查看已发送至 Kaspersky Anti Targeted Attack Platform 进行扫描的文件的信息

如果有必要,您可以查看该文件是否已在 Kaspersky Anti Targeted Attack Platform 中扫描,以及扫描结果是什么。为此,您必须使用 kata-collect 脚本获取有关应用程序操作的信息。

使用 kata-collect 脚本获取有关应用程序操作的信息。

  1. 登录到您要通过 SSH 或终端获取信息的服务器的管理控制台。

    如果您在分布式解决方案多租户模式下使用 Kaspersky Anti Targeted Attack Platform,则需要在每个 Central Node 服务器上执行这些步骤。如果您组织的基础架构已单独安装了 Sensor 组件,您还必须在具有此组件的服务器上执行以下步骤。如果应用程序作为集群部署,则必须在 Docker swarm 中具有“管理者”角色的服务器之一上执行这些步骤。要查看服务器角色,请使用 $ docker node ls 命令。

  2. 系统提示时,输入管理员用户名和安装组件期间指定的密码。

    显示应用程序组件管理员菜单。

  3. 在应用程序管理员菜单部分的列表中,选择“技术支持模式”部分。
  4. Enter 键。

    这将打开技术支持模式确认窗口。

  5. 确认您想要在技术支持模式下管理应用程序。为此,请选择并按Enter
  6. 通过执行以下命令来运行脚本:

    sudo kata-run.sh kata-collect --output-dir <路径>

您还可以为此命令指定一个或多个参数(请参阅下表)。

kata-collect 实用程序的参数

必需的参数

参数

描述

--output-dir <路径>

在指定路径创建目录,

其中<路径>是您要保存包含下载数据的存档的目录的绝对路径或相对路径。

如果不指定路径,数据存档默认保存在 /tmp/collect 目录中。

--no-prometheus

跳过准备和转储 prometheus 数据库。

此参数显著加快了脚本的速度。

--no-siem-logs

跳过下载写入 SIEM 系统的数据。

--siem-logs-range-start <YYYY-MM-DD-HH>

下载从该日期(含)开始写入 SIEM 系统的数据。

--siem-logs-range-end <YYYY-MM-DD-HH>

下载以此日期(含)结束的写入 SIEM 系统的数据。

示例:

使用按日期过滤的 SIEM 系统数据且不使用 prometheus 数据库来获取有关应用程序操作的信息的命令:

sudo kata-run.sh kata-collect --output-dir <路径> --no-prometheus --siem-logs-range-start <YYYY-MM-DD-HH> --siem-logs-range-end <YYYY-MM-DD-HH>

脚本完成后,collect--<存档下载日期>tar.gz 存档被保存到指定目录。Kaspersky Anti Targeted Attack Platform 接收并扫描的文件信息包含在日志中,该日志位于创建的存档内的 /logs/kaspersky/siem/log-history/ 目录中。如果某个文件被排除在扫描之外,则有关该文件的信息也会反映在日志中。

您可以通过名称或 MD5 哈希值找到任何文件。

如果该文件是由 Sensor 组件获取的,您可以通过以下字段找到它:

文件信息日志记录的特殊注意事项

在日志中搜索文件信息时,请牢记以下有关文件信息日志记录的特殊注意事项:

文件 MD5 哈希值的 apt-history 日志记录示例

下表列出了文件 MD5 哈希值的 apt-history 日志记录示例。

文件 MD5 哈希值的 apt-history 日志记录示例

日志记录

2024-06-11 02:37:03.645586 info apt-history: f0429d4845208857cd303df968ef545e enqueued am, priority: normal

该文件已被接收并利用反恶意软件引擎技术进行处理。

2024-06-11 02:37:03.647434 info apt-history: external KSMG sensor with ip 10.0.0.0 provide file with name: File_Name 2024/2025, md5: f0429d4845208857cd303df968ef545e, msg_id: <87c13e55e789aa966089b6bf2e8c453b@localhost.localdomain>

从 Kaspersky Secure Mail Gateway 和 Kaspersky Security for Linux Mail Server 接收并在 Kaspersky Anti Targeted Attack Platform 中处理的对象的字符串。

值得关注的信息:

  • 外部 KSMG 传感器,IP 为 10.0.0.0 — Kaspersky Secure Mail Gateway 服务器的 IP 地址。
  • File_Name 2024/2025 — 文件名
  • md5 — 正在扫描的文件的 MD5 哈希值
  • msg_id — 消息 ID

2024-06-11 02:37:03.847696 info apt-history: f0429d4845208857cd303df968ef545e engine am result {verdict: CLEAN, bases_version: 202406071010, detect_time: 2024-06-11 02:37:03.841275, rescan_priority: 3, sb_hash: 77f5b6276dd9b1c534b6c9adcff86845, multitask_details: {priority: background, tasks: {pdf: 1}}, scanEngines: [sb]}

使用反恶意软件引擎技术处理对象的结果。包括扫描后分配给对象的状态 (CLEAN) 以及有关将用于额外扫描对象的技术的信息 (“scanEngines: [sb]”)。

值得关注的信息:

  • multitask_details — 扫描任务的详细信息
  • priority — 扫描的优先级

    可能的值是“background”、“must”

  • scanEngines — 扫描技术

    可能的值是 [yr](代表 YARA)和 [sb](代表 Sandbox)。

2024-06-11 02:37:03.886784 info apt-history: f0429d4845208857cd303df968ef545e enqueued sb: {pdf: 1}, priority: low, sb_priority: background

该任务已发送到 Sandbox 组件进行处理。

值得关注的信息:

  • {pdf: 1} — 发送以扫描的对象数量和类型
  • low — 处理优先级

    可能的处理优先级值为“low”、“medium”、“high”。

  • background — Sandbox 组件处理的队列类型。

    可能的值是“background”、“must”

2024-06-11 02:37:04.179597 info apt-history: f0429d4845208857cd303df968ef545e delivered to sb, sb_hash: 77f5b6276dd9b1c534b6c9adcff86845, node: Server_Name, mtask_id: 900

该任务已发送到 Sandbox 组件进行处理。

值得关注的信息:

  • node:Server_Name — 具有 Sandbox 组件的服务器的名称
  • mtask_id: 900 — 任务 ID。

2024-06-11 02:38:44.515070 info apt-history: f0429d4845208857cd303df968ef545e sb result received, sb_hash: 77f5b6276dd9b1c534b6c9adcff86845, node: Server_Name, mtask_id: 900, priority: low

已收到 Sandbox 组件处理对象的结果。

2024-06-11 02:38:44.783370 info apt-history: f0429d4845208857cd303df968ef545e engine sb result {bases_version: 202406102122, detect_time: 2024-06-11 02:38:44.776655, verdict: SILENT, hidden: True, details: [{file: //[From WCR <test@mail.com>][Date 11 Jun 2024 03:51:21][Subj Company_Name 2024/2025]/WCR-form.pdf, images: [{verdicts_info: {ScannerVersion: 1.22.3.34, ...}, hidden: True, verdict: SILENT, sb_id: fb15ec106318b0d54babce2379d956f7, image: Win7_x64, task_id: task0, file: //[From WCR <test@mail.com>][Date 11 Jun 2024 03:51:21][Subj Company_Name 2024/2025]/WCR-form.pdf, file_id: 1, filesize: 445856, md5: 0d87eebc9676214f35046a482150e537, tracing_mode: all_events, store_artifacts: False, bases_version: 202406102122, ids_bases_version: 202406101817, version: 1.22.3.34, suspicious_log: [], network_activity: {http: [], dns: []}}], verdict: SILENT, hidden: True, priority: 150}], md5_list: [], file_list: [], sb_hash: 77f5b6276dd9b1c534b6c9adcff86845, sb_names_map: {0: {md5: , name: }, 1: {md5: 0d87eebc9676214f35046a482150e537, name: //[From WCR <test@mail.com>][Date 11 Jun 2024 03:51:21][Subj Company_Name 2024/2025]/WCR-form.pdf}, 2: {md5: 71072dd9a36d7ce560cebc533ecb3cad, name: }}}

Sandbox 组件对所有虚拟机上的对象进行处理的结果。

值得关注的信息:

  • verdict — 扫描文件的结果。根据在所有虚拟机上扫描文件的结果生成。对于结果为 SILENT 的警报,不会在警报数据库中创建任何记录。
  • hidden: True — 具有此结果的对象不需要 Kaspersky Anti Targeted Attack Platform 模块进一步扫描。
  • details — 有关扫描虚拟机中的对象的信息。

    包括以下字段:

    • file — 用于显示的文件的名称 (WCR-form.pdf)。在此记录中,字段包含以下信息:
    • From — 发件人电子邮件地址。
    • Date — 事件的日期和时间。
    • Subj — 邮件主题。
    • images — 有关在虚拟机中扫描对象的信息。
    • verdicts_info — 文件扫描的结果。对于扫描对象的每个虚拟机来说可能都不同。
    • hidden: True — 具有此结果的对象不需要 Kaspersky Anti Targeted Attack Platform 模块进一步扫描。
    • verdict — 在虚拟机上扫描文件的结果。对于结果为 SILENT 的警报,不会在警报数据库中创建任何记录。
    • image — 执行文件的镜像。
    • filesize — 文件的大小。
    • md5 — 文件的 MD5 哈希。
    • tracing mode: all_events — 文件启动后执行的操作的记录。
    • suspicious log [] — 文件执行的恶意操作的记录。

    该字段没有值,因为该文件没有执行任何恶意操作。

    • network activity — 由文件发起的网络活动。
    • http [] — 该文件未发出任何 HTTP 请求。
    • dns [] — 该文件未发出任何 DNS 请求。

    “suspicious log”和“network activity”字段仅记录恶意活动的事实。如果您想查看警报的详细信息,您可以在应用程序 Web 界面中进行查看。

    • priority — 扫描的优先级

    可能的值是 1 表示高、100 表示标准、150 表示后台扫描。

    • md5_list — 扫描时生成警报的文件的 MD5 哈希值。
    • file_list — 扫描时生成警报的文件的名称。
    • sb_names_map — 在应用程序 Web 界面上的警报详细信息中显示的文件名。

2024-06-11 02:38:44.841529 info apt-history: New sb_detect for file alert: {id: 2720, victim: default, state: new, md5: f0429d4845208857cd303df968ef545e}

Sandbox 组件处理结果的信息保存在应用程序数据库中。记录以供内部使用。这并不表示应用程序的警报数据库中存在警报。

页面顶部