查看已发送至 Kaspersky Anti Targeted Attack Platform 进行扫描的文件的信息
如果有必要,您可以查看该文件是否已在 Kaspersky Anti Targeted Attack Platform 中扫描,以及扫描结果是什么。为此,您必须使用 kata-collect 脚本获取有关应用程序操作的信息。
使用 kata-collect 脚本获取有关应用程序操作的信息。
- 登录到您要通过 SSH 或终端获取信息的服务器的管理控制台。
如果您在分布式解决方案和多租户模式下使用 Kaspersky Anti Targeted Attack Platform,则需要在每个 Central Node 服务器上执行这些步骤。如果您组织的基础架构已单独安装了 Sensor 组件,您还必须在具有此组件的服务器上执行以下步骤。如果应用程序作为集群部署,则必须在 Docker swarm 中具有“管理者”角色的服务器之一上执行这些步骤。要查看服务器角色,请使用
$ docker node ls命令。 - 系统提示时,输入管理员用户名和安装组件期间指定的密码。
显示应用程序组件管理员菜单。
- 在应用程序管理员菜单部分的列表中,选择“技术支持模式”部分。
- 按 Enter 键。
这将打开技术支持模式确认窗口。
- 确认您想要在技术支持模式下管理应用程序。为此,请选择是并按Enter。
- 通过执行以下命令来运行脚本:
sudo kata-run.sh kata-collect --output-dir <路径>
您还可以为此命令指定一个或多个参数(请参阅下表)。
kata-collect 实用程序的参数
必需的参数 |
参数 |
描述 |
是 |
|
在指定路径创建目录, 其中<路径>是您要保存包含下载数据的存档的目录的绝对路径或相对路径。 如果不指定路径,数据存档默认保存在 /tmp/collect 目录中。 |
否 |
|
跳过准备和转储 prometheus 数据库。 此参数显著加快了脚本的速度。 |
否 |
|
跳过下载写入 SIEM 系统的数据。 |
否 |
|
下载从该日期(含)开始写入 SIEM 系统的数据。 |
否 |
|
下载以此日期(含)结束的写入 SIEM 系统的数据。 |
示例: 使用按日期过滤的 SIEM 系统数据且不使用 prometheus 数据库来获取有关应用程序操作的信息的命令:
|
脚本完成后,collect--<存档下载日期>tar.gz 存档被保存到指定目录。Kaspersky Anti Targeted Attack Platform 接收并扫描的文件信息包含在日志中,该日志位于创建的存档内的 /logs/kaspersky/siem/log-history/ 目录中。如果某个文件被排除在扫描之外,则有关该文件的信息也会反映在日志中。
您可以通过名称或 MD5 哈希值找到任何文件。
如果该文件是由 Sensor 组件获取的,您可以通过以下字段找到它:
- 文件源信息:
- 如果文件是从流量中获取的,则为源 IP 地址和目标 IP 地址。
- 如果文件是通过电子邮件收到的,则为发件人电子邮件地址和收件人电子邮件地址。
- 如果文件是从外部系统接收的,则为外部系统的 IP 地址和 ID。
- 如果文件是从 Endpoint Agent 主机接收的,则为主机的 IP 地址和名称。
- 如果文件是手动上传至 Kaspersky Anti Targeted Attack Platform 的,则为用户账户名称。
- 源类型:span、smtp、icap、pop3、external(外部系统)、endpoint(Endpoint Agent 主机)、upload(手动上传的文件)。
- 对于电子邮件消息,会记录 Message-ID 字段。
文件信息日志记录的特殊注意事项
在日志中搜索文件信息时,请牢记以下有关文件信息日志记录的特殊注意事项:
- 文件信息被记录两次:从流量中获取文件时和扫描文件时。如果 Sensor 组件与您的基础设施中的 Central Node 分开安装,则文件接收记录将转到 Sensor 组件的日志,而文件扫描记录将转到 Sensor 连接的 Central Node 组件的日志。如果 Central Node 组件和 Sensor 安装在同一台服务器上,则两个记录都会写入 Central Node 日志。
- 对于复合文件(例如,存档或电子邮件),如果子文件被 Kaspersky Anti Targeted Attack Platform 技术之一扫描,则会记录父文件的哈希值以及子文件的名称和哈希值。
文件 MD5 哈希值的 apt-history 日志记录示例
下表列出了文件 MD5 哈希值的 apt-history 日志记录示例。
文件 MD5 哈希值的 apt-history 日志记录示例
日志记录 |
值 |
2024-06-11 02:37:03.645586 info apt-history: f0429d4845208857cd303df968ef545e enqueued am, priority: normal |
该文件已被接收并利用反恶意软件引擎技术进行处理。 |
2024-06-11 02:37:03.647434 info apt-history: external KSMG sensor with ip 10.0.0.0 provide file with name: File_Name 2024/2025, md5: f0429d4845208857cd303df968ef545e, msg_id: <87c13e55e789aa966089b6bf2e8c453b@localhost.localdomain> |
从 Kaspersky Secure Mail Gateway 和 Kaspersky Security for Linux Mail Server 接收并在 Kaspersky Anti Targeted Attack Platform 中处理的对象的字符串。 值得关注的信息:
