Просмотр информации о событии

Развернуть все | Свернуть все

Список событий содержит данные о событиях. Вы также можете перейти к окну с информацией о событии. В окне с информацией о событии приведены все сведения о событии.

Чтобы просмотреть информацию о событии, выполните следующие действия:

1. В главном меню перейдите в раздел МОНИТОРИНГ И ОТЧЕТЫ → ПОИСК УГРОЗ, а затем выполните запрос.
2. Щелкните по строке таблицы, содержащей требуемое событие.

Откроется окно с подробной информацией о событии.

При щелчке по значению в разделе с информацией о событии или в таблице событий открывается контекстное меню со списком действий. Для каждого значения доступны следующие действия:

• Скопировать значение в буфер обмена.
• Добавить или удалить столбец из списка событий.
• Добавить значение в запрос.

  Список событий будет отфильтрован по этому значению.

• Удалить значение из запроса.

  Фильтрация событий по этому полю выполняться не будет.

• Создать новый запрос с указанным значением.

Кроме того, для объектов типа SID (идентификатор безопасности), UserName (имя пользователя), IP-адрес, MD5, веб-адрес, домен доступны следующие действия:

• Получение дополнительной информации на портале Kaspersky Threat Intelligence Portal.

  Информационная система "Лаборатории Касперского", содержащая и отображающая информацию о репутации файлов и веб-адресов.

• Просмотр связанных обнаружений.

  При переходе по этой ссылке открывается список обнаружений, связанных со значением выбранного поля события. Список обнаружений открывается на разделе Обнаружения.

  Чтобы просмотреть список связанных обнаружений, выполните следующие действия:

  1. Перейдите в раздел МОНИТОРИНГ И ОТЧЕТЫ → ПОИСК УГРОЗ и выполните запрос.
  2. Откройте раздел с информацией о событии и нажмите на требуемое значение, чтобы открыть контекстное меню.

     Контекстное меню также можно открыть, щелкнув значение в таблице событий.

  3. В контекстном меню выбранного значения нажмите на кнопку Перейти к связанным обнаружениям.

  Отобразится список связанных обнаружений.

  Просмотр связанных обнаружений доступен только для объектов с типами данных SID (идентификатор безопасности), UserName (имя пользователя), IP-адрес, MD5, веб-адрес, домен.

• Просмотр связанных инцидентов.

  При переходе по этой ссылке открывается список инцидентов, связанных со значением выбранного поля события. Список инцидентов открывается на разделе Инциденты.

  Чтобы просмотреть список связанных инцидентов, выполните следующие действия:

  1. Перейдите в раздел МОНИТОРИНГ И ОТЧЕТЫ → ПОИСК УГРОЗ и выполните запрос.
  2. Откройте раздел с информацией о событии и нажмите на требуемое значение, чтобы открыть контекстное меню.

     Контекстное меню также можно открыть, щелкнув значение в таблице событий.

  3. В контекстном меню выбранного значения нажмите на кнопку Перейти к связанным инцидентам.

  Отобразится список связанных инцидентов.

  Просмотр связанных инцидентов доступен только для объектов с типами данных SID (идентификатор безопасности), UserName (имя пользователя), IP-адрес, MD5, веб-адрес, домен.

Поле enrich.hunts.names содержит названия IOA-правил, срабатывание которых произошло из-за возникновения события. При переходе по ссылке в этом поле открывается окно с подробной информацией о сработавшем пользовательском правиле.

Из раздела с информацией о событии можно перейти к дереву событий, нажав на соответствующую кнопку.