Информация о событии Изменение в реестре

В окне с информацией о событиях типа Изменение в реестре содержатся следующие сведения:

• Дерево событий.
• Действия, которые можно выполнить для обработки события.
• В зависимости от типа операции, которая была проведена с реестром, в информации о событии отображается одно из следующих названий раздела:
  • Создан ключ реестра.
  • Удален ключ реестра.
  • Изменен реестр.
  • Запрошен ключ реестра.
  • Переименован ключ реестра.
  • Сохранен ключ реестра.

  В разделе отображается следующая информация:

  • Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), в соответствии с которым выполнено обнаружение.

    По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.

    База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.

    Поле отображается, если при создании события сработало правило TAA (IOA).

  • Файл – полный путь к файлу, в который был сохранен ключ реестра.

    Поле отображается для типа события Сохранен ключ реестра.

  • Путь к ключу – путь к разделу реестра, в котором произошло изменение.
  • Имя параметра – например, RegistrySizeLimit.
  • Значение параметра – значение параметра реестра.
  • Тип параметра – например, REG_DWORD.
  • Время события – время внесения изменения в реестр.

    При изменении имени или параметра ключа реестра могут отображаться дополнительные поля с информацией о состоянии ключа реестра до его изменения:

    • поле Предыдущий путь к ключу отображается при изменении имени ключа реестра;
    • поле Предыдущее значение параметра отображается при изменении значения параметра реестра;
    • поле Предыдущий тип параметра отображается при изменении типа параметра реестра.

      Если в качестве компонента Endpoint Agent вы используете приложение Kaspersky Endpoint Agent, Kaspersky Anti Targeted Attack Platform получает данные, необходимые для заполнения полей Предыдущий путь к ключу, Предыдущее значение параметра, Предыдущий тип параметра, только при интеграции Kaspersky Anti Targeted Attack Platform с приложением Kaspersky Endpoint Agent для Windows версии 3.10 и выше. При интеграции приложения с предыдущими версиями Kaspersky Endpoint Agent указанные поля не будут отображаться в информации о событии.

• Раздел Инициатор события:
  • Файл – путь к файлу родительского процесса.

    По ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:

    • Найти события.
    • Найти алерты.
    • Скопировать значение в буфер.

    Выполнить задачи:

    • Завершить процесс.
    • Завершить по уникальному PID.
    • Удалить файл.
    • Получить файл.
    • Собрать форензику.
    • Поместить файл на карантин.
  • MD5 – MD5-хеш файла родительского процесса.

    По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:

    • Найти события.
    • Найти алерты.
    • Найти на Kaspersky TIP.

      Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.

    • Найти в Хранилище.
    • Создать правило запрета.

    Скопировать значение в буфер.

  • SHA256 – SHA256-хеш файла родительского процесса.

    По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:

    • Найти события.
    • Найти алерты.
    • Найти на Kaspersky TIP.
    • Найти в Хранилище.
    • Создать правило запрета.
    • Скопировать значение в буфер.
• Раздел Сведения о системе:
  • Имя хоста – имя хоста, на котором было произведено изменение в реестре.

    По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

    • Найти события.
    • Найти алерты.
    • Скопировать значение в буфер.

    Выполнить задачи:

    • Собрать данные → Файл, Форензика, Образ диска, Дамп памяти.
    • Завершить процесс.
    • Удалить файл.
    • Поместить файл на карантин.
    • Выполнить приложение.
  • IP хоста – IP-адрес хоста, на котором было произведено изменение в реестре.

    Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный хосту на момент создания события.

    Приложение не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес хоста не отображается.

  • Имя пользователя – имя пользователя, совершившего изменение в реестре.
  • Версия ОС – версия операционной системы, используемой на хосте.

См. также Информация о событиях Рекомендации по обработке событий Информация о событиях в дереве событий Просмотр таблицы событий Настройка отображения таблицы событий Просмотр информации о событии Информация о событии Запущен процесс Информация о событии Завершен процесс Информация о событии Загружен модуль Информация о событии Удаленное соединение Информация о событии Правило запрета Информация о событии Заблокирован документ Информация о событии Изменен файл Информация о событии Журнал событий ОС Информация о событии Прослушан порт Информация о событии Загружен драйвер Информация о событии DNS Информация о событии LDAP Информация о событии Именованный канал Информация о событии WMI Информация о событии Обнаружение Информация о событии Результат обработки обнаружения Информация о событии Интерпретированный запуск файла Информация о событии AMSI-проверка Информация о событии Интерактивный ввод команд в консоли Информация о событии Внедрение кода Информация о событии Доступ к процессу

В начало