檢視已傳送至 Kaspersky Anti Targeted Attack Platform 進行掃描的檔案的資訊

如果有必要，您可以檢視該檔案是否已在 Kaspersky Anti Targeted Attack Platform 中掃描，以及掃描結果為何。為此，您必須使用 Kata-collect 指令碼來取得有關應用程式操作的資訊。

要使用 Kata-collect 指令碼取得有關應用程式效能的資訊：

請依照“下載 Kaspersky Anti Targeted Attack Platform 日誌”部分所給予的說明的步驟進行操作。

完成說明的步驟後，包含 Kaspersky Anti Targeted Attack Platform 日誌檔案的 collect--<壓縮檔案下載日期>.tar.gz 壓縮檔案被放置在指定目錄中。接收並掃描的檔案資訊包含在日誌中，該日誌位於此壓縮檔案內的 /logs/kaspersky/siem/log-history/ 目錄中。如果某個檔案被排除在掃描之外，則有關該檔案的資訊也會反映在日誌中。

您可以透過名稱或 mD5 雜湊值找到任何檔案。

如果該檔案是由 Sensor 元件取得的，您可以透過以下欄位找到它：

檔案來源資訊：
- 如果檔案是從流量中取得的，則為來源 IP 位址和目標 IP 位址。
- 如果檔案是透過電子郵件收到的，則為寄件者電子郵件信箱和收件者電子郵件信箱。
- 如果檔案是從外部系統接收的，則為外部系統的 IP 位址和 ID。
- 如果檔案是從 Endpoint Agent 主機接收的，則為主機的 IP 位址和名稱。
- 如果檔案是手動上傳至 Kaspersky Anti Targeted Attack Platform 的，則為使用者帳戶名稱。
來源類型：span、smtp、icap、pop3、external（外部系統）、endpoint（Endpoint Agent 主機）、upload（手動上傳的檔案）。
對於電子郵件訊息，會記錄 Message-ID 欄位。

檔案資訊日誌記錄的特殊注意事項

在日誌中搜尋檔案資訊時，請牢記以下有關檔案資訊日誌記錄的特殊注意事項：

檔案資訊被記錄兩次：從流量中取得檔案時和掃描檔案時。如果 Sensor 元件與您的基礎架構中的 Central Node 分開安裝，則檔案接收記錄將轉到 Sensor 元件的日誌，而檔案掃描記錄將轉到 Sensor 連線的 Central Node 元件的日誌。如果 Central Node 元件和 Sensor 安裝在同一台伺服器上，則兩個記錄都會寫入 Central Node 日誌。
對於複合檔案（例如，壓縮檔案或電子郵件），如果子檔案被Kaspersky Anti Targeted Attack Platform 技術之一掃描，則會記錄父檔案的雜湊值以及子檔案的名稱和雜湊值。

檔案 MD5 雜湊值的 Apt-history 日誌記錄範例

下表列出了檔案 MD5 雜湊值的 Apt-history 日誌記錄範例。

檔案 MD5 雜湊值的 Apt-history 日誌記錄範例

日誌記錄	值
2024-06-11 02:37:03.645586 info apt-history: f0429d4845208857cd303df968ef545e enqueued am, priority: normal	該檔案已被接收並利用惡意軟體防護引擎技術進行處理。
2024-06-11 02:37:03.647434 info apt-history: external KSMG sensor with ip 10.0.0.0 provide file with name: File_Name 2024/2025, md5: f0429d4845208857cd303df968ef545e, msg_id: <87c13e55e789aa966089b6bf2e8c453b@localhost.localdomain>	從 Kaspersky Secure Mail Gateway 和 Kaspersky Security for Linux Mail Server 接收並在 Kaspersky Anti Targeted Attack Platform 中處理的物件的字串。值得關注的資訊：外部 KSMG 感應器，IP 為 10.0.0.0 — Kaspersky Secure Mail Gateway 伺服器的 IP 位址 File_Name 2024/2025 — 檔案名 md5 — 正在掃描的檔案的 MD5 雜湊值 msg_id — 訊息 ID
2024-06-11 02:37:03.847696 info apt-history: f0429d4845208857cd303df968ef545e engine am result {verdict: CLEAN, bases_version: 202406071010, detect_time: 2024-06-11 02:37:03.841275, rescan_priority: 3, sb_hash: 77f5b6276dd9b1c534b6c9adcff86845, multitask_details: {priority: background, tasks: {pdf: 1}}, scanEngines: [sb]}	使用惡意軟體防護引擎技術處理物件的結果。包括掃描後分配給物件的狀態(CLEAN) 以及有關將用於額外掃描物件的技術的資訊(“scanEngines: [sb]”)。值得關注的訊息： multitask_details — 掃描工作的詳細資訊 priority — 掃描的優先順序可能的值是“background”、“must” scanEngines — 掃描技術可能的值是[yr]（代表YARA）和[sb]（代表Sandbox）。
2024-06-11 02:37:03.886784 info apt-history: f0429d4845208857cd303df968ef545e enqueued sb: {pdf: 1}, priority: low, sb_priority: background	該工作已傳送至 Sandbox 元件進行處理。值得關注的訊息： {pdf: 1} — 傳送以掃描的物件數量和類型 low — 處理優先順序可能的處理優先順序值為“low”、“medium”、“high”。 background — Sandbox 元件處理的佇列類型。可能的值是“background”、“must”
2024-06-11 02:37:04.179597 info apt-history: f0429d4845208857cd303df968ef545e delivered to sb, sb_hash: 77f5b6276dd9b1c534b6c9adcff86845, node: Server_Name, mtask_id: 900	該工作已傳送至 Sandbox 元件進行處理。值得關注的訊息： node:Server_Name — 具有 Sandbox 元件的伺服器的名稱 mtask_id: 900 — 工作 ID
2024-06-11 02:38:44.515070 info apt-history: f0429d4845208857cd303df968ef545e sb result received, sb_hash: 77f5b6276dd9b1c534b6c9adcff86845, node: Server_Name, mtask_id: 900, priority: low	已收到 Sandbox 元件處理物件的結果。
2024-06-11 02:38:44.783370 info apt-history: f0429d4845208857cd303df968ef545e engine sb result {bases_version: 202406102122, detect_time: 2024-06-11 02:38:44.776655, verdict: SILENT, hidden: True, details: [{file: //[From WCR <test@mail.com>][Date 11 Jun 2024 03:51:21][Subj Company_Name 2024/2025]/WCR-form.pdf, images: [{verdicts_info: {ScannerVersion: 1.22.3.34, ...}, hidden: True, verdict: SILENT, sb_id: fb15ec106318b0d54babce2379d956f7, image: Win7_x64, task_id: task0, file: //[From WCR <test@mail.com>][Date 11 Jun 2024 03:51:21][Subj Company_Name 2024/2025]/WCR-form.pdf, file_id: 1, filesize: 445856, md5: 0d87eebc9676214f35046a482150e537, tracing_mode: all_events, store_artifacts: False, bases_version: 202406102122, ids_bases_version: 202406101817, version: 1.22.3.34, suspicious_log: [], network_activity: {http: [], dns: []}}], verdict: SILENT, hidden: True, priority: 150}], md5_list: [], file_list: [], sb_hash: 77f5b6276dd9b1c534b6c9adcff86845, sb_names_map: {0: {md5: , name: }, 1: {md5: 0d87eebc9676214f35046a482150e537, name: //[From WCR <test@mail.com>][Date 11 Jun 2024 03:51:21][Subj Company_Name 2024/2025]/WCR-form.pdf}, 2: {md5: 71072dd9a36d7ce560cebc533ecb3cad, name: }}}	Sandbox 元件對所有虛擬機上的物件進行處理的結果。值得關注的訊息： verdict — 掃描檔案的結果。根據在所有虛擬機上掃描檔案的結果產生。對於結果為 SILENT 的偵測，不會在偵測資料庫中建立任何記錄。 hidden: True — 具有此結果的物件不需要Kaspersky Anti Targeted Attack Platform 模組進一步掃描。 details — 有關掃描虛擬機中的物件的資訊。包括以下欄位： file — 用於顯示的檔案的名稱 (WCR-form.pdf)。在此記錄中，欄位包含以下資訊： From — 寄件者電子郵件信箱。 Date — 事件的日期和時間。 Subj — 郵件主旨。 images — 有關在虛擬機中掃描物件的資訊。 verdicts_info — 檔案掃描的結果。對於掃描物件的每個虛擬機來說可能都不同。 hidden: True — 具有此結果的物件不需要Kaspersky Anti Targeted Attack Platform 模組進一步掃描。 verdict — 在虛擬機上掃描檔案的結果。對於結果為 SILENT 的偵測，不會在偵測資料庫中建立任何記錄。 image — 執行檔的映像。 filesize — 檔案的大小。 md5 — 檔案的 MD5 雜湊。 tracing mode: all_events — 檔案啟動後執行的操作的記錄。 suspicious log [] — 檔案執行的惡意操作的記錄。該欄位沒有值，因為該檔案沒有執行任何惡意操作。 network activity — 由檔案發起的網路活動。 http [] — 該檔案未發出任何 HTTP 請求。 dns [] — 該檔案未發出任何 DNS 請求。 “suspicious log”和“network activity”欄位僅記錄惡意活動的事實。如果您想檢視警示的詳細資訊，您可以在應用程式 Web 介面中進行檢視。 priority — 掃描的優先順序可能的值是 1 表示高、100 表示標準、150 表示後台掃描。 md5_list — 掃描時產生警示的檔案的 MD5 雜湊值。 file_list — 掃描時產生警示的檔案的名稱。 sb_names_map — 在應用程式 Web 介面上的警示詳細資訊中顯示的檔案名稱。
2024-06-11 02:38:44.841529 info apt-history: New sb_detect for file alert: {id: 2720, victim: default, state: new, md5: f0429d4845208857cd303df968ef545e}	Sandbox 元件處理結果的資訊儲存在應用程式資料庫中。記錄以供內部使用。這並不表示應用程式的偵測資料庫中存在偵測。

頁面頂部