有關“登錄檔變更”事件的資訊

顯示“登錄檔已修改”事件資訊的視窗包含以下詳細資訊：

事件樹。
處理事件時可以執行的動作。
根據對登錄檔執行的操作類型，事件資訊中會顯示以下部分名稱之一：
- 登錄機碼已建立
- 登錄機碼已刪除
- 登錄檔已修改
- 查詢的登錄機碼
- 登錄機碼已重命名
- 登錄機碼已儲存
此部分顯示以下資訊：
- IOA 標記— 有關使用 Targeted Attack Analyzer 技術進行檔案分析的結果的資訊：用於建立警示的 TAA (IOA) 規則的名稱。
  點擊連結以顯示有關 TAA (IOA) 規則的資訊。如果規則是由卡巴斯基專家提供的，則它包含有關觸發的 MITRE 技術的資訊以及對事件進行反應的建議。
  MITRE ATT&CK（對抗政策、技術和常識）資料庫包含基於真實攻擊分析的駭客行為描述。它是以表格形式表示的已知駭客技術的結構化清單。
  
  如果在建立事件時觸發了 TAA (IOA) 規則，則會顯示該欄位。
- “檔案”是儲存登錄機碼的檔案的完整路徑。
  針對“登錄機碼已儲存”類型的事件顯示此欄位。
- 金鑰路徑是被修改的登錄機碼的路徑
- 值名稱：例如，RegistrySizeLimit
- 值資料是登錄機碼的值
- 值類型：例如，REG_DWORD
- 事件時間是修改登錄檔的時間。
  當您變更登錄機碼的名稱或值時，您可能會看到其他欄位，其中包含有關登錄機碼修改之前的狀態的資訊：
  - 先前的金鑰路徑欄位在登錄機碼名稱被修改時顯示。
  - 先前的值資料欄位在登錄檔值被修改時顯示。
  - 先前的值類型欄位在登錄機碼的類型被修改時顯示。
事件發起者部分：
- 檔案— 父處理程序檔案的路徑。
  點擊具有檔案名稱或檔案路徑的連結將開啟一個清單，您可以在其中選擇以下操作之一：
  - 尋找事件。
  - 尋找警示。
  - 複製值到剪貼簿。
  執行以下工作：
  - 殺死處理程序。
  - 使用唯一的 PID 殺死處理程序。
  - 刪除檔案。
  - 獲取檔案。
  - 進行取證。
  - 隔離檔案。
- MD5— 父處理程序檔案的 MD5 雜湊。
  點擊MD5連結將開啟一個清單，您可以從其中選擇以下操作之一：
  - 尋找事件。
  - 尋找警示。
  - 在 Kaspersky TIP 上尋找。
    卡巴斯基資訊系統包含並顯示檔案和 URL 位址的信譽資訊。
  - 在儲存中尋找。
  - 建立阻止規則。
  複製值到剪貼簿。
- SHA256— 父處理程序檔案的 SHA256 雜湊。
  點擊SHA256連結將開啟一個清單，您可以從其中選擇以下操作之一：
  - 尋找事件。
  - 尋找警示。
  - 在 Kaspersky TIP 上尋找。
  - 在儲存中尋找。
  - 建立阻止規則。
  - 複製值到剪貼簿。
系統資訊部分：
- 主機名稱— 在其上進行了登錄檔修改的主機的名稱。
  點擊具有主機名稱的連結將開啟一個清單，您可以從其中選擇以下操作之一：
  - 尋找事件。
  - 尋找警示。
  - 複製值到剪貼簿。
  執行以下工作：
  - 獲取資料 → 檔案、取證、磁碟鏡像、記憶體傾印。
  - 殺死處理程序。
  - 刪除檔案。
  - 隔離檔案。
  - 執行應用程式。
- 主機 IP— 在其上進行了登錄檔修改的主機的 IP 位址。
  如果您使用動態 IP 位址，該欄位會顯示建立事件時指派給主機的 IP 位址。
  該應用程式不支援 IPv6。如果您使用 IPv6，則不會顯示主機的 IP 位址。
- 使用者名稱— 在登錄檔中進行變更的使用者的名稱。
- 作業係統版本— 主機上使用的作業系統版本。