查看已发送至 Kaspersky Anti Targeted Attack Platform 进行扫描的文件的信息

如果有必要,您可以查看该文件是否已在 Kaspersky Anti Targeted Attack Platform 中扫描,以及扫描结果是什么。为此,您必须使用 kata-collect 脚本获取有关应用程序操作的信息。

要使用 kata-collect 脚本获取有关应用程序性能的信息:

按照“下载 Kaspersky Anti Targeted Attack Platform 日志”部分给出的说明的步骤进行操作。

完成说明的步骤后,包含 Kaspersky Anti Targeted Attack Platform 日志文件的 collect--<存档下载日期>.tar.gz 存档被放置在指定目录中。接收并扫描的文件信息包含在日志中,该日志位于此存档内的 /logs/kaspersky/siem/log-history/ 目录中。如果某个文件被排除在扫描之外,则有关该文件的信息也会反映在日志中。

您可以通过名称或 MD5 哈希值找到任何文件。

如果该文件是由 Sensor 组件获取的,您可以通过以下字段找到它:

文件信息日志记录的特殊注意事项

在日志中搜索文件信息时,请牢记以下有关文件信息日志记录的特殊注意事项:

文件 MD5 哈希值的 apt-history 日志记录示例

下表列出了文件 MD5 哈希值的 apt-history 日志记录示例。

文件 MD5 哈希值的 apt-history 日志记录示例

日志记录

2024-06-11 02:37:03.645586 info apt-history: f0429d4845208857cd303df968ef545e enqueued am, priority: normal

该文件已被接收并利用反恶意软件引擎技术进行处理。

2024-06-11 02:37:03.647434 info apt-history: external KSMG sensor with ip 10.0.0.0 provide file with name: File_Name 2024/2025, md5: f0429d4845208857cd303df968ef545e, msg_id: <87c13e55e789aa966089b6bf2e8c453b@localhost.localdomain>

从 Kaspersky Secure Mail Gateway 和 Kaspersky Security for Linux Mail Server 接收并在 Kaspersky Anti Targeted Attack Platform 中处理的对象的字符串。

值得关注的信息:

  • 外部 KSMG 传感器,IP 为 10.0.0.0 — Kaspersky Secure Mail Gateway 服务器的 IP 地址
  • File_Name 2024/2025 — 文件名
  • md5 — 正在扫描的文件的 MD5 哈希值
  • msg_id — 消息 ID

2024-06-11 02:37:03.847696 info apt-history: f0429d4845208857cd303df968ef545e engine am result {verdict: CLEAN, bases_version: 202406071010, detect_time: 2024-06-11 02:37:03.841275, rescan_priority: 3, sb_hash: 77f5b6276dd9b1c534b6c9adcff86845, multitask_details: {priority: background, tasks: {pdf: 1}}, scanEngines: [sb]}

使用反恶意软件引擎技术处理对象的结果。包括扫描后分配给对象的状态 (CLEAN) 以及有关将用于额外扫描对象的技术的信息 (“scanEngines: [sb]”)。

值得关注的信息:

  • multitask_details — 扫描任务的详细信息
  • priority — 扫描的优先级

    可能的值是“background”、“must”

  • scanEngines — 扫描技术

    可能的值是 [yr](代表 YARA)和 [sb](代表 Sandbox)。

2024-06-11 02:37:03.886784 info apt-history: f0429d4845208857cd303df968ef545e enqueued sb: {pdf: 1}, priority: low, sb_priority: background

该任务已发送到 Sandbox 组件进行处理。

值得关注的信息:

  • {pdf: 1} — 发送以扫描的对象数量和类型
  • low — 处理优先级

    可能的处理优先级值为“low”、“medium”、“high”。

  • background — Sandbox 组件处理的队列类型。

    可能的值是“background”、“must”

2024-06-11 02:37:04.179597 info apt-history: f0429d4845208857cd303df968ef545e delivered to sb, sb_hash: 77f5b6276dd9b1c534b6c9adcff86845, node: Server_Name, mtask_id: 900

该任务已发送到 Sandbox 组件进行处理。

值得关注的信息:

  • node:Server_Name — 具有 Sandbox 组件的服务器的名称
  • mtask_id: 900 — 任务 ID

2024-06-11 02:38:44.515070 info apt-history: f0429d4845208857cd303df968ef545e sb result received, sb_hash: 77f5b6276dd9b1c534b6c9adcff86845, node: Server_Name, mtask_id: 900, priority: low

