查看事件表
事件表在事件数据库中的威胁搜寻完成后显示在应用程序 Web 界面窗口的威胁搜索部分。您可以按事件时间、事件类型、主机和用户名称列对表中的事件进行排序。
如果您使用分布式解决方案和多租户模式,表中的事件将按所选服务器和租户的主机进行分组。
事件表包含以下信息:
- 事件时间 — 检测到事件的日期和时间。
- 事件类型,例如,进程已启动。
- 主机名称 — 生成警报的主机名称。
- 详细信息 — 有关事件的信息。
- 用户名称 — 具有 Endpoint Agent 组件的计算机上的用户名称,其用户账户被用于检测事件。
在事件表中,详细信息列在事件类型列中显示每种类型事件的数据集(见下表)。
事件类型列中每个事件类型的详细信息列中的数据集
事件类型 |
详细信息 |
|---|---|
进程已启动 |
已启动的进程文件的名称。SHA256 和 MD5 哈希。 |
模块已加载 |
已加载的动态库的名称。SHA256 和 MD5 哈希。 |
到远程主机的连接 |
进行远程连接尝试的 URL。尝试建立远程连接的文件的名称。 |
阻止的应用程序 (防止规则) |
阻止启动的应用程序文件的名称。SHA256 和 MD5 哈希。 |
文件已阻止 |
阻止启动的文档的名称。SHA256 和 MD5 哈希。 |
文件已更改 |
创建的文件的名称。SHA256 和 MD5 哈希。 |
系统事件日志 |
用于在系统日志中记录事件的通道。事件类型 ID。 |
注册表已修改 |
注册表中键的名称。 |
监听的端口 |
服务器地址和端口。监听端口的进程文件的名称。 |
驱动程序已加载 |
加载的驱动程序的文件名。SHA256 和 MD5 哈希。 |
检测 |
检测到对象的文件的名称。检测到的对象的名称。SHA256 和 MD5 哈希。 |
检测处理结果 |
检测到对象的文件的名称。检测到的对象的名称。SHA256 和 MD5 哈希。 |
AMSI 扫描 |
扫描对象的名称。脚本的类型。被发送以进行扫描的脚本文本。 |
进程: 解释文件运行 |
运行的文件的名称。SHA256 和 MD5 哈希。 |
进程: 控制台交互式输入 |
命令文本。 |
进程已终止 |
已停止进程的文件名。SHA256 和 MD5 哈希。 |
DNS |
正在查找的域名。资源记录类型 ID。 |
LDAP |
搜索范围和过滤器。 |
命名管道 |
管道名称。管道操作类型。 |
WMI |
WMI 操作类型。事件消费者源代码。 |
代码注入 |
包含钩子过程的目标进程的文件名或动态链接库的名称以及注入后传递控制权的函数的名称。访问目标进程文件的方法。目标进程文件的 SHA256 和 MD5 哈希。 |
进程访问 |
接收者进程文件的名称。事件的重要性。对流程文件执行的操作类型。进程访问权限。 |
如果您使用 Kaspersky Endpoint Agent 作为 Endpoint Agent 组件,当 Kaspersky Anti Targeted Attack Platform 与 Kaspersky Endpoint Agent for Windows 3.10 或更高版本集成时以及当 Kaspersky Endpoint Agent 与 Kaspersky Endpoint Security for Windows 11.5 或更高版本集成时,有关AMSI 扫描事件的信息可用。如果计算机上未安装 Kaspersky Endpoint Security for Windows 且未与 Kaspersky Endpoint Agent 集成,则有关AMSI 扫描事件的信息不会记录在事件数据库中,也不会显示在 Kaspersky Anti Targeted Attack Platform Web 界面中。
如果 Kaspersky Endpoint Agent 被用作 Endpoint Agent 组件,则 Central Node 服务器会基于从 EPP 应用程序接收的数据的事件生成检测和检测处理结果。如果计算机上未安装 EPP 应用程序且未与 Kaspersky Endpoint Agent 集成,则有关这些事件的信息不会记录在事件数据库中,也不会显示在 Kaspersky Anti Targeted Attack Platform Web 界面中。
单击包含事件类型名称、数据、其他信息和用户名的链接将打开一个列表,您可以从其中选择要在对象上执行的操作。根据单元格中的值,您可以执行以下操作之一:
- 对于单元格中的所有值:
- 按照此值进行过滤。
- 从过滤器中排除。
- 复制值到剪贴板。
- 主机名称:
- 文件名:
- MD5 哈希:
- SHA256 哈希值: