有关“远程连接”事件的信息

显示“到远程主机的连接”事件信息的窗口包含以下详细信息：

事件树。
处理事件时可以执行的操作。
到远程主机的连接部分：
- IOA 标记— 有关使用 Targeted Attack Analyzer 技术进行文件分析的结果的信息：用于创建警报的 TAA (IOA) 规则的名称。
  单击链接可显示有关 TAA (IOA) 规则的信息。如果规则是由卡巴斯基专家提供的，则它包含有关触发的MITRE 技术的信息以及对事件进行反应的建议。
  MITRE ATT&CK （对抗策略、技术和常识）数据库包含基于真实攻击分析的黑客行为描述。它是以表格形式表示的已知黑客技术的结构化列表。
  
  如果在创建事件时触发了 TAA (IOA) 规则，则会显示该字段。
- 连接方向是连接方向（入站或出站）。
- 远程 IP — 进行远程连接尝试的主机的 IP 地址。
- 本地 IP — 进行远程连接尝试的本地计算机的 IP 地址。
- 事件时间 — 远程连接尝试的时间。
“TLS”部分：
- 版本 — 协议的版本。
- SNI — 要连接的网站的名称。
- 加密 SNI — 网站的加密名称。
- 证书 MD5 — 证书文件的 MD5 哈希。
- 证书 SHA1 — 证书文件的 SHA1 哈希。
- 证书颁发者名称 — 签署证书的组织的名称。
- 序列号 — 证书的唯一号码。
- 证书验证结果 — 证书验证的结果。
- 证书有效期自 — 证书有效的日期。
- 证书有效期至 — 证书过期的日期。
- JA3 — 客户端 hello 数据包中以下字段的十进制字节值：TLS 版本、密码套件、TLS 协议扩展列表、椭圆曲线和椭圆曲线格式。要分隔字段，请使用“ ，”字符；要分隔每个字段中的值，请使用“-”字符。
- JA3S — 服务器 hello 数据包中以下字段的十进制字节值：TLS 版本、密码套件和 TLS 协议扩展列表。要分隔字段，请使用“ ，”字符；要分隔每个字段中的值，请使用“-”字符。
- JA3 MD5 — JA3 指纹。
- JA3S MD5 — JA3S 指纹。
事件发起者部分：
- 文件 — 父进程文件的名称。
- MD5 — 父进程文件的 MD5 哈希。
- SHA256 — 父进程文件的 SHA256 哈希。
系统信息部分：
- 主机名称 — 进行远程连接尝试的主机名。
- 主机 IP — 从其进行远程连接尝试的主机的 IP 地址。
  如果您使用动态 IP 地址，该字段将显示创建事件时分配给主机的 IP 地址。
  该应用程序不支持 IPv6。如果您使用 IPv6，则不会显示主机的 IP 地址。
- 用户名称 — 尝试建立远程连接的用户名。
- 操作系统版本— 主机上使用的操作系统版本。