Просмотр обнаружений

В веб-интерфейсе приложения отображаются следующие типы обнаружений, на которые пользователю Kaspersky Anti Targeted Attack Platform рекомендуется обратить внимание:

• На компьютер локальной сети организации был загружен файл или была предпринята попытка загрузки файла. Приложение обнаружило этот файл в зеркалированном трафике локальной сети организации или в ICAP-данных HTTP- и FTP-трафика, а также HTTPS-трафика, если администратор настроил подмену SSL-сертификата на прокси-сервере.
• На адрес электронной почты пользователя локальной сети организации был отправлен файл. Приложение обнаружило этот файл в копиях сообщений электронной почты, полученных по протоколу POP3 или SMTP, или полученных с виртуальной машины или сервера с программой Kaspersky Secure Mail Gateway, если она используется в вашей организации.
• На компьютере локальной сети организации была открыта ссылка на веб-сайт. Приложение обнаружило эту ссылку на веб-сайт в зеркалированном трафике локальной сети организации или в ICAP-данных HTTP- и FTP-трафика, а также HTTPS-трафика, если администратор настроил подмену SSL-сертификата на прокси-сервере.
• IP-адрес или доменное имя компьютера локальной сети организации были замечены в сетевой активности. Приложение обнаружило эту сетевую активность в зеркалированном трафике локальной сети организации.
• На компьютере локальной сети организации были запущены процессы. Приложение обнаружило эти процессы c помощью компонента Endpoint Agent, установленного на компьютеры, входящие в IT-инфраструктуру организации.

Если обнаружен файл, в зависимости от того, какие модули или компоненты программы выполнили обнаружение, в веб-интерфейсе программы может отображаться следующая информация:

• общая информация об обнаружении и обнаруженном файле (например, IP-адрес компьютера, на котором обнаружен файл, имя обнаруженного файла);
• результаты антивирусной проверки файла, выполненной ядром AM Engine;
• результаты проверки файла на наличие признаков вторжения в IT-инфраструктуру организации, выполненной модулем YARA;
• результаты исследования поведения файла, выполненного компонентом Sandbox;
• результаты анализа исполняемых файлов формата APK в облачной инфраструктуре на основе технологии машинного обучения.

Если обнаружена ссылка на веб-сайт, в зависимости от того, какие модули или компоненты программы выполнили обнаружение, в веб-интерфейсе программы может отображаться следующая информация:

• общая информация об обнаружении и обнаруженной ссылке на веб-сайт (например, IP-адрес компьютера, на котором обнаружена ссылка на веб-сайт, адрес ссылки на веб-сайт);
• результаты проверки ссылки на наличие признаков вредоносного, фишингового URL-адреса или URL-адреса, который ранее использовался злоумышленниками для целевых атак на IT-инфраструктуру организаций, выполненной модулем URL Reputation.

Если обнаружена сетевая активность IP-адреса или доменного имени компьютера локальной сети организации, в веб-интерфейсе программы может отображаться следующая информация:

• общая информация об обнаружении и обнаруженной сетевой активности;
• результаты проверки интернет-трафика на наличие признаков вторжения в IT-инфраструктуру организации по предустановленным правилам, выполненной модулем Intrusion Detection System (IDS);
• результаты исследования сетевой активности, выполненного по правилам TAA (IOA) "Лаборатории Касперского";
• результаты исследования сетевой активности, выполненного по пользовательским правилам TAA (IOA), IDS, IOC.

Если обнаружены процессы, запущенные на компьютере локальной сети организации, на котором установлен компонент Endpoint Agent, в веб-интерфейсе программы может отображаться следующая информация:

• общая информация об обнаружении и процессах, запущенных на этом компьютере;
• результаты исследования сетевой активности компьютера, выполненного по правилам TAA (IOA) "Лаборатории Касперского";
• результаты исследования сетевой активности компьютера, выполненного по пользовательским правилам TAA (IOA), IOC.