Просмотр таблицы алертов

Обнаруженные признаки целевых атак и вторжений в IT-инфраструктуру организации в отображаются виде таблицы алертов.

В таблице алертов не отображается информация об объектах, для которых выполняется хотя бы одно из следующих условий:

• Объект имеет репутацию Доверенный в базе KSN.
• Объект имеет цифровую подпись одного из доверенных производителей:
  • "Лаборатория Касперского".
  • Google.
  • Apple.
  • Microsoft.

Информация об этих алертах сохраняется в журнал приложения. Вы можете просмотреть эту информацию.

Информация об алертах в журнале приложения ротируется ежедневно в ночное время при достижении максимально разрешенного количества алертов:

• Алерты, созданные компонентами (IDS) Intrusion Detection System, (URL) URL Reputation – 100 000 алертов для каждого из компонентов.
• Все остальные алерты – 20 000 алертов для каждого из модулей или компонентов.

Если вы используете режим распределенного решения и мультитенантности, то ротация производится на всех SCN, а затем происходит синхронизация с PCN. После синхронизации все удаленные алерты автоматически удаляются также на PCN.

Алерты функциональности NDR создаются при наличии действующего лицензионного ключа KATA+NDR. После истечения срока действия лицензионного ключа созданные алерты остаются доступны для просмотра, новые алерты не создаются.

Таблица алертов находится в разделе Алерты. В ней отображаются общие алерты KATA и алерты для функциональности NDR.

По умолчанию в разделе отображается информация только об алертах, не обработанных пользователями. Если вы хотите, чтобы информация об обработанных алертах тоже отображалась, включите переключатель Показывать закрытые алерты в правом верхнем углу окна.

Вы можете сортировать алерты в таблице по столбцам Создано или Обновлено, Важность, Адрес источника и Состояние.

В таблице алертов содержится следующая информация:

1. VIP – наличие у алерта статуса с особыми правами доступа. Например, алерты со статусом VIP недоступны для просмотра пользователями с ролью Сотрудник службы безопасности.
2. Создано – время, когда был создан алерт и Обновлено – время, когда алерт был обновлен.
3.  – важность алерта для пользователя Kaspersky Anti Targeted Attack Platform в соответствии с тем, какое влияние этот алерт может оказать на безопасность компьютера или локальной сети вашей организации, по опыту "Лаборатории Касперского".

   Алерты могут иметь одну из следующих степеней важности:

   • Высокая, отмеченную знаком , – алерт высокой степени важности.
   • Средняя, отмеченную знаком , – алерт средней степени важности.
   • Низкая, отмеченную знаком , – алерт низкой степени важности.
4. Обнаружено – одна или несколько категорий обнаруженных объектов. Например, если приложение обнаружило файл, зараженный вирусом Trojan-Downloader.JS.Cryptoload.ad, в поле Обнаружено будет указана категория Trojan-Downloader.JS.Cryptoload.ad для этого алерта.
5. Сведения – краткая информация об алерте. Например, имя обнаруженного файла или URL-адрес вредоносной ссылки.
6. Адрес источника – адрес источника обнаруженного объекта. Например, адрес электронной почты, с которого был отправлен вредоносный файл, или URL-адрес, с которого был загружен вредоносный файл.
7. Адрес назначения – адрес назначения обнаруженного объекта. Например, адрес электронной почты почтового домена вашей организации, на который был отправлен вредоносный файл, или IP-адрес компьютера локальной сети вашей организации, на который был загружен вредоносный файл.
8. Технологии – названия модулей или компонентов приложения, в результате проверки которыми был создан алерт.

   В столбце Технологии могут быть указаны следующие модули и компоненты приложения:

   • (YARA) YARA.
   • (SB) Sandbox.
   • (URL) URL Reputation.
   • (IDS) Intrusion Detection System.
   • (AM) Anti-Malware Engine.
   • (TAA) Targeted Attack Analyzer.
   • (IOC) IOC.
   • (NDR: IDS) Intrusion Detection System.
   • (AA) Aggregated Alerts.
9. Состояние – состояние алерта в зависимости от того, обработал пользователь Kaspersky Anti Targeted Attack Platform этот алерт или нет.

   Алерты могут быть в одном из следующих состояний:

   • Новое – новые алерты.
   • В обработке – алерты, которые один из пользователей Kaspersky Anti Targeted Attack Platform уже обрабатывает.
   • Повторная проверка – алерты, выполненные в результате повторной проверки объекта.

• Серверы – имена серверов, на которых созданы алерты. Серверы относятся к тому тенанту, с которым вы работаете в веб-интерфейсе приложения. Столбец отображается, если вы используете режим распределенного решения и мультитенантности.
• Назначено – имя пользователя, которому назначен алерт.

Если информация в столбце таблицы отображается в виде ссылки, по ссылке раскрывается меню фильтрации, в котором вы можете выбрать параметры фильтрации по столбцу.

Модуль Intrusion Detection System консолидирует информацию об обработанных сетевых событиях в одном алерте при одновременном соблюдении следующих условий:

• для сетевых событий совпадает название сработавшего правила, версия баз приложения и источник;
• между событиями прошло не более 24 часов.

Для всех сетевых событий, удовлетворяющих этим условиям, отображается один алерт. В уведомлении об алерте содержится информация только о первом сетевом событии.

В начало