有关“注册表更改”事件的信息

显示“注册表已修改”事件信息的窗口包含以下详细信息：

事件树。
处理事件时可以执行的操作。
根据对注册表执行的操作类型，事件信息中会显示以下部分名称之一：
- 注册表键已创建
- 注册表键已删除
- 注册表已修改
- 查询的注册表项
- 注册表键已重命名
- 注册表键已保存
该部分显示以下信息：
- IOA 标记— 有关使用 Targeted Attack Analyzer 技术进行文件分析的结果的信息：用于创建警报的 TAA (IOA) 规则的名称。
  单击链接可显示有关 TAA (IOA) 规则的信息。如果规则是由卡巴斯基专家提供的，则它包含有关触发的MITRE 技术的信息以及对事件进行反应的建议。
  MITRE ATT&CK （对抗策略、技术和常识）数据库包含基于真实攻击分析的黑客行为描述。它是以表格形式表示的已知黑客技术的结构化列表。
  
  如果在创建事件时触发了 TAA (IOA) 规则，则会显示该字段。
- “文件”是保存注册表项的文件的完整路径。
  针对“注册表键已保存”类型的事件显示此字段。
- 密钥路径是被修改的注册表项的路径
- 值名称：例如，RegistrySizeLimit
- 值数据是注册表项的值
- 值类型：例如，REG_DWORD
- 事件时间是修改注册表的时间。
  更改注册表项的名称或值时，您可能会看到其他字段，其中包含有关注册表项修改之前的状态的信息：
  - 之前的密钥路径字段在注册表项名称被修改时显示。
  - 之前的值数据字段在注册表值被修改时显示。
  - 之前的值类型字段在注册表值的类型被修改时显示。
    如果您使用 Kaspersky Endpoint Agent 作为 Endpoint Agent 组件，则仅当 Kaspersky Anti Targeted Attack Platform 与 Kaspersky Endpoint Agent for Windows 应用程序版本 3.10 及更高版本集成时，Kaspersky Anti Targeted Attack Platform 才会收到填充之前的密钥路径、之前的值数据、之前的值类型字段所需的数据。将应用程序与旧版本的 Kaspersky Endpoint Agent 集成时，这些字段不会显示在事件信息中。
事件发起者部分：
- 文件 — 父进程文件的路径。
  单击具有文件名称或文件路径的链接将打开一个列表，您可以在其中选择以下操作之一：
  - 查找事件。
  - 查找警报。
  - 复制值到剪贴板。
  运行以下任务：
  - 杀死进程。
  - 使用唯一的 PID 杀死进程。
  - 删除文件。
  - 获取文件。
  - 进行取证。
  - 隔离文件。
- MD5 — 父进程文件的 MD5 哈希。
  单击 MD5 链接将打开一个列表，您可以从其中选择以下操作之一：
  - 查找事件。
  - 查找警报。
  - 在 Kaspersky TIP 上查找。
    卡巴斯基信息系统包含并显示文件和 URL 地址的信誉信息。
  - 在存储中查找。
  - 创建防止规则。
  复制值到剪贴板。
- SHA256 — 父进程文件的 SHA256 哈希。
  单击 SHA256 链接将打开一个列表，您可以从其中选择以下操作之一：
  - 查找事件。
  - 查找警报。
  - 在 Kaspersky TIP 上查找。
  - 在存储中查找。
  - 创建防止规则。
  - 复制值到剪贴板。
系统信息部分：
- 主机名称 — 在其上进行了注册表修改的主机的名称。
  单击具有主机名的链接将打开一个列表，您可以从其中选择以下操作之一：
  - 查找事件。
  - 查找警报。
  - 复制值到剪贴板。
  运行以下任务：
  - 获取数据 → 文件、取证、磁盘镜像、内存转储。
  - 杀死进程。
  - 删除文件。
  - 隔离文件。
  - 运行应用程序。
- 主机 IP — 在其上进行了注册表修改的主机的 IP 地址。
  如果您使用动态 IP 地址，该字段将显示创建事件时分配给主机的 IP 地址。
  该应用程序不支持 IPv6。如果您使用 IPv6，则不会显示主机的 IP 地址。
- 用户名称 — 在注册表中进行更改的用户的名称。
- 操作系统版本 — 主机上使用的操作系统版本。