关于警报详情

警报详情包含有关检测到的威胁的所有可用信息，并允许您管理警报响应操作。

警报详情包含以下信息：

• 威胁开发链图，提供有关所涉及对象的可视信息，例如设备上的关键进程、网络连接、库、注册表配置单元。
• 有关响应警报的建议。每个建议都有一个链接，您可以单击该链接来应用所选的响应操作。

  对于从 Kaspersky Endpoint Security for Windows 收到的警报，此部分仅在 Kaspersky Endpoint Security for Windows Web 插件 11.9.0 及更高版本中可用。

• 有关警报的一般信息，包括检测模式（例如，按需扫描或自动扫描期间的检测）。
• 有关发生警报的受保护设备的信息（例如，名称、IP 地址、MAC 地址、用户列表、操作系统）。
• 检测到对象的信息。
• 与警报关联的注册表更改。
• 设备上文件存在的历史记录。
• 应用程序执行的响应操作。
• 有关信任组、数字签名、文件分发和其他数据的信息。

  仅当在检测到威胁之前启用了卡巴斯基安全网络时，此信息才可用。对于从 Kaspersky Endpoint Security for Windows 收到的警报，仅当组织的设备上安装了 Kaspersky Endpoint Security for Windows 11.10.0 或更高版本，并且在 Kaspersky Security Center 中使用了 Kaspersky Endpoint Security 插件 11.10.0 或更高版本时，此信息才可用。

警报详细信息中的数据与检测到威胁的时间相对应。该解决方案不会更新此信息，因此它可能与卡巴斯基威胁情报门户上显示的数据和指标不同。要查看最新的数据，请使用警报详细信息中指向卡巴斯基威胁情报门户数据的链接。

您可以从警报详情中执行以下响应操作：

• 隔离发生警报的设备。
• 隔离文件。

  Kaspersky Endpoint Security for Linux 12.1 不支持此功能。

• 创建一个 IOC 扫描任务。
• 阻止执行检测到的文件。

  Kaspersky Endpoint Security for Linux 12.1 不支持此功能。

警报详情会在创建一个月后自动删除。

对于 Kaspersky Endpoint Security for Windows 设备：如果警报详情中的信息量超过 1 MB，或者一天内设备上发生了 5 个以上的警报，则警报数据将存储在设备本地，并且需要连接到设备才能访问此数据。对于安装了 Kaspersky Endpoint Agent 和任何 EPP 应用程序的设备，这些阈值分别为 100 KB 和 20 次检测。

页面顶部