有關“在主控台進行互動式命令輸入”事件的資訊

顯示處理程序：主控台互動式輸入事件資訊的視窗包含以下詳情：

• 事件樹。
• 處理事件時可以執行的動作。
• 處理程序：主控台互動式輸入部分：
  • IOA 標記— 有關使用 Targeted Attack Analyzer 技術進行檔案分析的結果的資訊：用於建立警示的 TAA (IOA) 規則的名稱。

    點擊連結以顯示有關 TAA (IOA) 規則的資訊。如果規則是由卡巴斯基專家提供的，則它包含有關觸發的 MITRE 技術的資訊以及對事件進行反應的建議。

    MITRE ATT&CK（對抗政策、技術和常識）資料庫包含基於真實攻擊分析的駭客行為描述。它是以表格形式表示的已知駭客技術的結構化清單。

    如果在建立事件時觸發了 TAA (IOA) 規則，則會顯示該欄位。

  • 輸入類型— 被傳遞到主控台應用程式的命令輸入類型。

    該應用程式提供兩種輸入命令的方式：

    • 如果使用者在主控台應用程式中輸入命令，輸入類型欄位將顯示主控台命令輸入類型。
    • 如果命令被透過管道從另一個應用程式傳遞到主控台應用程式，輸入類型欄位將顯示管道命令輸入類型。
    • 輸入文字— 在具有 Kaspersky Endpoint 元件的主機上的命令列（例如 CMD）中輸入的文字。

    您可以透過點擊位於輸入文字欄位中的複製到剪貼簿按鈕複製此文字。

  • 事件時間— 偵測到事件的時間。
• 事件發起者部分：
  • 檔案— 父處理程序檔案的路徑。

    點擊具有檔案名稱或檔案路徑的連結將開啟一個清單，您可以在其中選擇以下操作之一：

    • 尋找事件。
    • 尋找警示。
    • 複製值到剪貼簿。

    執行以下工作：

    • 殺死處理程序。
    • 使用唯一的 PID 殺死處理程序。
    • 刪除檔案。
    • 獲取檔案。
    • 進行取證。
    • 隔離檔案。
  • MD5— 父處理程序檔案的 MD5 雜湊。

    點擊MD5連結將開啟一個清單，您可以從其中選擇以下操作之一：

    • 尋找事件。
    • 尋找警示。
    • 在 Kaspersky TIP 上尋找。

      卡巴斯基資訊系統包含並顯示檔案和 URL 位址的信譽資訊。

    • 在儲存中尋找。
    • 建立阻止規則。
    • 複製值到剪貼簿。
  • SHA256— 父處理程序檔案的 SHA256 雜湊。

    點擊SHA256連結將開啟一個清單，您可以從其中選擇以下操作之一：

    • 尋找事件。
    • 尋找警示。
    • 在 Kaspersky TIP 上尋找。
    • 在儲存中尋找。
    • 建立阻止規則。
    • 複製值到剪貼簿。

• 系統資訊部分：
  • 主機名稱— 在其上輸入指令的主機的名稱。

    點擊具有主機名稱的連結將開啟一個清單，您可以從其中選擇以下操作之一：

    • 尋找事件。
    • 尋找警示。
    • 複製值到剪貼簿。

    執行以下工作：

    • 獲取資料 → 檔案、取證、磁碟鏡像、記憶體傾印。
    • 殺死處理程序。
    • 刪除檔案。
    • 隔離檔案。
    • 執行應用程式。
  • 主機 IP— 在其上輸入指令的主機的 IP 位址。

    如果您使用動態 IP 位址，該欄位會顯示建立事件時指派給主機的 IP 位址。

    該應用程式不支援 IPv6。如果您使用 IPv6，則不會顯示主機的 IP 位址。

  • 使用者名稱— 被用於輸入指令的使用者帳戶。
  • 作業係統版本— 主機上正在使用的作業系統的版本。

另請參閱 事件資訊 事件處理建議 有關事件樹中事件的資訊 檢視事件表 配置事件表顯示 檢視有關事件的資訊 有關“處理程序已啟動”事件的資訊 有關“處理程序已終止”事件的資訊 有關“模組已載入”事件的資訊 有關“遠端連線”事件的資訊 “防禦規則”事件資訊 有關“文件被封鎖”事件的資訊 有關“檔案已修改”事件的資訊 有關“系統事件日誌”事件的資訊 有關“登錄檔變更”事件的資訊 有關“連接埠被偵聽”事件的資訊 有關“驅動程式已載入”事件的資訊 有關“DNS”事件的資訊 有關“LDAP”事件的資訊 有關“命名管道”事件的資訊 有關“WMI”事件的資訊 有關“偵測”事件的資訊 有關“偵測處理結果”事件的資訊 有關“被解釋檔案運行”事件的資訊 有關“AMSI 掃描”事件的資訊 有關“代碼注入”事件的資訊 有關“處理程序存取”事件的資訊 關於“USB 裝置”事件的資訊

頁面頂部