有關“DNS”事件的資訊

顯示“DNS”事件資訊的視窗包含以下詳情：

事件樹。
處理事件時可以執行的動作。
“DNS”部分：
- IOA 標記— 有關使用 Targeted Attack Analyzer 技術進行檔案分析的結果的資訊：用於建立警示的 TAA (IOA) 規則的名稱。
  點擊連結以顯示有關 TAA (IOA) 規則的資訊。如果規則是由卡巴斯基專家提供的，則它包含有關觸發的 MITRE 技術的資訊以及對事件進行反應的建議。
  MITRE ATT&CK（對抗政策、技術和常識）資料庫包含基於真實攻擊分析的駭客行為描述。它是以表格形式表示的已知駭客技術的結構化清單。
  
  如果在建立事件時觸發了 TAA (IOA) 規則，則會顯示該欄位。
- 伺服器 IP— DNS 伺服器的 IPv4 位址。
- 查詢選項— DNS 查詢選項。
- 請求狀態— DNS 查詢的狀態。
- 網域名稱— 要解析 DNS 記錄的網域名稱。
- 記錄類型 ID— 資源記錄的類型。
- 回應資料— DNS 伺服器對查詢的回應內容。
- 事件時間— 傳送 DNS 查詢的時間。
事件發起者部分：
- 檔案— 父處理程序檔案的名稱。
- MD5— 父處理程序檔案的 MD5 雜湊。
- SHA256— 父處理程序檔案的 SHA256 雜湊。
- 處理程序 ID— 父處理程序的識別碼。
  如果事件由 Kaspersky Endpoint Agent for Linux 記錄在事件資料庫中，則“事件發起者”部分還包括以下欄位：
- 環境變量— 處理程序的環境變數。
- 真实使用者名稱— 在系統中註冊時指定的使用者名稱。
- 真实群組名稱— 使用者所屬的群組。
- 有效使用者名稱— 用於登入系統的使用者名稱。
- 有效群組名稱— 名稱被用於登入系統的使用者群組。
系統資訊部分：
- 主機名稱— 向 DNS 伺服器發出查詢的主機的名稱。
- 主機 IP— 向 DNS 伺服器發出查詢的主機的 IP 位址。
  如果您使用動態 IP 位址，該欄位會顯示建立事件時指派給主機的 IP 位址。
  該應用程式不支援 IPv6。如果您使用 IPv6，則不會顯示主機的 IP 位址。
- 從遠端主機登入— 用於遠端登入系統的主機名稱。
- 使用者名稱— 向 DNS 伺服器發出查詢的使用者的名稱。
- 作業係統版本— 主機上正在使用的作業系統的版本。

點擊帶有伺服器 IP 位址、記錄類型 ID 和使用者名的連結將開啟一個清單，您可以在其中執行以下操作之一：

尋找警示。
複製值到剪貼簿。

點擊具有域名的連結將開啟一個清單，您可以在其中執行以下操作之一：

尋找事件。
尋找警示。
在 Kaspersky TIP 上尋找。
複製值到剪貼簿。

點擊具有檔案名稱或檔案路徑的連結將開啟一個清單，您可以在其中選擇以下操作之一：

尋找事件。
尋找警示。
執行以下工作：
- 殺死處理程序。
- 使用唯一的 PID 殺死處理程序。
- 刪除檔案。
- 獲取檔案。
- 進行取證。
- 隔離檔案。
複製值到剪貼簿。

點擊MD5連結將開啟一個清單，您可以從其中選擇以下操作之一：

尋找事件。
尋找警示。
在 Kaspersky TIP 上尋找。
卡巴斯基資訊系統包含並顯示檔案和 URL 位址的信譽資訊。
在儲存中尋找。
建立阻止規則。
複製值到剪貼簿。

點擊SHA256連結將開啟一個清單，您可以從其中選擇以下操作之一：

尋找事件。
尋找警示。
在 Kaspersky TIP 上尋找。
在 virustotal.com 上尋找。
在儲存中尋找。
建立阻止規則。
複製值到剪貼簿。

點擊具有主機名稱的連結將開啟一個清單，您可以從其中選擇以下操作之一：

尋找事件。
尋找警示。
執行以下工作：
- 獲取資料 → 檔案、取證、磁碟鏡像、記憶體傾印。
- 殺死處理程序。
- 刪除檔案。
- 隔離檔案。
- 執行應用程式。
複製值到剪貼簿。

在事件資料庫中記錄的 Kaspersky Endpoint Security for Linux 事件資訊中，您可以點擊主機名稱連結開啟一個清單，您可以在其中選擇以下操作之一：

尋找事件。
尋找警示。
執行以下工作：
- 殺死處理程序。
- 刪除檔案。
- 獲取檔案。
- 隔離檔案。
- 執行應用程式。
複製值到剪貼簿。

點擊包含主機IP 位址的連結將開啟一個清單，您可以在其中選擇以下操作之一：

尋找事件。
尋找警示。
複製值到剪貼簿。

頁面頂部