“防御规则”事件信息

该窗口包含有关触发防御规则的事件的信息，即阻止的应用程序 (防止规则)类型的事件，显示以下详细信息：

事件树。
处理事件时可以执行的操作。
阻止的应用程序 (防止规则)部分：
- IOA 标记— 有关使用 Targeted Attack Analyzer 技术进行文件分析的结果的信息：用于创建警报的 TAA (IOA) 规则的名称。
  单击链接可显示有关 TAA (IOA) 规则的信息。如果规则是由卡巴斯基专家提供的，则它包含有关触发的MITRE 技术的信息以及对事件进行反应的建议。
  MITRE ATT&CK （对抗策略、技术和常识）数据库包含基于真实攻击分析的黑客行为描述。它是以表格形式表示的已知黑客技术的结构化列表。
  
  如果在创建事件时触发了 TAA (IOA) 规则，则会显示该字段。
- 文件 — 被阻止运行的文件的名称。
- 启动参数 — 用于尝试运行文件的参数。
- MD5 — 被阻止运行的文件的 MD5 哈希。
- SHA256 — 被阻止运行的文件的 SHA256 哈希。
- 大小 — 被阻止运行的文件的大小。
- 事件时间 — 触发阻止文件启动的时间。
详细信息部分：
- 应用程序名称 — 例如，操作系统的名称。
- 供应商 — 例如，操作系统的供应商。
- 文件描述 — 例如，示例文件。
- 原始文件名 — 例如，ExampleFile.exe。
- 签名主题 — 颁发文件数字证书的组织。
- 签名验证结果 — 例如，“签名无效”或“签名正常”。
- 创建时间 — 被阻止运行的文件的创建时间。
- 修改时间 — 被阻止运行的文件的上次修改日期。
事件发起者部分：
- 文件 — 父进程文件的名称。
- MD5 — 父进程文件的 MD5 哈希。
- SHA256 — 父进程文件的 SHA256 哈希。
- 进程 ID — 父进程的标识符。
系统信息部分：
- 主机名称 — 触发了阻止文件启动的主机的名称。
- 主机 IP — 触发了阻止文件启动的主机的 IP 地址。
  如果您使用动态 IP 地址，该字段将显示创建事件时分配给主机的 IP 地址。
  该应用程序不支持 IPv6。如果您使用 IPv6，则不会显示主机的 IP 地址。
- 用户名称 — 账户用于执行文件的用户的名称。
- 操作系统版本— 主机上使用的操作系统版本。