有關“處理程序存取”事件的資訊

顯示檔案已變更事件資訊的視窗包含以下詳情：

事件樹。
處理事件時可以執行的動作。
根據對處理程序檔案執行的操作類型，事件資訊中會顯示以下部分名稱之一：
- 處理程序存取已開啟
- 複製句柄
“處理程序存取已開啟”顯示以下資訊：
- IOA 標記— 有關使用 Targeted Attack Analyzer 技術進行檔案分析的結果的資訊：用於建立警示的 TAA (IOA) 規則的名稱。
  點擊連結以顯示有關 TAA (IOA) 規則的資訊。如果規則是由卡巴斯基專家提供的，則它包含有關觸發的 MITRE 技術的資訊以及對事件進行反應的建議。
  MITRE ATT&CK（對抗政策、技術和常識）資料庫包含基於真實攻擊分析的駭客行為描述。它是以表格形式表示的已知駭客技術的結構化清單。
  
  如果在建立事件時觸發了 TAA (IOA) 規則，則會顯示該欄位。
- 檔案— 接收者程序的名稱。
- 處理程序 ID— 接收者處理程序的處理程序ID。
- 啟動參數— 接收者程序的命令列選項。
- MD5— 接收者處理程序檔案的 MD5 雜湊。
- SHA256— 接收者處理程序檔案的 SHA256 雜湊。
- 存取權限— 請求的處理程序存取權限。
- 大小— 接收者處理程序檔案的大小。
- 事件時間— 偵測到事件的時間。
- 建立時間 — 接收者處理程序檔案的建立時間。
- 修改時間— 接收者處理程序檔案的上次修改時間。
- 屬性修改時間— 接收者處理程序檔案屬性改變的時間。
- 調用跟蹤— 呼叫堆疊。
“複製句柄”部分顯示以下資訊：
- 檔案— 複製過程的檔案名稱。
- MD5— 複製處理程序檔案的 MD5 雜湊。
- SHA256— 複製處理程序檔案的 SHA256 雜湊。
- 建立時間— 複製處理程序檔案的建立時間。
- 修改時間— 複製處理程序檔案的上次修改時間。
- 屬性修改時間— 複製處理程序檔案屬性改變的時間。
- 大小— 複製處理程序檔案的大小。
- 處理程序 ID— 重複處理程序的 ID。
- 啟動參數— 複製程序的命令列選項。
對於此類型的事件，事件資訊還包括“有關向其複製句柄的處理程序的資訊”和“有關從其複製句柄的處理程序的資訊”部分。這些部分包含以下資訊：
- 檔案— 處理程序檔名。
- MD5— 處理程序檔案的 MD5 雜湊。
- SHA256— 處理程序檔案的 MD5 雜湊。
- 處理程序 ID— 處理程序標識符。
- 啟動參數— 處理程序啟動設定。
- 大小— 處理程序檔案的大小。
- 建立時間— 處理程序檔案的建立時間。
- 修改時間— 檔案的上次修改時間。
- 屬性修改時間— 處理程序檔案屬性改變的時間。
事件發起者部分：
- 檔案— 父處理程序檔案的路徑。
- MD5— 父處理程序檔案的 MD5 雜湊。
- SHA256— 父處理程序檔案的 SHA256 雜湊。
- 啟動參數— 父處理程序啟動設定。
系統資訊部分：
- 主機名稱— 建立檔案的主機的名稱。
- 使用者名稱— 建立了檔案的使用者的名稱。
- 作業係統版本— 主機上正在使用的作業系統的版本。