有关“WMI”事件的信息

显示“WMI”事件信息的窗口包含以下详情：

• 事件树。
• 处理事件时可以执行的操作。

  根据操作的类型，事件信息中会显示下列部分名称的其中一个：

  • WMI 活动
  • WMI 事件使用者名称

  “WMI 活动”部分显示以下信息：

  • IOA 标记— 有关使用 Targeted Attack Analyzer 技术进行文件分析的结果的信息：用于创建警报的 TAA (IOA) 规则的名称。

    单击链接可显示有关 TAA (IOA) 规则的信息。如果规则是由卡巴斯基专家提供的，则它包含有关触发的MITRE 技术的信息以及对事件进行反应的建议。

    MITRE ATT&CK （对抗策略、技术和常识）数据库包含基于真实攻击分析的黑客行为描述。它是以表格形式表示的已知黑客技术的结构化列表。

    如果在创建事件时触发了 TAA (IOA) 规则，则会显示该字段。

  • 到远程主机的连接 — 远程启动 WMI 服务。如果服务是远程启动的，则字段显示“是”。
  • 机器名称 — 启动了 WMI 服务的主机的名称。
  • 用户名称 — 启动了 WMI 服务的用户的名称。
  • 名字空间 — WMI 命名空间。
  • 查询 — 用于启动 WMI 服务的命令。

  “WMI 活动”部分显示以下信息：

  • 到远程主机的连接 — 远程启动 WMI 服务。如果服务是远程启动的，则字段显示“是”。
  • 名字空间 — 事件消费者的命名空间。
  • 事件过滤器名称 — 事件消费者的过滤器的名称。此字段为WMI 活动事件类型显示。
  • 事件用户名称 — 创建的事件消费者的名称。
  • 事件用户描述 — 创建的事件消费者的描述。此字段为WMI 事件使用者名称事件类型显示。
• 事件发起者部分：
  • 文件 — 父进程文件的名称。
  • 启动参数 — 父进程启动设置。
  • MD5 — 父进程文件的 MD5 哈希。
  • SHA256 — 父进程文件的 SHA256 哈希。
• 系统信息部分：
  • 主机名称 — 启动 WMI 服务或创建事件消费者的主机的名称。
  • 主机 IP — 启动 WMI 服务或创建事件消费者的主机的 IP 地址。
  • 用户名称 — 启动 WMI 服务或创建事件消费者的用户的名称。
  • 操作系统版本 — 主机上正在使用的操作系统的版本。

页面顶部