查看警报表

Kaspersky Anti Targeted Attack Platform 使用警报表来显示检测到的针对性攻击和入侵企业 IT 基础架构的迹象。

警报表不会显示至少满足以下条件之一的对象的信息:

有关这些警报的信息会保存到应用程序日志中。您可以查看该信息

当达到允许的最大警报数量时,应用程序日志中的警报信息每晚都会轮换:

如果您使用的是分布式方案多租户模式,则在所有 SCN 上进行轮转,然后再与 PCN 进行同步。同步后,所有已删除的警报都会被自动从 PCN 中删除。

警报表位于警报部分。

默认情况下,此部分仅显示有关用户未处理的警报的信息。若要也显示有关已处理警报的信息,请打开窗口右上角的进程开关。

您可以按创建时间或者已更新重要级别状态对表中的警报进行排序

警报表包含以下信息:

  1. VIP指定警报是否处于具有特殊访问权限的状态。例如,具有安全官角色的应用程序用户无法查看 VIP 身份的警报。
  2. 创建时间是程序生成警报的时间,已更新是警报更新的时间。
  3. Apt_icon_Importance_new — 根据卡巴斯基的经验,对于 Kaspersky Anti Targeted Attack Platform 用户而言,警报重要性取决于此警报可能对计算机或企业 LAN 安全造成的影响。

    警报可以具有以下重要性级别之一:

    • ,以Apt_icon_importance_high符号标记 – 此警报具有高度重要性。
    • ,以Apt_icon_importance_medium符号标记 – 此警报具有中度重要性。
    • вижу,以Apt_icon_importance_low符号标记 – 此警报重要性较低。
  4. 检测到 — 检测到的对象的一个或多个类别。例如,当应用程序检测到感染了 Trojan-Downloader.JS.Cryptoload.ad 病毒的文件时,检测到字段就会对此警报显示 Trojan-Downloader.JS.Cryptoload.ad 类别。
  5. 详细信息 — 警报摘要。比如:检测到的文件的名称或恶意链接的 URL 地址。
  6. — 检测到的对象的源的地址。例如,这可以是发送恶意文件的电子邮件地址,也可以是从中下载恶意文件的 URL。
  7. 目标 — 检测到的对象的目标地址。例如,这可以是组织的邮件域(恶意文件发送到该邮件域)的电子邮件地址,也可以是企业 LAN 上的计算机(恶意文件已下载到该计算机)的 IP 地址。
  8. 技术是生成警报的应用程序模块或组件的名称。

    技术列可能表示以下应用程序模块和组件:

    • (YARA) YARA
    • (SB) Sandbox
    • (URL) URL 信誉
    • (IDS) 入侵检测系统
    • (AM) 反恶意软件引擎
    • (TAA) 针对性攻击分析器
    • (IOC) IOC
  9. 状态 — 警报状态取决于此警报是否被 Kaspersky Anti Targeted Attack Platform 用户处理。

    警报可具有以下状态之一:

    • 新的用于新警报。
    • 进行中用于 Kaspersky Anti Targeted Attack Platform 用户在处理的警报。
    • 重新扫描用于重新扫描对象而产生的警报。
    • 分配给是对其分配了警报的用户的名称。

如果表格列里的信息以链接形式显示,您可以单击链接打开列表,在列表中选择要对该对象执行的操作。根据单元格值的类型,您可以执行以下操作之一:

当同时满足以下条件时,入侵检测系统模块会在一个警报中合并有关已处理网络事件的信息:

为满足这些条件的所有网络事件显示一个警报。警报通知仅包含有关第一个网络事件的信息。

页面顶部