Über Alarm-Details

Alarm-Details enthalten alle verfügbaren Informationen über die erkannte Bedrohung und ermöglichen Ihnen die Verwaltung von Reaktionen auf den Alarm.

Die Alarm-Details enthalten die folgenden Informationen:

• Diagramm der Entwicklungskette der Bedrohung, das visuelle Informationen zu den beteiligten Objekten bereitstellt, darunter wichtige Prozesse auf dem Gerät, Netzwerkverbindungen, Bibliotheken und Registrierungsstrukturen. Es wird verwendet, um die Ursachen der Bedrohung zu analysieren.
• Empfohlene Reaktionen auf den Alarm. Jede Empfehlung besitzt einen Link. Sie können auf diesen Link klicken, um die ausgewählte Reaktion anzuwenden.

  Dieser Abschnitt ist nur im Web-Plug-in von Kaspersky Endpoint Security für Windows 11.9.0 und höher verfügbar.

• Allgemeine Informationen zu dem Alarm, einschließlich des Erkennungsmodus (z. B., ob sie während der Untersuchung auf Befehl oder während der automatischen Untersuchung erkannt wurde).
• Informationen über das geschützte Gerät, auf dem der Alarm auftritt (z. B. Gerätename, IP-Adresse, MAC-Adresse, Benutzerliste, Betriebssystem).
• Informationen über das gefundene Objekt.
• Mit dem Alarm verbundene Änderungen in der Registrierung.
• Verlauf des Dateizustandes auf dem Gerät.
• Von der Anwendung ausgeführte Reaktionen.

Wenn Kaspersky Endpoint Security für Windows 11.10.0 oder höher auf den Geräten der Organisation installiert ist, das Plug-in von Kaspersky Endpoint Security 11.10.0 in Kaspersky Security Center verwendet wird und Kaspersky Security Network in Kaspersky Endpoint Security aktiviert ist, zeigen die Alarm-Details für Dateien Informationen über die Sicherheitsgruppe, die digitale Signatur, die Verbreitung der Datei sowie weitere Daten an.

Die Daten in den Alarm-Details haben den Stand, der dem Zeitpunkt des Bedrohungsfundes entspricht. Diese Informationen werden von der Lösung nicht aktualisiert und können daher von den Daten und Indikatoren abweichen, die im Kaspersky Threat Intelligence Portal angezeigt werden. Um die aktuellsten Daten anzuzeigen, verwenden Sie die in den Alarm-Details aufgeführten Links zu den Daten im Kaspersky Threat Intelligence Portal.

Sie können die folgenden Reaktionen über die Alarm-Details ausführen:

• das Geräts, auf dem der Alarm aufgetreten ist, isolieren
• die Datei in Quarantäne verschieben
• eine IOC-Untersuchungsaufgabe erstellen
• die Ausführung der erkannten Datei verhindern

Alarm-Details werden einen Monat nach ihrer Erstellung automatisch gelöscht.

Für Geräte mit Kaspersky Endpoint Security für Windows gilt: Wenn die Informationsmenge in den Alarm-Details 1 MB überschreitet oder an einem Tag mehr als 5 Alarme auf dem Gerät aufgetreten sind, werden die Alarm-Informationen lokal auf dem Gerät gespeichert. Für den Zugriff auf diese Daten ist dann eine Verbindung mit dem Gerät erforderlich. Für Geräte mit Kaspersky Endpoint Agent und einem beliebigen EPP-Programm, z. B. Kaspersky Security für Windows Server, liegen diese Grenzwerte bei 100 KB bzw. 20 Erkennungen.

Nach oben