“防禦規則”事件資訊

“防禦規則”事件訊息

此視窗包含有關觸發防禦規則的事件的資訊，即阻止的應用程式（阻止規則）類型的事件，顯示以下詳細資訊：

事件樹。
處理事件時可以執行的動作。
阻止的應用程式（阻止規則）部分：
- IOA 標記— 有關使用 Targeted Attack Analyzer 技術進行檔案分析的結果的資訊：用於建立警示的 TAA (IOA) 規則的名稱。
  點擊連結以顯示有關 TAA (IOA) 規則的資訊。如果規則是由卡巴斯基專家提供的，則它包含有關觸發的 MITRE 技術的資訊以及對事件進行反應的建議。
  MITRE ATT&CK（對抗政策、技術和常識）資料庫包含基於真實攻擊分析的駭客行為描述。它是以表格形式表示的已知駭客技術的結構化清單。
  
  如果在建立事件時觸發了 TAA (IOA) 規則，則會顯示該欄位。
- 檔案— 被封鎖運行的檔案的名稱。
- 啟動參數— 用於嘗試執行檔案的參數。
- MD5— 被阻止運行的檔案的 MD5 雜湊。
- SHA256— 被阻止運作的檔案的 SHA256 雜湊。
- 大小— 被封鎖運作的檔案的大小。
- 事件時間— 觸發封鎖檔案啟動的時間。
詳細資訊部分：
- 應用程式名稱— 例如，作業系統的名稱。
- 供應者— 例如，作業系統的供應商。
- 檔案描述— 例如，範例檔案。
- 原始檔案名稱— 例如，ExampleFile.exe。
- 簽章主旨— 核發檔案數位憑證的組織。
- 簽章驗證結果— 例如，“簽名無效”或“簽名正常”。
- 建立時間— 被封鎖運作的檔案的建立時間。
- 修改時間— 被封鎖運作的檔案的上次修改日期。
事件發起者部分：
- 檔案— 父處理程序檔案的名稱。
- MD5— 父處理程序檔案的 MD5 雜湊。
- SHA256— 父處理程序檔案的 SHA256 雜湊。
- 處理程序 ID— 父處理程序的識別碼。
系統資訊部分：
- 主機名稱— 觸發了封鎖檔案啟動的主機的名稱。
- 主機 IP— 觸發了封鎖檔案啟動的主機的 IP 位址。
  如果您使用動態 IP 位址，該欄位會顯示建立事件時指派給主機的 IP 位址。
  該應用程式不支援 IPv6。如果您使用 IPv6，則不會顯示主機的 IP 位址。
- 使用者名稱— 帳戶用於執行檔案的使用者的名稱。
- 作業係統版本— 主機上使用的作業系統版本。