Информация о событии Журнал событий ОС

В окне с информацией о событиях типа Журнал событий ОС содержатся следующие сведения:

Дерево событий.
Рекомендации по обработке события.
Раздел Журнал событий ОС:
- Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.
  По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.
  
  База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.
  
  Поле отображается, если при создании события сработало правило TAA (IOA).
- Время события – время обнаружения события.
- ID события безопасности – идентификатор типа события безопасности в журнале Windows.
Если событие было записано в базу событий приложением Kaspersky Endpoint Security для Linux, в разделе Журнал событий ОС также отображаются следующие поля:
- Тип события – тип события.
- Результат операции – например, Успешно или Сбой.
Раздел Информация о событии, содержащий данные из системного журнала. Состав данных зависит от типа события Windows.
Раздел Информация о событии не отображается в информации о событиях, записанных в базу событий приложением Kaspersky Endpoint Security для Linux.
Раздел Инициатор события:
- Файл – имя файла процесса.
- ID процесса – идентификатор процесса.
- Команда – команда, с помощью которой был запущен родительский процесс.
- Переменные окружения – переменные окружения процесса.
- Настоящее имя пользователя – имя пользователя, назначенное при регистрации в системе.
- Настоящее имя группы – группа, к которой принадлежит пользователь.
Раздел Инициатор события не отображается в информации о событиях, записанных в базу событий приложением Kaspersky Endpoint Agent для Windows или Kaspersky Endpoint Security для Windows.
Раздел Сведения о системе:
- Имя хоста – имя хоста, на котором произошло событие.
- IP хоста – IP-адрес хоста, на котором произошло событие.
  Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный хосту на момент создания события.
  
  Приложение не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес хоста не отображается.
- Имя пользователя – имя пользователя, который запустил процесс, инициировавший запись в системный журнал.
- Версия ОС – версия операционной системы, используемой на хосте.
  В информации о событии, записанном в базу событий приложением Kaspersky Endpoint Security для Linux, также отображается поле Вход с удаленного хоста – имя компьютера, с которого был совершен удаленный вход в систему.

В информации о событии, записанном в базу событий приложением Kaspersky Endpoint Security для Linux, по ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:

Найти события.
Найти обнаружения.
Выполнить задачу Получить файл.
Скопировать значение в буфер.

По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

Найти события.
Найти обнаружения.
Выполнить задачи:
- Собрать данные → Файл, Форензика, Образ диска, Дамп памяти.
- Завершить процесс.
- Удалить файл.
- Поместить файл на карантин.
- Выполнить приложение.
Скопировать значение в буфер.

В информации о событии, записанном в базу событий приложением Kaspersky Endpoint Security для Linux, по ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий: