关于警报详情

警报详情包含有关检测到的威胁的所有可用信息，并允许您管理警报响应操作。

警报详情包含以下信息：

• 威胁开发链图，提供有关所涉及对象的可视信息，例如设备上的关键进程、网络连接、库、注册表配置单元。
• 有关响应警报的建议。每个建议都有一个链接，您可以单击该链接来应用所选的响应操作。

  对于从 Kaspersky Endpoint Security for Windows 收到的警报，仅当组织的计算机上安装了 Kaspersky Endpoint Security for Windows 11.9.0 或更高版本，并且在 Kaspersky Security Center 中使用了 Kaspersky Endpoint Security 插件 11.9.0 或更高版本时，此部分才可用。

• 有关警报的一般信息，包括检测模式（例如，按需扫描或自动扫描期间的检测）。
• 有关发生警报的受保护设备的信息（例如，名称、IP 地址、MAC 地址、用户列表、操作系统）。
• 检测到对象的信息。
• 与警报关联的注册表更改。
• 设备上文件存在的历史记录。
• 应用程序执行的响应操作。
• 有关信任组、数字签名、文件分发和其他数据的信息。

  仅当在检测到威胁之前启用了卡巴斯基安全网络时，此信息才可用。对于从 Kaspersky Endpoint Security for Windows 收到的警报，仅当组织的设备上安装了 Kaspersky Endpoint Security for Windows 11.10.0 或更高版本，并且在 Kaspersky Security Center 中使用了 Kaspersky Endpoint Security 插件 11.10.0 或更高版本时，此信息才可用。

如果您在Kaspersky Security Center中将卡巴斯基端点检测和响应插件15.4.58或更高版本与Kaspersky Endpoint Security for Mac 12.2或更高版本一起使用，则警报详情还包含有关对威胁发展链中涉及的对象执行的响应操作的附加信息，以及威胁发展链摘要。

警报详细信息中的数据与检测到威胁的时间相对应。该解决方案不会更新此信息，因此它可能与卡巴斯基威胁情报门户上显示的数据和指标不同。要查看最新的数据，请使用警报详细信息中指向卡巴斯基威胁情报门户数据的链接。

您可以从警报详情中执行以下响应操作：

• 隔离发生警报的设备。
• 隔离文件。

  Kaspersky Endpoint Security for Linux 12.1 不支持此功能。

• 创建一个 IOC 扫描任务。
• 阻止执行检测到的文件。

  Kaspersky Endpoint Security for Linux 12.1 不支持此功能。

如果您使用卡巴斯基Next XDR优选版的附加功能，您还可以从警报详情中对与警报相关的用户执行以下响应操作：

• 重置用户密码。
• 锁定用户帐户。
• 将用户添加到安全组。
• 从安全组中删除用户。
• 将卡巴斯基安全意识培训课程分配给与警报相关的用户。

警报详情会在创建一个月后自动删除。

对于 Kaspersky Endpoint Security for Windows 设备：如果警报详情中的信息量超过 1 MB，或者一天内设备上发生了 5 个以上的警报，则警报数据将存储在设备本地，并且需要连接到设备才能访问此数据。

页面顶部