查看已发送至 Kaspersky Anti Targeted Attack Platform 进行扫描的文件的信息

如果有必要，您可以查看该文件是否已在 Kaspersky Anti Targeted Attack Platform 中扫描，以及扫描结果是什么。为此，您必须使用 kata-collect 脚本获取有关应用程序操作的信息。

要使用 kata-collect 脚本获取有关应用程序性能的信息：

按照“下载 Kaspersky Anti Targeted Attack Platform 日志”部分给出的说明的步骤进行操作。

完成说明的步骤后，包含 Kaspersky Anti Targeted Attack Platform 日志文件的 collect--<存档下载日期>.tar.gz 存档被放置在指定目录中。接收并扫描的文件信息包含在日志中，该日志位于此存档内的 /logs/kaspersky/siem/log-history/ 目录中。如果某个文件被排除在扫描之外，则有关该文件的信息也会反映在日志中。

您可以通过名称或 MD5 哈希值找到任何文件。

如果该文件是由 Sensor 组件获取的，您可以通过以下字段找到它：

文件源信息：
- 如果文件是从流量中获取的，则为源 IP 地址和目标 IP 地址。
- 如果文件是通过电子邮件收到的，则为发件人电子邮件地址和收件人电子邮件地址。
- 如果文件是从外部系统接收的，则为外部系统的 IP 地址和 ID。
- 如果文件是从 Endpoint Agent 主机接收的，则为主机的 IP 地址和名称。
- 如果文件是手动上传至 Kaspersky Anti Targeted Attack Platform 的，则为用户账户名称。
源类型：span、smtp、icap、pop3、external（外部系统）、endpoint（Endpoint Agent 主机）、upload（手动上传的文件）。
对于电子邮件消息，会记录 Message-ID 字段。

文件信息日志记录的特殊注意事项

在日志中搜索文件信息时，请牢记以下有关文件信息日志记录的特殊注意事项：

文件信息被记录两次：从流量中获取文件时和扫描文件时。如果 Sensor 组件与您的基础设施中的 Central Node 分开安装，则文件接收记录将转到 Sensor 组件的日志，而文件扫描记录将转到 Sensor 连接的 Central Node 组件的日志。如果 Central Node 组件和 Sensor 安装在同一台服务器上，则两个记录都会写入 Central Node 日志。
对于复合文件（例如，存档或电子邮件），如果子文件被 Kaspersky Anti Targeted Attack Platform 技术之一扫描，则会记录父文件的哈希值以及子文件的名称和哈希值。

