Информация о событии DNS

В окне с информацией о событиях типа DNS содержатся следующие сведения:

• Дерево событий.
• Действия, которые можно выполнить для обработки события.
• Раздел DNS:
  • Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), в соответствии с которым выполнено обнаружение.

    По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.

    База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.

    Поле отображается, если при создании события сработало правило TAA (IOA).

  • IP сервера – IP-адрес запрашиваемого DNS-сервера в формате IPv4.
  • Параметры запроса – параметры DNS-запроса.
  • Статус запроса – статус DNS-запроса.
  • Имя домена – имя домена, для которого требуется разрешить запись DNS.
  • ID типа записи – тип ресурсной записи.
  • Данные ответа – содержание ответа DNS-сервера на запрос.
  • Время события – время отправки DNS-запроса.
• Раздел Инициатор события:
  • Файл – имя файла родительского процесса.
  • MD5 – MD5-хеш файла родительского процесса.
  • SHA256 – SHA256-хеш файла родительского процесса.
  • ID процесса – идентификатор родительского процесса.

    Если событие было записано в базу событий приложением Kaspersky Endpoint Security для Linux, в разделе Инициатор события также отображаются следующие поля:

  • Переменные окружения – переменные окружения процесса.
  • Настоящее имя пользователя – имя пользователя, назначенное при регистрации в системе.
  • Настоящее имя группы – группа, к которой принадлежит пользователь.
  • Действующее имя пользователя – имя пользователя, которое использовалось для входа в систему.
  • Действующее имя группы – группа, к которой принадлежит пользователь, чье имя использовалось для входа в систему.
• Раздел Сведения о системе:
  • Имя хоста – имя хоста, от которого поступил запрос к DNS-серверу.
  • IP хоста – IP-адрес хоста, от которого поступил запрос к DNS-серверу.

    Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный хосту на момент создания события.

    Приложение не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес хоста не отображается.

  • Вход с удаленного хоста – имя хоста, с которого был совершен удаленный вход в систему.
  • Имя пользователя – имя пользователя, под учетной записью которого был отправлен запрос к DNS-серверу.
  • Версия ОС – версия операционной системы, используемой на хосте.

По ссылкам с IP-адресом сервера, ID типа записи и именем пользователя раскрывается список, в котором вы можете выполнить одно из следующих действий:

• Найти алерты.
• Скопировать значение в буфер.

По ссылке с именем домена раскрывается список, в котором вы можете выполнить одно из следующих действий:

• Найти события.
• Найти алерты.
• Найти на Kaspersky TIP.
• Скопировать значение в буфер.

По ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти алерты.
• Выполнить задачи:
  • Завершить процесс.
  • Завершить по уникальному PID.
  • Удалить файл.
  • Получить файл.
  • Собрать форензику.
  • Поместить файл на карантин.
• Скопировать значение в буфер.

По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти алерты.
• Найти на Kaspersky TIP.

  Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.

• Найти в Хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти алерты.
• Найти на Kaspersky TIP.
• Найти на virustotal.com.
• Найти в Хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти алерты.
• Выполнить задачи:
  • Собрать данные → Файл, Форензика, Образ диска, Дамп памяти.
  • Завершить процесс.
  • Удалить файл.
  • Поместить файл на карантин.
  • Запустить программу.
• Скопировать значение в буфер.

В информации о событии, записанном в базу событий приложением Kaspersky Endpoint Security для Linux, по ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти алерты.
• Выполнить задачи:
  • Завершить процесс.
  • Удалить файл.
  • Получить файл.
  • Поместить файл на карантин.
  • Запустить программу.
• Скопировать значение в буфер.

По ссылке с IP-адресом хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти алерты.
• Скопировать значение в буфер.

В начало