有關“AMSI 掃描”事件的資訊

顯示AMSI 掃描事件資訊的視窗包含以下詳細資訊：

事件樹。
處理事件時可以執行的動作。
在AMSI 掃描部分：
- IOA 標記— 有關使用 Targeted Attack Analyzer 技術進行檔案分析的結果的資訊：用於建立警示的 TAA (IOA) 規則的名稱。
  點擊連結以顯示有關 TAA (IOA) 規則的資訊。如果規則是由卡巴斯基專家提供的，則它包含有關觸發的 MITRE 技術的資訊以及對事件進行反應的建議。
  MITRE ATT&CK（對抗政策、技術和常識）資料庫包含基於真實攻擊分析的駭客行為描述。它是以表格形式表示的已知駭客技術的結構化清單。
  
  如果在建立事件時觸發了 TAA (IOA) 規則，則會顯示該欄位。
- 物件名稱— 掃描物件的名稱。
- MD5— 掃描物件的 MD5 雜湊。
- SHA256— 掃描物件的 SHA256 雜湊。
- 事件時間— 事件的日期和時間。
- 内容類型— 指令碼類型。
  應用程式提供兩種類型的指令碼：
  - 如果指令碼以文字呈現，則内容類型欄位顯示文字指令碼類型。
  - 如果指令碼以其他格式呈現，則内容類型欄位顯示二進制指令碼類型。
- 内容— 被傳送進行掃描的指令碼的內容。
  如果資料以文字呈現，您可以點擊複製到剪貼簿複製此資料；如果資料有不同的格式，請點擊儲存到檔案下載包含資料的檔案。
  如果應用程式註意到針對性攻擊跡象，則内容欄位會顯示在事件資訊中。
在事件發起者部分：
- 檔案— 父處理程序檔案的路徑。
  點擊具有檔案名稱或檔案路徑的連結將開啟一個清單，您可以在其中選擇以下操作之一：
  - 尋找事件。
  - 尋找警示。
  - 複製值到剪貼簿。
  執行以下工作：
  - 殺死處理程序。
  - 使用唯一的 PID 殺死處理程序。
  - 刪除檔案。
  - 獲取檔案。
  - 進行取證。
  - 隔離檔案。
- MD5— 父處理程序檔案的 MD5 雜湊。
  點擊MD5連結將開啟一個清單，您可以從其中選擇以下操作之一：
  - 尋找事件。
  - 尋找警示。
  - 在 Kaspersky TIP 上尋找。
    卡巴斯基資訊系統包含並顯示檔案和 URL 位址的信譽資訊。
  - 在儲存中尋找。
  - 建立阻止規則。
  - 複製值到剪貼簿。
- SHA256— 父處理程序檔案的 SHA256 雜湊。
  點擊SHA256連結將開啟一個清單，您可以從其中選擇以下操作之一：
  - 尋找事件。
  - 尋找警示。
  - 在 Kaspersky TIP 上尋找。
  - 在儲存中尋找。
  - 建立阻止規則。
  - 複製值到剪貼簿。
在系統資訊部分：
- 主機名稱— 產生偵測的主機名稱。
  點擊具有主機名稱的連結將開啟一個清單，您可以從其中選擇以下操作之一：
  - 尋找事件。
  - 尋找警示。
  - 複製值到剪貼簿。
  執行以下工作：
  - 獲取資料 → 檔案、取證、磁碟鏡像、記憶體傾印。
  - 殺死處理程序。
  - 刪除檔案。
  - 隔離檔案。
  - 執行應用程式。
- 主機 IP— 在其上建立警示的主機的 IP 位址。
  如果您使用動態 IP 位址，該欄位會顯示建立事件時指派給主機的 IP 位址。
  該應用程式不支援 IPv6。如果您使用 IPv6，則不會顯示主機的 IP 位址。
- 使用者名稱— 用於在登錄檔中做出變更的使用者帳戶。
- 作業係統版本— 主機上正在使用的作業系統的版本。