Информация о событии Загружен модуль

В окне с информацией о событиях типа Загружен модуль содержатся следующие сведения:

• Дерево событий.
• Рекомендации по обработке события.
• Раздел Загружен модуль:
  • Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.

    По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.

    База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.

    Поле отображается, если при создании события сработало правило TAA (IOA).

  • Файл – имя файла загруженного модуля.
  • MD5 – MD5-хеш файла загруженного модуля.
  • SHA256 – SHA256-хеш файла загруженного модуля.
  • Размер – размер загруженного модуля.
  • Время события – время загрузки модуля.
• Раздел Сведения:
  • Название приложения – например, название операционной системы.
  • Производитель – например, производитель операционной системы.
  • Описание файла – например, Example File.
  • Исходное имя файла – например, Example File.
  • Получатель сертификата – организация, выпустившая цифровой сертификат файла.
  • Результат проверки подписи – например, "Подпись недействительна" или "Подпись ОК".
  • Время создания – время создания загруженного модуля.
  • Время изменения – дата последнего изменения загруженного модуля.
  • Следующая по пути обхода DLL – поле содержит путь к библиотеке DLL, которая могла быть загружена вместо существующей библиотеки.

    Поле отображается при выполнении следующих условий:

    • Источник загруженной библиотеки DLL не является доверенным.
    • В папке по стандартному пути обхода есть одноименная библиотека с другим хешем.

    Если в роли компонента Endpoint Agent вы используете Kaspersky Endpoint Agent, Kaspersky Anti Targeted Attack Platform получает данные, необходимые для заполнения поля Следующая по пути обхода DLL, только при интеграции Kaspersky Anti Targeted Attack Platform с Kaspersky Endpoint Agent для Windows версии 3.10. При интеграции приложения с предыдущими версиями Kaspersky Endpoint Agent указанное поле не будет отображаться в информации о событии.

• Раздел Инициатор события:
  • Файл – путь к файлу родительского процесса.
  • MD5 – MD5-хеш файла родительского процесса.
  • SHA256 – SHA256-хеш файла родительского процесса.
• Раздел Сведения о системе:
  • Имя хоста – имя хоста, на котором был загружен модуль.
  • IP хоста – IP-адрес хоста, на котором был загружен модуль.

    Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный хосту на момент создания события.

    Приложение не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес хоста не отображается.

  • Имя пользователя – имя пользователя, загрузившего модуль.
  • Версия ОС – версия операционной системы, используемой на хосте.

По ссылке с именем файла или путем к файлу в разделе Загружен модуль раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Удалить файл.
  • Получить файл.
  • Собрать форензику.
  • Поместить файл на карантин.
• Скопировать значение в буфер.

По ссылке с именем файла или путем к файлу в разделе Инициатор события раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Завершить процесс.
  • Завершить по уникальному PID.
  • Удалить файл.
  • Получить файл.
  • Собрать форензику.
  • Поместить файл на карантин.
• Скопировать значение в буфер.

По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Собрать данные → Файл, Форензика, Образ диска, Дамп памяти.
  • Завершить процесс.
  • Удалить файл.
  • Поместить файл на карантин.
  • Выполнить приложение.
• Скопировать значение в буфер.

По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Найти на TIP.

  Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.

• Найти в Хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Найти на TIP.
• Найти на virustotal.com.
• Найти в Хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

См. также Информация о событиях Рекомендации по обработке событий Информация о событиях в дереве событий Просмотр таблицы событий Настройка отображения таблицы событий Просмотр информации о событии Информация о событии Запущен процесс Информация о событии Завершен процесс Информация о событии Удаленное соединение Информация о событии Правило запрета Информация о событии Заблокирован документ Информация о событии Изменен файл Информация о событии Журнал событий ОС Информация о событии Изменение в реестре Информация о событии Прослушан порт Информация о событии Загружен драйвер Информация о событии Обнаружение Информация о событии Результат обработки обнаружения Информация о событии Интерпретированный запуск файла Информация о событии AMSI-проверка Информация о событии Интерактивный ввод команд в консоли

В начало