有关“被解释文件运行”事件的信息

显示进程: 解释文件运行事件信息的窗口包含以下详情：

• 事件树。
• 处理事件时可以执行的操作。
• 进程: 解释文件运行部分：
  • IOA 标记— 有关使用 Targeted Attack Analyzer 技术进行文件分析的结果的信息：用于创建警报的 TAA (IOA) 规则的名称。

    单击链接可显示有关 TAA (IOA) 规则的信息。如果规则是由卡巴斯基专家提供的，则它包含有关触发的MITRE 技术的信息以及对事件进行反应的建议。

    MITRE ATT&CK （对抗策略、技术和常识）数据库包含基于真实攻击分析的黑客行为描述。它是以表格形式表示的已知黑客技术的结构化列表。

    如果在创建事件时触发了 TAA (IOA) 规则，则会显示该字段。

  • 文件 — 文件的名称。
  • MD5 — 文件的 MD5 哈希。
  • SHA256 — 文件的 SHA256 哈希。
  • 大小 — 文件的大小。
  • 创建时间 — 创建文件的时间。
  • 修改时间 — 文件的上次修改时间。
• 事件发起者部分：
  • 文件 — 父进程文件的路径。
  • MD5 — 父进程文件的 MD5 哈希。
  • SHA256 — 父进程文件的 SHA256 哈希。
  • 进程 ID — 父进程的标识符。
• 系统信息部分：
  • 主机名称 — 运行文件的主机的名称。
  • 主机 IP — 在其上运行文件的主机的 IP 地址。

    如果您使用动态 IP 地址，该字段将显示创建事件时分配给主机的 IP 地址。

    该应用程序不支持 IPv6。如果您使用 IPv6，则不会显示主机的 IP 地址。

  • 用户名称 — 账户用于执行文件的用户的名称。
  • 操作系统版本— 主机上使用的操作系统版本。

单击进程: 解释文件运行部分中包含文件名或文件路径的链接将打开一个列表，您可以在其中选择以下操作之一：

• 查找事件。
• 查找警报。
• 运行以下任务：
  • 删除文件。
  • 获取文件。
  • 进行取证。
  • 隔离文件。
• 复制值到剪贴板。

单击事件发起者部分中包含文件名或文件路径的链接将打开一个列表，您可以在其中选择以下操作之一：

• 查找事件。
• 查找警报。
• 运行以下任务：
  • 杀死进程。
  • 使用唯一的 PID 杀死进程。
  • 删除文件。
  • 获取文件。
  • 进行取证。
  • 隔离文件。
• 复制值到剪贴板。

单击具有主机名的链接将打开一个列表，您可以从其中选择以下操作之一：

• 查找事件。
• 查找警报。
• 运行以下任务：
  • 获取数据 → 文件、取证、磁盘镜像、内存转储。
  • 杀死进程。
  • 删除文件。
  • 隔离文件。
  • 运行应用程序。
• 复制值到剪贴板。

单击 MD5 链接将打开一个列表，您可以从其中选择以下操作之一：

• 查找事件。
• 查找警报。
• 在 Kaspersky TIP 上查找。

  卡巴斯基信息系统 包含并显示文件和 URL 地址的信誉信息。

• 在存储中查找。
• 创建防止规则。
• 复制值到剪贴板。

单击 SHA256 链接将打开一个列表，您可以从其中选择以下操作之一：

• 查找事件。
• 查找警报。
• 在 Kaspersky TIP 上查找。
• 在 virustotal.com 上查找。
• 在存储中查找。
• 创建防止规则。
• 复制值到剪贴板。

另请参阅 事件信息 事件处理建议 有关事件树中事件的信息 查看事件表 配置事件表显示 查看有关事件的信息 有关“进程已启动”事件的信息 有关“进程已终止”事件的信息 有关“模块已加载”事件的信息 有关“远程连接”事件的信息 “防御规则”事件信息 有关“文档被阻止”事件的信息 有关“文件已修改”事件的信息 有关“系统事件日志”事件的信息 有关“注册表更改”事件的信息 有关“端口被侦听”事件的信息 有关“驱动程序已加载”事件的信息 有关“DNS”事件的信息 有关“LDAP”事件的信息 有关“命名管道”事件的信息 有关“WMI”事件的信息 有关“检测”事件的信息 有关“检测处理结果”事件的信息 有关“AMSI 扫描”事件的信息 有关“在控制台进行交互式命令输入”事件的信息 有关“代码注入”事件的信息 有关“进程访问”事件的信息 关于“USB 设备”事件的信息

页面顶部