过滤。
- 从过滤器中排除。
- 复制值到剪贴板。
- MD5 哈希:
- 按照此值进行过滤。
- 从过滤器中排除。
- 查找事件。
- 在 Kaspersky TIP 上查找。
- 创建防止规则。
- 复制值到剪贴板。
- SHA256 哈希值:
- 按照此值进行过滤。
- 从过滤器中排除。
- 查找事件。
- 在 Kaspersky TIP 上查找。
- 创建防止规则。
- 复制值到剪贴板。
- 目的 IP 地址:
- 警报状态:
当同时满足以下条件时,入侵检测系统模块会在一个警报中合并有关已处理网络事件的信息:
- 触发规则的名称,应用程序数据库的版本以及源都匹配网络事件。
- 活动之间不超过 24 小时。
为满足这些条件的所有网络事件显示一个警报。警报通知仅包含有关第一个网络事件的信息。
页面顶部