Просмотр таблицы обнаружений
Kaspersky Anti Targeted Attack Platform отображает обнаруженные признаки целевых атак и вторжений в IT-инфраструктуру организации в виде таблицы обнаружений.
В таблице обнаружений не отображается информация об объектах, для которых выполняется хотя бы одно из следующих условий:
- Объект имеет репутацию Доверенный в базе KSN.
- Объект имеет цифровую подпись одного из доверенных производителей:
- "Лаборатория Касперского".
- Google.
- Apple.
- Microsoft.
Информация об этих обнаружениях сохраняется в журнал приложения. Вы можете просмотреть эту информацию.
Информация об обнаружениях в журнале приложения ротируется ежедневно в ночное время при достижении максимально разрешенного количества обнаружений:
- Обнаружения, выполненные компонентами (IDS) Intrusion Detection System, (URL) URL Reputation – 100000 обнаружений для каждого из компонентов.
- Все остальные обнаружения – 20000 обнаружений для каждого из модулей или компонентов.
Если вы используете и , то ротация производится на всех SCN, а затем происходит синхронизация с PCN. После синхронизации все удаленные обнаружения автоматически удаляются также на PCN.
Таблица обнаружений находится в разделе Обнаружения.
По умолчанию в разделе отображается информация только об обнаружениях, не обработанных пользователями. Если вы хотите, чтобы информация об обработанных обнаружениях тоже отображалась, включите переключатель Обработано в правом верхнем углу окна.
Вы можете сортировать обнаружения в таблице по столбцам Создано или Обновлено, Важность, Адрес источника и Состояние.
В таблице обнаружений содержится следующая информация:
- VIP – наличие у обнаружения статуса с особыми правами доступа. Например, обнаружения со статусом VIP недоступны для просмотра пользователями программы Сотрудник службы безопасности.
- Создано – время, в которое программа выполнила обнаружение и Обновлено – время, в которое обнаружение было обновлено.
- – важность обнаружения для пользователя Kaspersky Anti Targeted Attack Platform в соответствии с тем, какое влияние это обнаружение может оказать на безопасность компьютера или локальной сети вашей организации, по опыту "Лаборатории Касперского".
Обнаружения могут принимать одну из следующих степеней важности:
- Высокая, отмеченную знаком , – обнаружение высокой степени важности.
- Средняя, отмеченную знаком , – обнаружение средней степени важности.
- Низкая, отмеченную знаком , – обнаружение низкой степени важности.
- Обнаружено – одна или несколько категорий обнаруженных объектов. Например, если приложение обнаружило файл, зараженный вирусом Trojan-Downloader.JS.Cryptoload.ad, в поле Обнаружено будет указана категория Trojan-Downloader.JS.Cryptoload.ad для этого обнаружения.
- Сведения – краткая информация об обнаружении. Например, имя обнаруженного файла или URL-адрес вредоносной ссылки.
- Адрес источника – адрес источника обнаруженного объекта. Например, адрес электронной почты, с которого был отправлен вредоносный файл, или URL-адрес, с которого был загружен вредоносный файл.
- Адрес назначения – адрес назначения обнаруженного объекта. Например, адрес электронной почты почтового домена вашей организации, на который был отправлен вредоносный файл, или IP-адрес компьютера локальной сети вашей организации, на который был загружен вредоносный файл.
- Технологии – названия модулей или компонентов приложения, выполнивших обнаружение.
В столбце Технологии могут быть указаны следующие модули и компоненты приложения:
- (YARA) YARA.
- (SB) Sandbox.
- (URL) URL Reputation.
- (IDS) Intrusion Detection System.
- (AM) Anti-Malware Engine.
- (TAA) Targeted Attack Analyzer.
- (IOC) IOC.
- Состояние – состояние обнаружения в зависимости от того, обработал пользователь Kaspersky Anti Targeted Attack Platform это обнаружение или нет.
Обнаружения могут быть в одном из следующих состояний:
- Новое – новые обнаружения.
- В обработке – обнаружения, которые один из пользователей Kaspersky Anti Targeted Attack Platform уже обрабатывает.
- Повторная проверка – обнаружения, выполненные в результате повторной проверки объекта.
- Назначено – имя пользователя, которому назначено обнаружение.
- Серверы – имена серверов, на которых выполнено обнаружение. Серверы относятся к тому тенанту, с которым вы работаете в веб-интерфейсе приложения. Столбец отображается, если вы используете и .
Если информация в столбцах таблицы отображается в виде ссылки, по ссылке раскрывается список, в котором вы можете выбрать действие над объектом. В зависимости от типа значения ячейки вы можете выполнить одно из следующих действий:
- Любой тип значения ячейки:
- Добавить в фильтр.
- Исключить из фильтра.
- Скопировать значение в буфер.
- MD5-хеш:
- SHA256-хеш:
- IP-адрес назначения:
- Состояние обнаружения:
- Назначить мне.
- Закрыть обнаружение.
Модуль Intrusion Detection System консолидирует информацию об обработанных сетевых событиях в одном обнаружении при одновременном соблюдении следующих условий:
- для сетевых событий совпадает название сработавшего правила, версия баз приложения и источник;
- между событиями прошло не более 24 часов.
Для всех сетевых событий, удовлетворяющих этим условиям, отображается одно обнаружение. В уведомлении об обнаружении содержится информация только о первом сетевом событии.
В начало