已收到 Sandbox 组件处理对象的结果。

2024-06-11 02:38:44.783370 info apt-history: f0429d4845208857cd303df968ef545e engine sb result {bases_version: 202406102122, detect_time: 2024-06-11 02:38:44.776655, verdict: SILENT, hidden: True, details: [{file: //[From WCR <test@mail.com>][Date 11 Jun 2024 03:51:21][Subj Company_Name 2024/2025]/WCR-form.pdf, images: [{verdicts_info: {ScannerVersion: 1.22.3.34, ...}, hidden: True, verdict: SILENT, sb_id: fb15ec106318b0d54babce2379d956f7, image: Win7_x64, task_id: task0, file: //[From WCR <test@mail.com>][Date 11 Jun 2024 03:51:21][Subj Company_Name 2024/2025]/WCR-form.pdf, file_id: 1, filesize: 445856, md5: 0d87eebc9676214f35046a482150e537, tracing_mode: all_events, store_artifacts: False, bases_version: 202406102122, ids_bases_version: 202406101817, version: 1.22.3.34, suspicious_log: [], network_activity: {http: [], dns: []}}], verdict: SILENT, hidden: True, priority: 150}], md5_list: [], file_list: [], sb_hash: 77f5b6276dd9b1c534b6c9adcff86845, sb_names_map: {0: {md5: , name: }, 1: {md5: 0d87eebc9676214f35046a482150e537, name: //[From WCR <test@mail.com>][Date 11 Jun 2024 03:51:21][Subj Company_Name 2024/2025]/WCR-form.pdf}, 2: {md5: 71072dd9a36d7ce560cebc533ecb3cad, name: }}}

Sandbox 组件对所有虚拟机上的对象进行处理的结果。

值得关注的信息:

  • verdict — 扫描文件的结果。根据在所有虚拟机上扫描文件的结果生成。对于结果为 SILENT 的检测,不会在检测数据库中创建任何记录。
  • hidden: True — 具有此结果的对象不需要 Kaspersky Anti Targeted Attack Platform 模块进一步扫描。
  • details — 有关扫描虚拟机中的对象的信息。

    包括以下字段:

    • file — 用于显示的文件的名称 (WCR-form.pdf)。在此记录中,字段包含以下信息:
    • From — 发件人电子邮件地址。
    • Date — 事件的日期和时间。
    • Subj — 邮件主题。
    • images — 有关在虚拟机中扫描对象的信息。
    • verdicts_info — 文件扫描的结果。对于扫描对象的每个虚拟机来说可能都不同。
    • hidden: True — 具有此结果的对象不需要 Kaspersky Anti Targeted Attack Platform 模块进一步扫描。
    • verdict — 在虚拟机上扫描文件的结果。对于结果为 SILENT 的检测,不会在检测数据库中创建任何记录。
    • image — 执行文件的镜像。
    • filesize — 文件的大小。
    • md5 — 文件的 MD5 哈希。
    • tracing mode: all_events — 文件启动后执行的操作的记录。
    • suspicious log [] — 文件执行的恶意操作的记录。

    该字段没有值,因为该文件没有执行任何恶意操作。

    • network activity — 由文件发起的网络活动。
    • http [] — 该文件未发出任何 HTTP 请求。
    • dns [] — 该文件未发出任何 DNS 请求。

    “suspicious log”和“network activity”字段仅记录恶意活动的事实。如果您想查看警报的详细信息,您可以在应用程序 Web 界面中进行查看。

    • priority — 扫描的优先级

    可能的值是 1 表示高、100 表示标准、150 表示后台扫描。

    • md5_list — 扫描时生成警报的文件的 MD5 哈希值。
    • file_list — 扫描时生成警报的文件的名称。
    • sb_names_map — 在应用程序 Web 界面上的警报详细信息中显示的文件名。

2024-06-11 02:38:44.841529 info apt-history: New sb_detect for file alert: {id: 2720, victim: default, state: new, md5: f0429d4845208857cd303df968ef545e}

Sandbox 组件处理结果的信息保存在应用程序数据库中。记录以供内部使用。这并不表示应用程序的检测数据库中存在检测。

页面顶部