查看 EDR 事件的详细信息

EPP 事件可能包含从 Endpoint Agent 软件组件接收到的有关威胁发展链的信息。如果为某个事件建立了威胁发展链，Kaspersky Industrial CyberSecurity for Networks 将该事件视为端点检测和响应事故（EDR 事故）。

威胁发展链是与检测到的威胁相关联的设备上的一系列活动事件。威胁开发链中的一个关键活动事件是具有威胁检测对象的活动事件。链中的所有其他活动事件（在关键活动事件之前和之后）都会保存下来，以便进行进一步的威胁发展分析。

有关所建立的威胁发展链的信息不得与该事件的注册同时添加到该事件中。应用程序将此信息添加到事件的最大延迟为注册后 10 小时。如果事件的状态为“已解决”，则不会添加该信息。

EDR 事故在事件表中用 EDR 图标进行标记。对于每个 EDR 事故，您可以在详细信息区域查看威胁发展链的信息。信息显示在详细信息区域的以下选项卡上：

• 活动事件图表提供了有关威胁发展链中涉及的对象的可视化信息。活动事件在图上表示为节点。根据已识别的威胁发展过程，节点位于不同的级别。关键活动事件位于图形的最低级别。此级别还可以显示按类型对其他活动事件进行分组的节点。在此级别之上，应用程序最多可以显示四个具有活动事件节点的级别。
• 所有活动事件显示有关威胁发展链中包括的所有活动事件的信息的表格视图，并在活动事件图中显示为节点。

查看 EDR 事故的详细信息时，您可以通过查看检测处理状态来确定潜在威胁状态。应用程序显示威胁开发链的此状态。状态的背景颜色取决于威胁检测对象处理的结果：

• 如果检测到的威胁在处理后被认为已经消除（例如，受感染的对象已经被 EPP 应用程序清除），则该应用程序在绿色背景上显示检测处理状态；
• 在所有其他情况下，检测处理状态显示在红色背景上。

活动事件图中的关键活动事件具有与检测处理状态相同的颜色。

如果检测处理状态显示在红色背景上，则可以防止可能的威胁进一步发展，例如，通过触发 Kaspersky Industrial CyberSecurity for Networks 中的响应操作。

在任何情况下，无论显示的检测处理状态如何，您都必须调查发生 EDR 事件的原因和可能的后果。

您可以在选择活动事件时打开的详细信息窗口中查看有关活动事件的详细信息。查看详细信息时，您可以使用带有文件和 URL 哈希的链接在卡巴斯基威胁情报门户网站上获取这些对象的信誉信息。

如果威胁开发链包含您希望在 EPP 应用程序的下一次检查中检测的活动事件，您可以将这些活动事件的数据导出到 IOC 文件（入侵指标文件）。

页首