Просмотр информации о событии

Развернуть все | Свернуть все

Список событий содержит данные о событиях. Вы также можете перейти к окну с информацией о событии. В окне с информацией о событии приведены все сведения о событии.

Чтобы просмотреть информацию о событии:

1. В главном меню перейдите в раздел Мониторинг и отчеты → Поиск угроз, а затем выполните запрос.
2. Щелкните по строке таблицы, содержащей требуемое событие.

Откроется окно с подробной информацией о событии.

При щелчке по значению в разделе с информацией о событии или в таблице событий открывается контекстное меню со списком действий. Для каждого значения доступны следующие действия:

• Скопировать значение в буфер обмена.
• Добавить или удалить столбец из списка событий.
• Добавить значение в запрос.

  Список событий будет отфильтрован по этому значению.

• Удалить значение из запроса.

  Фильтрация событий по этому полю выполняться не будет.

• Создать запрос с указанным значением.

Кроме того, для объектов типа SID (идентификатор безопасности), UserName (имя пользователя), IP-адрес, MD5, веб-адрес, домен доступны следующие действия:

• Получение дополнительной информации на портале Kaspersky Threat Intelligence Portal.

  Информационная система "Лаборатории Касперского", содержащая и отображающая информацию о репутации файлов и веб-адресов.

• Просмотр связанных алертов.

  При переходе по этой ссылке открывается список алертов, связанных со значением выбранного поля события. Список алертов открывается на разделе Алерты.

  Чтобы просмотреть список связанных алертов:

  1. Перейдите в раздел Мониторинг и отчеты → Поиск угроз и выполните запрос.
  2. Откройте раздел с информацией о событии и нажмите на требуемое значение, чтобы открыть контекстное меню.

     Контекстное меню также можно открыть, щелкнув значение в таблице событий.

  3. В контекстном меню выбранного значения нажмите на кнопку Перейти к связанным алертам.

  Отобразится список связанных алертов.

  Просмотр связанных алертов доступен только для объектов с типами данных SID (идентификатор безопасности), UserName (имя пользователя), IP-адрес, MD5, веб-адрес, домен.

• Просмотр связанных инцидентов.

  При переходе по этой ссылке открывается список инцидентов, связанных со значением выбранного поля события. Список инцидентов открывается на разделе Инциденты.

  Чтобы просмотреть список связанных инцидентов:

  1. Перейдите в раздел Мониторинг и отчеты → Поиск угроз и выполните запрос.
  2. Откройте раздел с информацией о событии и нажмите на требуемое значение, чтобы открыть контекстное меню.

     Контекстное меню также можно открыть, щелкнув значение в таблице событий.

  3. В контекстном меню выбранного значения нажмите на кнопку Перейти к связанным инцидентам.

  Отобразится список связанных инцидентов.

  Просмотр связанных инцидентов доступен только для объектов с типами данных SID (идентификатор безопасности), UserName (имя пользователя), IP-адрес, MD5, веб-адрес, домен.

Поле enrich.hunts.names содержит названия IOA-правил, срабатывание которых произошло из-за возникновения события. При переходе по ссылке в этом поле открывается окно с подробной информацией о сработавшем пользовательском правиле.

Из раздела с информацией о событии можно перейти к дереву событий, нажав на соответствующую кнопку.

В начало