有關“遠端連線”事件的資訊

顯示“到遠端主機的連線”事件資訊的視窗包含以下詳細資訊：

事件樹。
處理事件時可以執行的動作。
到遠端主機的連線部分：
- IOA 標記— 有關使用 Targeted Attack Analyzer 技術進行檔案分析的結果的資訊：用於建立警示的 TAA (IOA) 規則的名稱。
  點擊連結以顯示有關 TAA (IOA) 規則的資訊。如果規則是由卡巴斯基專家提供的，則它包含有關觸發的 MITRE 技術的資訊以及對事件進行反應的建議。
  MITRE ATT&CK（對抗政策、技術和常識）資料庫包含基於真實攻擊分析的駭客行為描述。它是以表格形式表示的已知駭客技術的結構化清單。
  
  如果在建立事件時觸發了 TAA (IOA) 規則，則會顯示該欄位。
- 連線方向是連線方向（傳入或傳出）。
- 遠端 IP— 進行遠端連線嘗試的主機的 IP 位址。
- 本機 IP— 進行遠端連線嘗試的本機的 IP 位址。
- 事件時間— 遠端連線嘗試的時間。
“TLS”部分：
- 版本— 協定的版本。
- SNI— 要連線的網站的名稱。
- 加密 SNI— 網站的加密名稱。
- 憑證 MD5— 憑證檔案的 MD5 雜湊。
- 憑證 SHA1— 憑證檔案的 SHA1 雜湊。
- 憑證頒發者名稱— 簽章憑證的組織的名稱。
- 序號— 憑證的唯一號碼。
- 憑證驗證結果— 憑證驗證的結果。
- 憑證有效期自— 憑證有效的日期。
- 憑證有效期至— 憑證過期的日期。
- JA3— 用戶端 hello 封包中以下欄位的十進位位元組值：TLS 版本、密碼套件、TLS 協定擴充清單、橢圓曲線和橢圓曲線格式。若要分隔欄位，請使用“，”字元；要分隔每個欄位中的值，請使用“-”字元。
- JA3S— 伺服器 hello 封包中下列欄位的十進位位元組值：TLS 版本、密碼套件和 TLS 協定擴充清單。若要分隔欄位，請使用“，”字元；要分隔每個欄位中的值，請使用“-”字元。
- JA3 MD5— JA3 指紋。
- JA3S MD5— JA3S 指紋。
事件發起者部分：
- 檔案— 父處理程序檔案的名稱。
- MD5— 父處理程序檔案的 MD5 雜湊。
- SHA256— 父處理程序檔案的 SHA256 雜湊。
系統資訊部分：
- 主機名稱— 進行遠端連線嘗試的主機名稱。
- 主機 IP— 從其進行遠端連線嘗試的主機的 IP 位址。
  如果您使用動態 IP 位址，該欄位會顯示建立事件時指派給主機的 IP 位址。
  該應用程式不支援 IPv6。如果您使用 IPv6，則不會顯示主機的 IP 位址。
- 使用者名稱— 嘗試建立遠端連線的使用者名稱。
- 作業係統版本— 主機上使用的作業系統版本。