Информация о событии Изменение в реестре

В окне с информацией о событиях типа Изменение в реестре содержатся следующие сведения:

Дерево событий.
Действия, которые можно выполнить для обработки события.
В зависимости от типа операции, которая была проведена с реестром, в информации о событии отображается одно из следующих названий раздела:
- Создан ключ реестра.
- Удален ключ реестра.
- Изменен реестр.
- Запрошен ключ реестра.
- Переименован ключ реестра.
- Сохранен ключ реестра.
В разделе отображается следующая информация:
- Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), в соответствии с которым выполнено обнаружение.
  По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.
  
  База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.
  
  Поле отображается, если при создании события сработало правило TAA (IOA).
- Файл – полный путь к файлу, в который был сохранен ключ реестра.
  Поле отображается для типа события Сохранен ключ реестра.
- Путь к ключу – путь к разделу реестра, в котором произошло изменение.
- Имя параметра – например, RegistrySizeLimit.
- Значение параметра – значение параметра реестра.
- Тип параметра – например, REG_DWORD.
- Время события – время внесения изменения в реестр.
  При изменении имени или параметра ключа реестра могут отображаться дополнительные поля с информацией о состоянии ключа реестра до его изменения:
  - поле Предыдущий путь к ключу отображается при изменении имени ключа реестра;
  - поле Предыдущее значение параметра отображается при изменении значения параметра реестра;
  - поле Предыдущий тип параметра отображается при изменении типа параметра реестра.
Раздел Инициатор события:
- Файл – путь к файлу родительского процесса.
  По ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:
  - Найти события.
  - Найти алерты.
  - Скопировать значение в буфер.
  Выполнить задачи:
- MD5 – MD5-хеш файла родительского процесса.
  По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:
  - Найти события.
  - Найти алерты.
  - Найти на Kaspersky TIP.
    Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.
  - Найти в Хранилище.
  - Создать правило запрета.
  Скопировать значение в буфер.
- SHA256 – SHA256-хеш файла родительского процесса.
  По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:
  - Найти события.
  - Найти алерты.
  - Найти на Kaspersky TIP.
  - Найти в Хранилище.
  - Создать правило запрета.
  - Скопировать значение в буфер.
Раздел Сведения о системе:
- Имя хоста – имя хоста, на котором было произведено изменение в реестре.
  По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:
  - Найти события.
  - Найти алерты.
  - Скопировать значение в буфер.
  Выполнить задачи:
  - Собрать данные → Файл, Форензика, Образ диска, Дамп памяти.
  - Завершить процесс.
  - Удалить файл.
  - Поместить файл на карантин.
  - Запустить программу.
- IP хоста – IP-адрес хоста, на котором было произведено изменение в реестре.
  Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный хосту на момент создания события.
  
  Приложение не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес хоста не отображается.
- Имя пользователя – имя пользователя, совершившего изменение в реестре.
- Версия ОС – версия операционной системы, используемой на хосте.