Информация о событии Интерактивный ввод команд в консоли

В окне с информацией о событиях типа Интерактивный ввод команд в консоли содержатся следующие сведения:

Дерево событий.
Рекомендации по обработке события.
Раздел Интерактивный ввод команд в консоли:
- Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.
  По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.
  
  База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.
  
  Поле отображается, если при создании события сработало правило TAA (IOA).
- Тип ввода – тип ввода команд, которые были переданы консольному приложению.
  В приложении предусмотрено два типа ввода команд:
  - Если команды в консольном приложении были введены пользователем, в поле Тип ввода отображается тип ввода команд Консоль.
  - Если команды были переданы в консольное приложение из другого приложения через коммуникационный шлюз (пайп), в поле Тип ввода отображается тип ввода команд Канал.
  Если в роли компонента Endpoint Agent вы используете приложение Kaspersky Endpoint Agent, Kaspersky Anti Targeted Attack Platform получает данные, необходимые для заполнения поля Команда, только при интеграции Kaspersky Anti Targeted Attack Platform с приложением Kaspersky Endpoint Agent для Windows версии 3.10. При интеграции приложения с предыдущими версиями приложения Kaspersky Endpoint Agent указанное поле не будет отображаться в информации о событии.
  - Текст команды – текст, введенный в командную строку (например, CMD) на хосте с приложением Kaspersky Endpoint Agent.
  Вы можете скопировать этот текст, нажав на кнопку Скопировать в буфер, расположенную в поле Текст команды.
- Время события – время обнаружения события.
Раздел Инициатор события:
- Файл – путь к файлу родительского процесса.
  По ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:
  - Найти события.
  - Найти обнаружения.
  - Скопировать значение в буфер.
  Выполнить задачи:
- MD5 – MD5-хеш файла родительского процесса.
  По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:
  - Найти события.
  - Найти обнаружения.
  - Найти на TIP.
    Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.
  - Найти в Хранилище.
  - Создать правило запрета.
  - Скопировать значение в буфер.
- SHA256 – SHA256-хеш файла родительского процесса.
  По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:
  - Найти события.
  - Найти обнаружения.
  - Найти на TIP.
  - Найти в Хранилище.
  - Создать правило запрета.
  - Скопировать значение в буфер.
Раздел Сведения о системе:
- Имя хоста – имя хоста, на котором была введена команда.
  По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:
  - Найти события.
  - Найти обнаружения.
  - Скопировать значение в буфер.
  Выполнить задачи:
  - Собрать данные → Файл, Форензика, Образ диска, Дамп памяти.
  - Завершить процесс.
  - Удалить файл.
  - Поместить файл на карантин.
  - Выполнить приложение.
- IP хоста – IP-адрес хоста, на котором была введена команда.
  Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный хосту на момент создания события.
  
  Приложение не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес хоста не отображается.
- Имя пользователя – учетная запись пользователя, от имени которой была введена команда.
- Версия ОС – версия операционной системы, используемой на хосте.