О деталях алерта

Детали алерта содержат всю доступную информацию об обнаруженной угрозе и позволяют управлять действиями по реагированию на алерт.

В деталях алерта приведена следующая информация:

• Граф цепочки развития угрозы, который предоставляет визуальную информацию о задействованных объектах, например, о ключевых процессах на устройстве, сетевых соединениях, библиотеках и кустах реестра.
• Рекомендации по реагированию на алерт. Каждая рекомендация снабжена ссылкой, по которой вы можете перейти к применению выбранного способа реагирования.

  Для алертов, полученных от Kaspersky Endpoint Security для Windows, этот раздел доступен только в том случае, если на компьютерах организации установлено приложение Kaspersky Endpoint Security для Windows версии 11.9.0 или более поздней, а в Kaspersky Security Center используется плагин Kaspersky Endpoint Security for Windows версии 11.9.0 или более поздней.

• Общая информация об алерте, включая режим обнаружения (например, обнаружение при проверке по требованию или при автоматической проверке).
• Информация о защищаемом устройстве, на котором произошел алерт (например, имя устройства, IP-адрес, MAC-адрес, список пользователей, операционная система).
• Информация об обнаруженном объекте.
• Изменения в реестре, связанные с алертом.
• История появления файлов на устройстве.
• Принятые приложением действия по реагированию.
• Информация о группе доверия, цифровой подписи, данные о распространении файла и другая информация.

  Эта информация доступна только в том случае, если Kaspersky Security Network был включен до обнаружения угрозы. Для алертов, полученных от Kaspersky Endpoint Security для Windows, эта информация доступна только в том случае, если на устройствах организации установлен Kaspersky Endpoint Security для Windows 11.10.0 или более поздней версии и в Kaspersky Security Center используется плагин Kaspersky Endpoint Security 11.10.0 или более поздней версии.

Если в Kaspersky Security Center вместе с Kaspersky Endpoint Security для Mac версии 12.2 или более поздней используется плагин Kaspersky Endpoint Detection and Response Optimum 15.4 или более поздней версии, в деталях алерта дополнительно приводится информация о действиях по реагированию, примененных к объектам, входящим в цепочку развития угрозы, а также сводка цепочки развития угрозы.

Эти данные в деталях алерта указаны на момент обнаружения угрозы. Решение не обновляет эту информацию, поэтому она может отличаться от данных и показателей, отображаемых на Kaspersky Threat Intelligence Portal. Для просмотра актуальных данных воспользуйтесь ссылками на данные Kaspersky Threat Intelligence Portal в деталях алерта.

Из деталей алерта вы можете выполнить следующие действия по реагированию:

• изолировать устройство, на котором произошел алерт;
• поместить файл на карантин;

  Эта функциональность не поддерживается в Kaspersky Endpoint Security для Linux 12.1.

• создать задачу Поиска IOC;
• запретить запуск обнаруженного файла.

  Эта функциональность не поддерживается в Kaspersky Endpoint Security для Linux 12.1.

Если вы используете дополнительную функциональность Kaspersky Next XDR Optimum, вы также можете выполнять из деталей алерта следующие действия по реагированию по отношению к пользователям, связанным с алертом:

• Сброс пароля пользователя.
• Блокировка учетной записи пользователя.
• Добавление пользователя в группу безопасности.
• Удаление пользователя из группы безопасности.
• Назначение учебных курсы KASAP пользователям, которые связаны с алертами.

Детали алерта автоматически удаляются через один месяц после того, как были сформированы.

Если на устройстве с установленным приложением Kaspersky Endpoint Security для Windows объем информации в деталях алерта превышает 1 МБ или если за сутки на устройстве появилось больше пяти алертов, то данные алерта хранятся на этом устройстве локально и для доступа к ним необходимо подключение к этому устройству.

В начало