有關“系統事件日誌”事件的資訊

顯示系統事件日誌事件資訊的視窗包含以下詳細資訊：

• 事件樹。
• 處理事件時可以執行的動作。
• 系統事件日誌部分：
  • IOA 標記— 有關使用 Targeted Attack Analyzer 技術進行檔案分析的結果的資訊：用於建立警示的 TAA (IOA) 規則的名稱。

    點擊連結以顯示有關 TAA (IOA) 規則的資訊。如果規則是由卡巴斯基專家提供的，則它包含有關觸發的 MITRE 技術的資訊以及對事件進行反應的建議。

    MITRE ATT&CK（對抗政策、技術和常識）資料庫包含基於真實攻擊分析的駭客行為描述。它是以表格形式表示的已知駭客技術的結構化清單。

    如果在建立事件時觸發了 TAA (IOA) 規則，則會顯示該欄位。

  • 事件時間— 偵測到事件的時間。
  • 安全事件 ID— Windows 日誌中安全性事件類型的識別碼。

  如果事件由 Kaspersky Endpoint Security for Linux 記錄在事件資料庫中，則系統事件日誌部分還包括以下欄位：

  • 事件類型— 事件的類型。
  • 操作結果— 例如，成功或者已失敗。
• 事件資料部分包含系統日誌資訊。資料範圍取決於 Windows 事件的類型。

  事件資料部分不顯示在由 Kaspersky Endpoint Agent for Linux 記錄到事件資料庫的事件的資訊中。

• 事件發起者部分：
  • 檔案— 處理程序檔名。
  • 處理程序 ID— 處理程序標識符。
  • 命令— 用於執行父處理程序的命令。
  • 環境變量— 處理程序的環境變數。
  • 真实使用者名稱— 在系統中註冊時指定的使用者名稱。
  • 真实群組名稱— 使用者所屬的群組。

  “事件發起者”部分不顯示在由 Kaspersky Endpoint Agent for Windows 記錄到事件資料庫的事件的資訊中。

• 系統資訊部分：
  • 主機名稱— 發生事件的主機的名稱。
  • 主機 IP— 在其上事件發生的主機的 IP 位址。

    如果您使用動態 IP 位址，該欄位會顯示建立事件時指派給主機的 IP 位址。

    該應用程式不支援 IPv6。如果您使用 IPv6，則不會顯示主機的 IP 位址。

  • 使用者名稱— 啟動了處理程序的使用者的名稱，該處理程序啟動了系統日誌記錄。
  • 作業係統版本— 主機上正在使用的作業系統的版本。

    Kaspersky Endpoint Security for Linux 記錄到事件資料庫的事件資訊還包括從遠端主機登入欄位，即從其執行遠端登入的主機的名稱。

在事件資料庫中記錄的 Kaspersky Endpoint Security for Linux 事件資訊中，您可以點擊帶有檔案名稱或檔案路徑的連結來開啟一個清單，您可以在其中選擇以下操作之一：

• 尋找事件。
• 尋找警示。
• 運行獲取檔案工作。
• 複製值到剪貼簿。

點擊具有主機名稱的連結將開啟一個清單，您可以從其中選擇以下操作之一：

• 尋找事件。
• 尋找警示。
• 執行以下工作：
  • 獲取資料 → 檔案、取證、磁碟鏡像、記憶體傾印。
  • 殺死處理程序。
  • 刪除檔案。
  • 隔離檔案。
  • 執行應用程式。
• 複製值到剪貼簿。

在事件資料庫中記錄的 Kaspersky Endpoint Security for Linux 事件資訊中，您可以點擊主機名稱連結開啟一個清單，您可以在其中選擇以下操作之一：

• 尋找事件。
• 尋找警示。
• 執行以下工作：
  • 殺死處理程序。
  • 刪除檔案。
  • 獲取檔案。
  • 隔離檔案。
  • 執行應用程式。
• 複製值到剪貼簿。

另請參閱 事件資訊 事件處理建議 有關事件樹中事件的資訊 檢視事件表 配置事件表顯示 檢視有關事件的資訊 有關“處理程序已啟動”事件的資訊 有關“處理程序已終止”事件的資訊 有關“模組已載入”事件的資訊 有關“遠端連線”事件的資訊 “防禦規則”事件資訊 有關“文件被封鎖”事件的資訊 有關“檔案已修改”事件的資訊 有關“登錄檔變更”事件的資訊 有關“連接埠被偵聽”事件的資訊 有關“驅動程式已載入”事件的資訊 有關“DNS”事件的資訊 有關“LDAP”事件的資訊 有關“命名管道”事件的資訊 有關“WMI”事件的資訊 有關“偵測”事件的資訊 有關“偵測處理結果”事件的資訊 有關“被解釋檔案運行”事件的資訊 有關“AMSI 掃描”事件的資訊 有關“在主控台進行互動式命令輸入”事件的資訊 有關“代碼注入”事件的資訊 有關“處理程序存取”事件的資訊 關於“USB 裝置”事件的資訊

頁面頂部