事件處理建議

事件視窗在事件樹和具有“資深安全員”角色的使用者的資訊文字之間的方塊中顯示按鈕，其中包含可用於處理此事件的動作。

您可以執行以下操作：

• 隔離 –將偵測到事件的具有 Endpoint Agent 元件的主機從網路隔離。適用於所有事件類型。
• 建立阻止規則–禁止執行在事件中偵測到的檔案。不適用於“USB 裝置”事件。在 Windows 裝置上，它也不適用於“系統事件日誌”事件。
• 建立工作— 建立一個工作。不適用於“USB 裝置”事件。在 Windows 裝置上，它也不適用於“系統事件日誌”事件。

此外，您可以透過點擊包含檔案名稱、路徑、MD5 或 SHA256 雜湊值以及主機名稱的連結來處理事件，同時在視窗下方檢視有關事件的文字資訊。

點擊具有檔案名稱或檔案路徑的連結將開啟一個清單，您可以在其中選擇以下操作之一：

• 尋找事件。
• 尋找警示。
• 執行以下工作：
  • 殺死處理程序。
  • 使用唯一的 PID 殺死處理程序。
  • 刪除檔案。
  • 獲取檔案。
  • 進行取證。
  • 隔離檔案。
• 複製值到剪貼簿。

點擊MD5連結將開啟一個清單，您可以從其中選擇以下操作之一：

• 新增到篩選器。
• 從篩選器中排除。
• 在 Kaspersky TIP 上尋找。

  卡巴斯基資訊系統包含並顯示檔案和 URL 位址的信譽資訊。

• 尋找事件。
• 尋找警示。
• 複製值到剪貼簿。

點擊SHA256連結將開啟一個清單，您可以從其中選擇以下操作之一：

• 尋找事件。
• 尋找警示。
• 在 Kaspersky TIP 上尋找。
• 在 virustotal.com 上尋找。
• 在儲存中尋找。
• 建立阻止規則。
• 複製值到剪貼簿。

點擊具有主機名稱的連結將開啟一個清單，您可以從其中選擇以下操作之一：

• 尋找事件。
• 尋找警示。
• 執行以下工作：
  • 殺死處理程序。
  • 刪除檔案。
  • 獲取檔案。
  • 進行取證。
  • 隔離檔案。
  • 執行應用程式。
• 複製值到剪貼簿。

具有安全稽核員和安全官角色的使用者不會被顯示事件處理建議。

另請參閱 有關事件樹中事件的資訊 檢視事件表 配置事件表顯示 檢視有關事件的資訊 有關“處理程序已啟動”事件的資訊 有關“處理程序已終止”事件的資訊 有關“模組已載入”事件的資訊 有關“遠端連線”事件的資訊 “防禦規則”事件資訊 有關“文件被封鎖”事件的資訊 有關“檔案已修改”事件的資訊 有關“系統事件日誌”事件的資訊 有關“登錄檔變更”事件的資訊 有關“連接埠被偵聽”事件的資訊 有關“驅動程式已載入”事件的資訊 有關“DNS”事件的資訊 有關“LDAP”事件的資訊 有關“命名管道”事件的資訊 有關“WMI”事件的資訊 有關“偵測”事件的資訊 有關“偵測處理結果”事件的資訊 有關“被解釋檔案運行”事件的資訊 有關“AMSI 掃描”事件的資訊 有關“在主控台進行互動式命令輸入”事件的資訊 有關“代碼注入”事件的資訊 有關“處理程序存取”事件的資訊 關於“USB 裝置”事件的資訊

本節內容 遵循建議隔離主機 遵循建議防止檔案運行 遵循建議建立工作

頁面頂部