有關“連接埠被偵聽”事件的資訊

顯示監聽的連接埠事件資訊的視窗包含以下詳細資訊：

• 事件樹。
• 處理事件時可以執行的動作。
• 監聽的連接埠部分：
  • IOA 標記— 有關使用 Targeted Attack Analyzer 技術進行檔案分析的結果的資訊：用於建立警示的 TAA (IOA) 規則的名稱。

    點擊連結以顯示有關 TAA (IOA) 規則的資訊。如果規則是由卡巴斯基專家提供的，則它包含有關觸發的 MITRE 技術的資訊以及對事件進行反應的建議。

    MITRE ATT&CK（對抗政策、技術和常識）資料庫包含基於真實攻擊分析的駭客行為描述。它是以表格形式表示的已知駭客技術的結構化清單。

    如果在建立事件時觸發了 TAA (IOA) 規則，則會顯示該欄位。

  • 本機連接埠— 被監聽的連接埠。
  • 本機 IP— 連接埠被監聽的網路介面的 IP 位址。
  • 事件時間— 連接埠監聽時間。
• 事件發起者部分：
  • 檔案— 父處理程序檔案的路徑。

    點擊具有檔案名稱或檔案路徑的連結將開啟一個清單，您可以在其中選擇以下操作之一：

    • 尋找事件。
    • 尋找警示。
    • 複製值到剪貼簿。

    執行以下工作：

    • 殺死處理程序。
    • 使用唯一的 PID 殺死處理程序。
    • 刪除檔案。
    • 獲取檔案。
    • 進行取證。
    • 隔離檔案。
  • MD5— 父處理程序檔案的 MD5 雜湊。

    點擊MD5連結將開啟一個清單，您可以從其中選擇以下操作之一：

    • 尋找事件。
    • 尋找警示。
    • 在 Kaspersky TIP 上尋找。

      卡巴斯基資訊系統包含並顯示檔案和 URL 位址的信譽資訊。

    • 在儲存中尋找。
    • 建立阻止規則。
    • 複製值到剪貼簿。
  • SHA256— 父處理程序檔案的 SHA256 雜湊。

    點擊SHA256連結將開啟一個清單，您可以從其中選擇以下操作之一：

    • 尋找事件。
    • 尋找警示。
    • 在 Kaspersky TIP 上尋找。
    • 在儲存中尋找。
    • 建立阻止規則。
    • 複製值到剪貼簿。
• 系統資訊部分：
  • 主機名稱— 連接埠被監聽的主機的名稱。

    點擊具有主機名稱的連結將開啟一個清單，您可以從其中選擇以下操作之一：

    • 尋找事件。
    • 尋找警示。
    • 複製值到剪貼簿。

    執行以下工作：

    • 獲取資料 → 檔案、取證、磁碟鏡像、記憶體傾印。
    • 殺死處理程序。
    • 刪除檔案。
    • 隔離檔案。
    • 執行應用程式。
  • 主機 IP— 連接埠被監聽的主機的 IP 位址。

    如果您使用動態 IP 位址，該欄位會顯示建立事件時指派給主機的 IP 位址。

    該應用程式不支援 IPv6。如果您使用 IPv6，則不會顯示主機的 IP 位址。

  • 使用者名稱— 帳戶用於監聽連接埠的使用者的名稱。
  • 作業係統版本— 主機上正在使用的作業系統的版本。

另請參閱 事件資訊 事件處理建議 有關事件樹中事件的資訊 檢視事件表 配置事件表顯示 檢視有關事件的資訊 有關“處理程序已啟動”事件的資訊 有關“處理程序已終止”事件的資訊 有關“模組已載入”事件的資訊 有關“遠端連線”事件的資訊 “阻止規則”事件資訊 有關“文件被封鎖”事件的資訊 有關“檔案已修改”事件的資訊 有關“系統事件日誌”事件的資訊 有關“登錄檔變更”事件的資訊 有關“驅動程式已載入”事件的資訊 有關“DNS”事件的資訊 有關“LDAP”事件的資訊 有關“命名管道”事件的資訊 有關“WMI”事件的資訊 有關“偵測”事件的資訊 有關“偵測處理結果”事件的資訊 有關“被解釋檔案運行”事件的資訊 有關“AMSI 掃描”事件的資訊 有關“在主控台進行互動式命令輸入”事件的資訊 有關“代碼注入”事件的資訊 有關“處理程序存取”事件的資訊 關於“USB 裝置”事件的資訊

頁面頂部