查看警报

Kaspersky Anti Targeted Attack Platform 的 Web 界面显示用户应该跟踪的以下类型的警报：

• 文件已下载，或试图将文件下载到企业 LAN 计算机。应用程序在组织的本地网络的镜像流量，或 HTTP 流量、FTP 流量以及 HTTPS 流量（如果管理员在代理服务器上配置了 SSL 证书更换）的 ICAP 数据里检测到此文件。
• 文件已发送到企业 LAN 上的用户的电子邮件地址。应用程序在通过 POP3 或 SMTP 协议接收或者从具有 Kaspersky Secure Mail Gateway 的虚拟机或服务器（如果有在组织中使用）接收的电子邮件信息副本中检测到此文件。
• 网站链接在企业 LAN 计算机上打开。应用程序在组织的本地网络的镜像流量，或 HTTP 流量、FTP 流量以及 HTTPS 流量（如果管理员在代理服务器上配置了 SSL 证书更换）的 ICAP 数据里检测到此网络链接。
• 检测到在企业 LAN 计算机的 IP 地址或域名上有网络活动发生。应用程序在组织的本地网络的镜像流量中检测到此网络活动。
• 在企业 LAN 计算机上的进程已启动。应用程序检测到使用安装在属于公司 IT 基础架构的计算机上的 Endpoint Agent 组件的进程。

如果检测到文件，则在应用程序 Web 界面上将显示以下信息，具体取决于生成警报的应用程序模块或组件：

• 有关警报和检测到的文件的常规信息（例如，在其上检测到文件的计算机的 IP 地址，以及检测到的文件的名称）。
• 由 AM 引擎执行的文件病毒扫描结果。
• 由 Yara 模块执行的扫描文件以检查是否有入侵企业 IT 基础构架的迹象的结果。
• Sandbox 组件执行的文件行为分析的结果。
• 使用机器学习技术对云基础架构中的 APK 可执行文件进行分析的结果。

如果检测到网站链接，应用程序 Web 界面中将显示以下信息，具体取决于生成警报的应用程序模块或组件：

• 有关警报和检测到的网站链接的常规信息（例如，在其上检测到网站链接的计算机的 IP 地址，以及网站链接的地址）。
• 由 URL 信誉模块执行的链接扫描结果，旨在检测恶意软件迹象，钓鱼 URL 地址以及黑客之前用于对企业 IT 基础构架进行针对性攻击的 URL 地址。

如果应用程序在企业 LAN 上检测到计算机的 IP 地址或域名的网络活动，则应用程序 Web 界面可能显示以下信息：

• 警报和检测到的网络活动的详细信息。
• 由入侵检测系统模块 (IDS) 执行的 Web 流量扫描结果，该扫描旨在根据预设规则检测入侵企业 IT 基础构架的迹象。
• 使用 Kaspersky TAA (IOA) 规则执行的网络活动扫描的结果。
• 使用 TAA (IOA)、IDS、IOC 用户规则执行网络活动扫描的结果。

如果应用程序在安装了 Endpoint Agent 组件的企业 LAN 计算机上检测到运行的进程，那么应用程序 Web 界面可显示以下信息：

• 有关警报和计算机上运行进程的常规信息。
• 使用 Kaspersky TAA (IOA) 规则对计算机执行网络活动扫描的结果。
• 使用 TAA (IOA)、IOC 用户规则对计​​算机执行网络活动扫描的结果。

警报可由具有以下角色的用户管理：“安全官”和“高级安全官”。具有“安全审计员”角色的用户可以查看警报。

本节内容 查看警报详细信息 有关任何类型警报的一般信息 对象信息部分中的信息 “警报详情”部分中的信息 “有关使用 NDR 技术进行扫描的信息”部分中的信息 扫描结果部分中的信息 IDS 规则部分中的信息 URL 部分中的信息 “检测相关设备的 IP 地址”部分中的信息 网络事件部分中的信息 Sandbox 中的扫描结果 IOC 扫描结果 主机部分中的信息 “更改日志”部分中的信息 发送警报数据 查看警报关系

页面顶部