查看警报
Kaspersky Anti Targeted Attack Platform 的 Web 界面显示用户应该跟踪的以下类型的警报:
- 文件已下载,或试图将文件下载到企业 LAN 计算机。应用程序在组织的本地网络的镜像流量,或 HTTP 流量、FTP 流量以及 HTTPS 流量(如果管理员在代理服务器上配置了 SSL 证书更换)的 ICAP 数据里检测到此文件。
- 文件已发送到企业 LAN 上的用户的电子邮件地址。应用程序在通过 POP3 或 SMTP 协议接收或者从具有 Kaspersky Secure Mail Gateway 的虚拟机或服务器(如果有在组织中使用)接收的电子邮件信息副本中检测到此文件。
- 网站链接在企业 LAN 计算机上打开。应用程序在组织的本地网络的镜像流量,或 HTTP 流量、FTP 流量以及 HTTPS 流量(如果管理员在代理服务器上配置了 SSL 证书更换)的 ICAP 数据里检测到此网络链接。
- 检测到在企业 LAN 计算机的 IP 地址或域名上有网络活动发生。应用程序在组织的本地网络的镜像流量中检测到此网络活动。
- 在企业 LAN 计算机上的进程已启动。应用程序检测到使用安装在属于公司 IT 基础架构的计算机上的 Endpoint Agent 组件的进程。
如果检测到文件,则在应用程序 Web 界面上将显示以下信息,具体取决于生成警报的应用程序模块或组件:
- 有关警报和检测到的文件的常规信息(例如,在其上检测到文件的计算机的 IP 地址,以及检测到的文件的名称)。
- 由 AM 引擎执行的文件病毒扫描结果。
- 由 Yara 模块执行的扫描文件以检查是否有入侵企业 IT 基础构架的迹象的结果。
- Sandbox 组件执行的文件行为分析的结果。
- 使用机器学习技术对云基础架构中的 APK 可执行文件进行分析的结果。
如果检测到网站链接,应用程序 Web 界面中将显示以下信息,具体取决于生成警报的应用程序模块或组件:
- 有关警报和检测到的网站链接的常规信息(例如,在其上检测到网站链接的计算机的 IP 地址,以及网站链接的地址)。
- 由 URL 信誉模块执行的链接扫描结果,旨在检测恶意软件迹象,钓鱼 URL 地址以及黑客之前用于对企业 IT 基础构架进行针对性攻击的 URL 地址。
如果应用程序在企业 LAN 上检测到计算机的 IP 地址或域名的网络活动,则应用程序 Web 界面可能显示以下信息:
- 警报和检测到的网络活动的详细信息。
- 由入侵检测系统模块 (IDS) 执行的 Web 流量扫描结果,该扫描旨在根据预设规则检测入侵企业 IT 基础构架的迹象。
- 使用 Kaspersky TAA (IOA) 规则执行的网络活动扫描的结果。
- 使用 TAA (IOA)、IDS、IOC 用户规则执行网络活动扫描的结果。
如果应用程序在安装了 Endpoint Agent 组件的企业 LAN 计算机上检测到运行的进程,那么应用程序 Web 界面可显示以下信息:
- 有关警报和计算机上运行进程的常规信息。
- 使用 Kaspersky TAA (IOA) 规则对计算机执行网络活动扫描的结果。
- 使用 TAA (IOA)、IOC 用户规则对计算机执行网络活动扫描的结果。
警报可以由具有以下角色的用户管理:“安全官”和“高级安全官”。具有“安全审计员”角色的用户可以查看警报。
页面顶部