|
2024-06-11 02:37:03.847696 info apt-history: f0429d4845208857cd303df968ef545e engine am result {verdict: CLEAN, bases_version: 202406071010, detect_time: 2024-06-11 02:37:03.841275, rescan_priority: 3, sb_hash: 77f5b6276dd9b1c534b6c9adcff86845, multitask_details: {priority: background, tasks: {pdf: 1}}, scanEngines: [sb]} |
使用反恶意软件引擎技术处理对象的结果。包括扫描后分配给对象的状态 (CLEAN) 以及有关将用于额外扫描对象的技术的信息 (“scanEngines: [sb]”)。 值得关注的信息:
|
2024-06-11 02:37:03.886784 info apt-history: f0429d4845208857cd303df968ef545e enqueued sb: {pdf: 1}, priority: low, sb_priority: background |
该任务已发送到 Sandbox 组件进行处理。 值得关注的信息:
|
2024-06-11 02:37:04.179597 info apt-history: f0429d4845208857cd303df968ef545e delivered to sb, sb_hash: 77f5b6276dd9b1c534b6c9adcff86845, node: Server_Name, mtask_id: 900 |
该任务已发送到 Sandbox 组件进行处理。 值得关注的信息:
|
2024-06-11 02:38:44.515070 info apt-history: f0429d4845208857cd303df968ef545e sb result received, sb_hash: 77f5b6276dd9b1c534b6c9adcff86845, node: Server_Name, mtask_id: 900, priority: low |
已收到 Sandbox 组件处理对象的结果。 |
2024-06-11 02:38:44.783370 info apt-history: f0429d4845208857cd303df968ef545e engine sb result {bases_version: 202406102122, detect_time: 2024-06-11 02:38:44.776655, verdict: SILENT, hidden: True, details: [{file: //[From WCR <test@mail.com>][Date 11 Jun 2024 03:51:21][Subj Company_Name 2024/2025]/WCR-form.pdf, images: [{verdicts_info: {ScannerVersion: 1.22.3.34, ...}, hidden: True, verdict: SILENT, sb_id: fb15ec106318b0d54babce2379d956f7, image: Win7_x64, task_id: task0, file: //[From WCR <test@mail.com>][Date 11 Jun 2024 03:51:21][Subj Company_Name 2024/2025]/WCR-form.pdf, file_id: 1, filesize: 445856, md5: 0d87eebc9676214f35046a482150e537, tracing_mode: all_events, store_artifacts: False, bases_version: 202406102122, ids_bases_version: 202406101817, version: 1.22.3.34, suspicious_log: [], network_activity: {http: [], dns: []}}], verdict: SILENT, hidden: True, priority: 150}], md5_list: [], file_list: [], sb_hash: 77f5b6276dd9b1c534b6c9adcff86845, sb_names_map: {0: {md5: , name: }, 1: {md5: 0d87eebc9676214f35046a482150e537, name: //[From WCR <test@mail.com>][Date 11 Jun 2024 03:51:21][Subj Company_Name 2024/2025]/WCR-form.pdf}, 2: {md5: 71072dd9a36d7ce560cebc533ecb3cad, name: }}} |
Sandbox 组件对所有虚拟机上的对象进行处理的结果。 值得关注的信息:
|
2024-06-11 02:38:44.841529 info apt-history: New sb_detect for file alert: {id: 2720, victim: default, state: new, md5: f0429d4845208857cd303df968ef545e} |
Sandbox 组件处理结果的信息保存在应用程序数据库中。记录以供内部使用。这并不表示应用程序的警报数据库中存在警报。 |