查看有关主机的信息
要查看有关具有 Endpoint Agent 组件的主机的信息:
- 在应用程序 Web 界面窗口中选择“资产”部分。
- 转到“Endpoint Agent”选项卡。
- 选择您想查看信息的主机。
这将打开一个窗口,其中包含有关主机的信息。
该窗口包含以下信息:
- 推荐组:
- 单击警报链接将打开包含选定主机的筛选条件的警报部分。
- 单击事件链接将打开包含选定主机的搜索条件的威胁搜索部分。
- 单击受防止规则影响的事件链接将打开包含选定主机和阻止的应用程序 (防止规则)事件类型的搜索条件的威胁搜索部分。
如果您仅使用 KATA 功能(KATA 键),则只有“警报”链接显示在建议部分。
- 在详细信息选项卡上,主机部分显示以下信息:
- 名称是具有 Endpoint Agent 组件的主机的名称。
- IP是安装 Endpoint Agent 组件的主机的 IP 地址。
- 操作系统 — 安装了 Endpoint Agent 组件的主机上的操作系统版本。
- 在详细信息选项卡上,Endpoint Agent部分显示以下信息:
- 版本 — 安装的 Endpoint Agent 组件的版本。
- 活动是Endpoint Agent 组件的活动指示器。可能值:
- 正常活动用于最近从其收到最新数据的主机。
- 警告用于长久以前从其收到最新数据的主机。
- 严重不活动用于很久很久以前从其收到最新数据的主机。
- 服务器 — SCN 或 PCN 服务器的名称。仅在和下显示。
- 已连接到服务器 — Central Node 服务器的名称。
- 最后一次连接 — 上次连接到 Central Node、SCN 或 PCN 服务器的时间。
- 授权许可密钥状态 — 例如,“OK”。
- 在防护规则选项卡上,您可以查看被阻止在主机上运行或打开的文件的 MD5 或 SHA256 哈希值。将显示以下信息:
- 名称 — 文件的名称。
- 状态 — 防御规则的状态。
- 哈希 — 哈希算法。
如果您仅使用 KATA 功能(KATA 键),则不显示“防护规则”选项卡。
- 在任务选项卡上,您可以查看主机上运行了哪些任务。将显示以下信息:
- 创建时间 — 任务创建日期和时间。
- 名称 — 任务名称。
- 详细信息 — 为其创建了任务的文件或数据流的完整路径。
- 状态 — 任务完成状态。
如果您仅使用 KATA 功能(KATA 键),则不显示“任务”选项卡。
单击具有主机名的链接将打开一个列表,您可以从其中选择以下操作之一:
- 运行以下任务:
- 杀死进程。
- 删除文件。
- 获取文件。
- 进行取证。
- 隔离文件。
- 运行应用程序。
- 新的防止规则。
- 从网络隔离。
- 查找事件。
- 查找警报。
- 按照此值进行过滤。
- 从过滤器中排除。
- 复制值到剪贴板。
可用操作列表取决于 Endpoint Agent 组件的类型:适用于 Windows、Linux 或 Mac(有关详细信息,请参阅“应用程序的操作原则”部分)。
单击具有 IP 的链接将打开一个列表,您可以从其中选择以下操作之一:
如果您仅使用 KATA 功能(KATA 键),则在单击主机名和 IP 地址链接后显示的列表中,您可以执行以下操作:
页面顶部