查看警报表

检测到的针对企业 IT 基础设施的针对性攻击和入侵迹象将显示为警报表。

警报表不会显示至少满足以下条件之一的对象的信息：

• 该对象在 KSN 数据库中具有受信任信誉。
• 该对象由以下可信供应商进行数字签名：
  • Kaspersky。
  • Google。
  • Apple。
  • Microsoft。

有关这些警报的信息会保存到应用程序日志中。您可以查看该信息。

当达到允许的最大警报数量时，应用程序日志中的警报信息每晚都会轮换：

• (IDS) 入侵检测系统和(URL) URL 信誉组件生成的警报对于每个组件最多有 100000 个警报。
• 所有其他警报对于每个模块或组件最多有 20000 个警报。

如果您使用的是分布式方案和多租户模式，则在所有 SCN 上进行轮转，然后再与 PCN 进行同步。同步后，所有已删除的警报都会被自动从 PCN 中删除。

如果存在有效的 KATA+NDR 授权许可密钥，则会生成 NDR 警报。授权许可密钥过期后，已创建的警报仍然可供查看，但不会创建新的警报。

警报表位于警报部分。它显示一般的 KATA 警报和 NDR 警报。

默认情况下，此部分仅显示有关用户未处理的警报的信息。若要也显示有关已处理警报的信息，请启用窗口右上角的“显示已关闭的警报”拨动开关。

您可以按已创建或者已更新、重要级别、源和状态列对表中的警报进行排序。

警报表包含以下信息：

1. VIP指定警报是否处于具有特殊访问权限的状态。例如，具有安全官角色的用户无法查看 VIP 身份的警报。
2. “已创建”是创建警报的时间，“已更新”是警报更新的时间。
3. — 根据卡巴斯基的经验，对于 Kaspersky Anti Targeted Attack Platform 用户而言，警报重要性取决于此警报可能对计算机或企业 LAN 安全造成的影响。

   警报可以具有以下重要性级别之一：

   • 高，以 符号标记 – 此警报具有高度重要性。
   • 中，以 符号标记 – 此警报具有中度重要性。
   • 低，以 符号标记 – 此警报重要性较低。
4. 检测到 — 检测到的对象的一个或多个类别。例如，当应用程序检测到感染了 Trojan-Downloader.JS.Cryptoload.ad 病毒的文件时，检测到字段就会对此警报显示 Trojan-Downloader.JS.Cryptoload.ad 类别。
5. 详细信息 — 警报摘要。比如：检测到的文件的名称或恶意链接的 URL 地址。
6. 源 — 检测到的对象的源的地址。例如，这可以是发送恶意文件的电子邮件地址，也可以是从中下载恶意文件的 URL。
7. 目标 — 检测到的对象的目标地址。例如，这可以是组织的邮件域（恶意文件发送到该邮件域）的电子邮件地址，也可以是企业 LAN 上的计算机（恶意文件已下载到该计算机）的 IP 地址。
8. “技术”是扫描时生成警报的应用程序模块或组件的名称。

   技术列可能表示以下应用程序模块和组件：

   • (YARA) YARA。
   • (SB) Sandbox。
   • (URL) URL 信誉。
   • (IDS) 入侵检测系统。
   • (AM) 反恶意软件引擎。
   • (TAA) 针对性攻击分析器。
   • (IOC) IOC。
   • (NDR: IDS) 入侵检测系统。
   • (AA) 聚合警报。
9. 状态 — 警报状态取决于此警报是否被 Kaspersky Anti Targeted Attack Platform 的用户处理。

   警报可具有以下状态之一：

   • 新的用于新警报。
   • 进行中用于 Kaspersky Anti Targeted Attack Platform 用户在处理的警报。
   • 重新扫描用于重新扫描对象而产生的警报。

• 服务器是创建警报的服务器名称列表。服务器属于您在应用程序 Web 界面中管理的租户。如果您使用的是分布式解决方案和多租户模式，则会显示此列。
• 分配给是对其分配了警报的用户的名称。

如果表格列中的信息以链接形式显示，您可以点击该链接打开过滤器菜单，在菜单中选择按此列进行过滤的设置。

当同时满足以下条件时，入侵检测系统模块会在一个警报中合并有关已处理网络事件的信息：

• 触发规则的名称，应用程序数据库的版本以及源都匹配网络事件。
• 活动之间不超过 24 小时。

为满足这些条件的所有网络事件显示一个警报。警报通知仅包含有关第一个网络事件的信息。

页面顶部