Просмотр таблицы обнаружений

Kaspersky Anti Targeted Attack Platform отображает обнаруженные признаки целевых атак и вторжений в IT-инфраструктуру организации в виде таблицы обнаружений.

В таблице обнаружений не отображается информация об объектах, для которых выполняется хотя бы одно из следующих условий:

• Объект имеет репутацию Доверенный в базе KSN.
• Объект имеет цифровую подпись одного из доверенных производителей:
  • "Лаборатория Касперского".
  • Google.
  • Apple.
  • Microsoft.

Информация об этих обнаружениях сохраняется в журнал приложения. Вы можете просмотреть эту информацию.

Информация об обнаружениях в журнале приложения ротируется ежедневно в ночное время при достижении максимально разрешенного количества обнаружений:

• Обнаружения, выполненные компонентами (IDS) Intrusion Detection System, (URL) URL Reputation – 100000 обнаружений для каждого из компонентов.
• Все остальные обнаружения – 20000 обнаружений для каждого из модулей или компонентов.

Если вы используете режим распределенного решения и мультитенантности, то ротация производится на всех SCN, а затем происходит синхронизация с PCN. После синхронизации все удаленные обнаружения автоматически удаляются также на PCN.

Таблица обнаружений находится в разделе Обнаружения.

По умолчанию в разделе отображается информация только об обнаружениях, не обработанных пользователями. Если вы хотите, чтобы информация об обработанных обнаружениях тоже отображалась, включите переключатель Обработано в правом верхнем углу окна.

Вы можете сортировать обнаружения в таблице по столбцам Создано или Обновлено, Важность, Адрес источника и Состояние.

В таблице обнаружений содержится следующая информация:

1. VIP – наличие у обнаружения статуса с особыми правами доступа. Например, обнаружения со статусом VIP недоступны для просмотра пользователями программы Сотрудник службы безопасности.
2. Создано – время, в которое программа выполнила обнаружение и Обновлено – время, в которое обнаружение было обновлено.
3.  – важность обнаружения для пользователя Kaspersky Anti Targeted Attack Platform в соответствии с тем, какое влияние это обнаружение может оказать на безопасность компьютера или локальной сети вашей организации, по опыту "Лаборатории Касперского".

   Обнаружения могут принимать одну из следующих степеней важности:

   • Высокая, отмеченную знаком , – обнаружение высокой степени важности.
   • Средняя, отмеченную знаком , – обнаружение средней степени важности.
   • Низкая, отмеченную знаком , – обнаружение низкой степени важности.
4. Обнаружено – одна или несколько категорий обнаруженных объектов. Например, если приложение обнаружило файл, зараженный вирусом Trojan-Downloader.JS.Cryptoload.ad, в поле Обнаружено будет указана категория Trojan-Downloader.JS.Cryptoload.ad для этого обнаружения.
5. Сведения – краткая информация об обнаружении. Например, имя обнаруженного файла или URL-адрес вредоносной ссылки.
6. Адрес источника – адрес источника обнаруженного объекта. Например, адрес электронной почты, с которого был отправлен вредоносный файл, или URL-адрес, с которого был загружен вредоносный файл.
7. Адрес назначения – адрес назначения обнаруженного объекта. Например, адрес электронной почты почтового домена вашей организации, на который был отправлен вредоносный файл, или IP-адрес компьютера локальной сети вашей организации, на который был загружен вредоносный файл.
8. Технологии – названия модулей или компонентов приложения, выполнивших обнаружение.

   В столбце Технологии могут быть указаны следующие модули и компоненты приложения:

   • (YARA) YARA.
   • (SB) Sandbox.
   • (URL) URL Reputation.
   • (IDS) Intrusion Detection System.
   • (AM) Anti-Malware Engine.
   • (TAA) Targeted Attack Analyzer.
   • (IOC) IOC.
9. Состояние – состояние обнаружения в зависимости от того, обработал пользователь Kaspersky Anti Targeted Attack Platform это обнаружение или нет.

   Обнаружения могут быть в одном из следующих состояний:

   • Новое – новые обнаружения.
   • В обработке – обнаружения, которые один из пользователей Kaspersky Anti Targeted Attack Platform уже обрабатывает.
   • Повторная проверка – обнаружения, выполненные в результате повторной проверки объекта.
   • Назначено – имя пользователя, которому назначено обнаружение.

• Серверы – имена серверов, на которых выполнено обнаружение. Серверы относятся к тому тенанту, с которым вы работаете в веб-интерфейсе приложения. Столбец отображается, если вы используете режим распределенного решения и мультитенантности.

Если информация в столбцах таблицы отображается в виде ссылки, по ссылке раскрывается список, в котором вы можете выбрать действие над объектом. В зависимости от типа значения ячейки вы можете выполнить одно из следующих действий:

• Любой тип значения ячейки:
  • Добавить в фильтр.
  • Исключить из фильтра.
  • Скопировать значение в буфер.
• MD5-хеш:
  • Добавить в фильтр.
  • Исключить из фильтра.
  • Найти события.
  • Найти на TIP.
  • Создать правило запрета.
  • Скопировать значение в буфер.
• SHA256-хеш:
  • Добавить в фильтр.
  • Исключить из фильтра.
  • Найти события.
  • Найти на TIP.
  • Создать правило запрета.
  • Скопировать значение в буфер.
• IP-адрес назначения:
  • Найти события.
• Состояние обнаружения:
  • Назначить мне.
  • Закрыть обнаружение.

Модуль Intrusion Detection System консолидирует информацию об обработанных сетевых событиях в одном обнаружении при одновременном соблюдении следующих условий:

• для сетевых событий совпадает название сработавшего правила, версия баз приложения и источник;
• между событиями прошло не более 24 часов.

Для всех сетевых событий, удовлетворяющих этим условиям, отображается одно обнаружение. В уведомлении об обнаружении содержится информация только о первом сетевом событии.

В начало