В правой части окна в блоке Рекомендации отображаются рекомендации, которые вы можете выполнить, и количество алертов или событий, имеющих общие признаки с алертом, над которым вы работаете.
Вы можете выполнить следующие рекомендации:
В разделе Оценка раскройте список Найти похожие алерты.
Отобразится список признаков, по которым вы можете найти похожие алерты, и количество похожих алертов по каждому признаку.
Выберите один из следующих признаков:
По MD5. По ссылке в новой вкладке браузера откроется таблица алертов Алерты, отфильтрованных по столбцу Сведения ‑ MD5-хешу. MD5-хеш файла из алерта, над которым вы работаете, выделен желтым цветом.
По SHA256. По ссылке в новой вкладке браузера откроется таблица алертов Алерты, отфильтрованных по столбцу Сведения ‑ SHA256-хешу. SHA256-хеш файла из алерта, над которым вы работаете, выделен желтым цветом.
По имени хоста. По ссылке в новой вкладке браузера откроется таблица алертов Алерты, отфильтрованных по столбцу Адрес источника. Имя хоста из алерта, над которым вы работаете, выделено желтым цветом.
По адресу отправителя. По ссылке в новой вкладке браузера откроется таблица алертов Алерты, отфильтрованных по столбцу Адрес источника. Адрес отправителя сообщения электронной почты из алерта, над которым вы работаете, выделен желтым цветом.
По адресу получателя. По ссылке в новой вкладке браузера откроется таблица алертов Алерты, отфильтрованных по столбцу Адрес назначения. Адрес получателя сообщения электронной почты из алерта, над которым вы работаете, выделен желтым цветом.
По URL. По ссылке в новой вкладке браузера откроется таблица алертов Алерты, отфильтрованных по столбцу Сведения ‑ URL-адресу из алерта, над которым вы работаете.
В разделе Оценка выберите Найти похожие события. По ссылке в новой вкладке браузера откроется таблица событий Поиск угроз. В условиях поиска выбран тип события Результат обработки обнаружения и настроен фильтр поиска, например, по RemoteIP, MD5, SHA256, URI. В значениях фильтрации указаны свойства алерта, над которым вы работаете. Например, MD5 файла из алерта.
Действие доступно только если вы используете функциональность KEDR и добавили лицензионный ключ KEDR.
Kaspersky Endpoint Detection and Response. Функциональный блок программы Kaspersky Anti Targeted Attack Platform, обеспечивающий защиту компьютеров локальной сети организации.
В разделе Расследование выберите Найти похожие события. По ссылке в новой вкладке браузера откроется таблица событий Поиск угроз. В условиях поиска настроен фильтр поиска, например, по RemoteIP, MD5, SHA256, URI. В значениях фильтрации указаны свойства алерта, над которым вы работаете. Например, MD5 файла из алерта.
Действие доступно только если вы используете функциональность KEDR и добавили лицензионный ключ KEDR.