О деталях обнаружения

Детали обнаружения содержат всю доступную информацию об обнаруженной угрозе и позволяют управлять действиями по реагированию на обнаружение.

В деталях обнаружения приведена следующая информация:

• Граф цепочки развития угрозы, который предоставляет визуальную информацию о задействованных объектах, например, о ключевых процессах на устройстве, сетевых соединениях, библиотеках, кустах реестра. Он предназначен для анализа причин появления угрозы.
• Рекомендации по реагированию на обнаружение. Каждая рекомендация снабжена ссылкой, по которой вы можете перейти к применению выбранного способа реагирования.

  Этот раздел доступен только в веб-плагине приложения Kaspersky Endpoint Security для Windows начиная c версии 11.9.0

• Общая информация об обнаружении, включая режим обнаружения (например, обнаружение при проверке по требованию или при автоматической проверке).
• Информация о защищаемом устройстве, на котором произошло обнаружение (например, имя устройства, IP-адрес, MAC-адрес, список пользователей, операционная система).
• Информация об обнаруженном объекте.
• Изменения в реестре, связанные с обнаружением.
• История появления файлов на устройстве.
• Принятые приложением ответные действия.

Если на устройствах организации установлено приложение Kaspersky Endpoint Security для Windows версии 11.10.0 и выше, в Kaspersky Security Center используется плагин Kaspersky Endpoint Security версии 11.10.0 и в Kaspersky Endpoint Security включена функция Kaspersky Security Network, то в деталях обнаружения для файлов отображается информация о группе доверия, цифровой подписи, распространении файла и другие данные.

Эти данные в деталях обнаружения указаны на момент обнаружения угрозы. Решение не обновляет эту информацию, поэтому она может отличаться от данных и показателей, отображаемых на веб-портале Kaspersky Threat Intelligence Portal. Для просмотра актуальных обновляемых данных воспользуйтесь ссылками на данные Kaspersky Threat Intelligence Portal в деталях обнаружения.

Из деталей обнаружения вы можете выполнить следующие действия по реагированию:

• изолировать устройство, на котором произошло обнаружение;
• поместить файл на карантин;
• создать задачу поиска IOC;
• запретить запуск обнаруженного файла.

Детали обнаружения автоматически удаляются через один месяц после того, как были сформированы.

Если на устройстве с установленным приложением Kaspersky Endpoint Security для Windows объем информации в деталях обнаружения превышает 1 МБ или если за сутки на устройстве появилось больше пяти обнаружений, то данные об обнаружении хранятся на этом устройстве локально и для доступа к ним необходимо подключение к этому устройству. Для устройства с установленным приложением Kaspersky Endpoint Agent и каким-либо EPP-приложением, например, Kaspersky Security для Windows Server, эти пороговые значения составляют 100 КБ и 20 обнаружений соответственно.

В начало