Просмотр таблицы событий
Таблица событий отображается в разделе Поиск угроз окна веб-интерфейса приложения после выполнения поиска угроз по базе событий. Вы можете сортировать события в таблице по столбцам Время события, Тип события, Хост и Имя пользователя.
Если вы используете режим распределенного решения и мультитенантности, события в таблице сгруппированы по хостам выбранных серверов и тенантов.
В таблице событий содержится следующая информация:
- Время события – дата и время обнаружения события.
- Тип события – например, Запущен процесс.
- Имя хоста – имя хоста, на котором было выполнено обнаружение.
- Сведения – сведения о событии.
- Имя пользователя – имя пользователя компьютера с компонентом Endpoint Agent, под учетной записью которого было обнаружено событие.
В таблице событий для каждого типа событий в столбце Тип события отображается свой набор данных в столбце Сведения (см. таблицу ниже).
Набор данных в столбце Тип события для каждого типа событий в столбце Сведения
Тип события |
Сведения |
|---|---|
Запущен процесс |
Имя файла процесса, который был запущен. SHA256- и MD5-хеш. |
Загружен модуль |
Имя динамической библиотеки, которая была загружена. SHA256- и MD5-хеш. |
Удаленное соединение |
URL-адрес, к которому была произведена попытка удаленного подключения. Имя файла, который пытался осуществить удаленное подключение. |
Правило запрета |
Имя файла приложения, запуск которого был заблокирован. SHA256- и MD5-хеш. |
Заблокирован документ |
Имя документа, запуск которого был заблокирован. SHA256- и MD5-хеш. |
Изменен файл |
Имя созданного файла. SHA256- и MD5-хеш. |
Журнал событий ОС |
Канал записи событий в системный журнал. Идентификатор типа события. |
Изменение в реестре |
Имя ключа в реестре. |
Прослушан порт |
Адрес сервера и порт. Имя файла процесса, который осуществляет прослушивание порта. |
Загружен драйвер |
Имя файла драйвера, который был загружен. SHA256- и MD5-хеш. |
Обнаружение |
Имя файла, в котором обнаружен объект. Имя обнаруженного объекта. SHA256- и MD5-хеш. |
Результат обработки обнаружения |
Имя файла, в котором обнаружен объект. Имя обнаруженного объекта. SHA256- и MD5-хеш. |
AMSI-проверка |
Имя проверенного объекта. Тип скрипта. Содержимое скрипта, переданного на проверку. |
Интерпретированный запуск файла |
Имя запущенного файла. SHA256- и MD5-хеш. |
Интерактивный ввод команд в консоли |
Текст команды. |
Завершен процесс |
Имя файла остановленного процесса. SHA256- и MD5-хеш. |
DNS |
Имя запрашиваемого домена. Идентификатор типа ресурсной записи. |
LDAP |
Область и фильтр поиска. |
Именованный канал |
Имя канала. Тип операции с каналом. |
WMI |
Тип операции WMI. Исходный код потребителя событий. |
Внедрение кода |
Имя файла целевого процесса или имя динамической библиотеки, содержащей процедуру перехватчика и имя функции, которой передается управление после внедрения. Метод доступа к файлу целевого процесса. SHA256- и MD5-хеш файла целевого процесса. |
Доступ к процессу |
Имя файла процесса-реципиента. Степень важности события. Тип операции, проведенной над файлом процесса. Права доступа к процессу. |
USB-устройство |
Тип подключенного устройства. Имя подключенного устройства. Тип операции с подключенным устройством. Признак системного диска (поле отображается, если подключенное устройство является системным диском). |
По ссылке с названием типа события, сведениями, дополнительной информацией и именем пользователя раскрывается список, в котором вы можете выбрать действие над объектом. В зависимости от значения в ячейке вы можете выполнить одно из следующих действий:
- Для всех значений в ячейке:
- Добавить в фильтр.
- Исключить из фильтра.
- Скопировать значение в буфер.
- Имя хоста:
- Имя файла:
- MD5-хеш:
- SHA256-хеш:
- Найти события.
- Найти алерты.
- Найти на Kaspersky TIP.
- Найти на virustotal.com.
- Создать правило запрета.
- Найти в Хранилище.