文件 MD5 哈希值的 apt-history 日志记录示例

下表列出了文件 MD5 哈希值的 apt-history 日志记录示例。

文件 MD5 哈希值的 apt-history 日志记录示例

日志记录	值
2024-06-11 02:37:03.645586 info apt-history: f0429d4845208857cd303df968ef545e enqueued am, priority: normal	该文件已被接收并利用反恶意软件引擎技术进行处理。
2024-06-11 02:37:03.647434 info apt-history: external KSMG sensor with ip 10.0.0.0 provide file with name: File_Name 2024/2025, md5: f0429d4845208857cd303df968ef545e, msg_id: <87c13e55e789aa966089b6bf2e8c453b@localhost.localdomain>	从 Kaspersky Secure Mail Gateway 和 Kaspersky Security for Linux Mail Server 接收并在 Kaspersky Anti Targeted Attack Platform 中处理的对象的字符串。值得关注的信息：外部 KSMG 传感器，IP 为 10.0.0.0 — Kaspersky Secure Mail Gateway 服务器的 IP 地址 File_Name 2024/2025 — 文件名 md5 — 正在扫描的文件的 MD5 哈希值 msg_id — 消息 ID
2024-06-11 02:37:03.847696 info apt-history: f0429d4845208857cd303df968ef545e engine am result {verdict: CLEAN, bases_version: 202406071010, detect_time: 2024-06-11 02:37:03.841275, rescan_priority: 3, sb_hash: 77f5b6276dd9b1c534b6c9adcff86845, multitask_details: {priority: background, tasks: {pdf: 1}}, scanEngines: [sb]}	使用反恶意软件引擎技术处理对象的结果。包括扫描后分配给对象的状态 (CLEAN) 以及有关将用于额外扫描对象的技术的信息 (“scanEngines: [sb]”)。值得关注的信息： multitask_details — 扫描任务的详细信息 priority — 扫描的优先级可能的值是“background”、“must” scanEngines — 扫描技术可能的值是 [yr]（代表 YARA）和 [sb]（代表 Sandbox）。
2024-06-11 02:37:03.886784 info apt-history: f0429d4845208857cd303df968ef545e enqueued sb: {pdf: 1}, priority: low, sb_priority: background	该任务已发送到 Sandbox 组件进行处理。值得关注的信息： {pdf: 1} — 发送以扫描的对象数量和类型 low — 处理优先级可能的处理优先级值为“low”、“medium”、“high”。 background — Sandbox 组件处理的队列类型。可能的值是“background”、“must”
2024-06-11 02:37:04.179597 info apt-history: f0429d4845208857cd303df968ef545e delivered to sb, sb_hash: 77f5b6276dd9b1c534b6c9adcff86845, node: Server_Name, mtask_id: 900	该任务已发送到 Sandbox 组件进行处理。值得关注的信息： node:Server_Name — 具有 Sandbox 组件的服务器的名称 mtask_id: 900 — 任务 ID
2024-06-11 02:38:44.515070 info apt-history: f0429d4845208857cd303df968ef545e sb result received, sb_hash: 77f5b6276dd9b1c534b6c9adcff86845, node: Server_Name, mtask_id: 900, priority: low	已收到 Sandbox 组件处理对象的结果。
2024-06-11 02:38:44.783370 info apt-history: f0429d4845208857cd303df968ef545e engine sb result {bases_version: 202406102122, detect_time: 2024-06-11 02:38:44.776655, verdict: SILENT, hidden: True, details: [{file: //[From WCR <test@mail.com>][Date 11 Jun 2024 03:51:21][Subj Company_Name 2024/2025]/WCR-form.pdf, images: [{verdicts_info: {ScannerVersion: 1.22.3.34, ...}, hidden: True, verdict: SILENT, sb_id: fb15ec106318b0d54babce2379d956f7, image: Win7_x64, task_id: task0, file: //[From WCR <test@mail.com>][Date 11 Jun 2024 03:51:21][Subj Company_Name 2024/2025]/WCR-form.pdf, file_id: 1, filesize: 445856, md5: 0d87eebc9676214f35046a482150e537, tracing_mode: all_events, store_artifacts: False, bases_version: 202406102122, ids_bases_version: 202406101817, version: 1.22.3.34, suspicious_log: [], network_activity: {http: [], dns: []}}], verdict: SILENT, hidden: True, priority: 150}], md5_list: [], file_list: [], sb_hash: 77f5b6276dd9b1c534b6c9adcff86845, sb_names_map: {0: {md5: , name: }, 1: {md5: 0d87eebc9676214f35046a482150e537, name: //[From WCR <test@mail.com>][Date 11 Jun 2024 03:51:21][Subj Company_Name 2024/2025]/WCR-form.pdf}, 2: {md5: 71072dd9a36d7ce560cebc533ecb3cad, name: }}}	Sandbox 组件对所有虚拟机上的对象进行处理的结果。值得关注的信息： verdict — 扫描文件的结果。根据在所有虚拟机上扫描文件的结果生成。对于结果为 SILENT 的检测，不会在检测数据库中创建任何记录。 hidden: True — 具有此结果的对象不需要 Kaspersky Anti Targeted Attack Platform 模块进一步扫描。 details — 有关扫描虚拟机中的对象的信息。包括以下字段： file — 用于显示的文件的名称 (WCR-form.pdf)。在此记录中，字段包含以下信息： From — 发件人电子邮件地址。 Date — 事件的日期和时间。 Subj — 邮件主题。 images — 有关在虚拟机中扫描对象的信息。 verdicts_info — 文件扫描的结果。对于扫描对象的每个虚拟机来说可能都不同。 hidden: True — 具有此结果的对象不需要 Kaspersky Anti Targeted Attack Platform 模块进一步扫描。 verdict — 在虚拟机上扫描文件的结果。对于结果为 SILENT 的检测，不会在检测数据库中创建任何记录。 image — 执行文件的镜像。 filesize — 文件的大小。 md5 — 文件的 MD5 哈希。 tracing mode: all_events — 文件启动后执行的操作的记录。 suspicious log [] — 文件执行的恶意操作的记录。该字段没有值，因为该文件没有执行任何恶意操作。 network activity — 由文件发起的网络活动。 http [] — 该文件未发出任何 HTTP 请求。 dns [] — 该文件未发出任何 DNS 请求。 “suspicious log”和“network activity”字段仅记录恶意活动的事实。如果您想查看警报的详细信息，您可以在应用程序 Web 界面中进行查看。 priority — 扫描的优先级可能的值是 1 表示高、100 表示标准、150 表示后台扫描。 md5_list — 扫描时生成警报的文件的 MD5 哈希值。 file_list — 扫描时生成警报的文件的名称。 sb_names_map — 在应用程序 Web 界面上的警报详细信息中显示的文件名。
2024-06-11 02:38:44.841529 info apt-history: New sb_detect for file alert: {id: 2720, victim: default, state: new, md5: f0429d4845208857cd303df968ef545e}	Sandbox 组件处理结果的信息保存在应用程序数据库中。记录以供内部使用。这并不表示应用程序的检测数据库中存在检测。

页面顶部