Информация о событиях

Если вы используете

режим распределенного решения

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

мультитенантности

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

В информации о событиях отображаются локальные метки времени того компьютера с программой Kaspersky Endpoint Agent, на котором было обнаружено событие. Администратору программы требуется контролировать актуальность времени на компьютерах с программой Kaspersky Endpoint Agent.

Чтобы включить отображение событий по всем тенантам, выполните следующие действия:

1. В окне веб-интерфейса программы выберите раздел Поиск угроз.
2. Включите переключатель Искать по всем тенантам.

В таблице событий отобразятся события по всем тенантам.

Просмотр таблицы событий

Таблица событий отображается в разделе Поиск угроз окна веб-интерфейса программы после выполнения поиска угроз по базе событий. Вы можете сортировать события в таблице по столбцам Время события, Тип события, Хост и Имя пользователя.

Если вы используете режим распределенного решения и мультитенантности, события в таблице сгруппированы по хостам выбранных серверов и тенантов.

В таблице событий содержится следующая информация:

1. Время события – дата и время обнаружения события.
2. Тип события – например, Запущен процесс.
3. Хост – имя хоста, на котором было выполнено обнаружение.
4. Сведения – сведения о событии.
5. Имя пользователя – имя пользователя компьютера с программой Kaspersky Endpoint Agent, под учетной записью которого было обнаружено событие.

В таблице событий для каждого типа событий в столбце Тип события отображается свой набор данных в столбце Сведения (см. таблицу ниже).

Набор данных в столбце Событие для каждого типа событий в столбце Сведения

Данные о событии AMSI-проверка доступны при интеграции Kaspersky Anti Targeted Attack Platform с программой Kaspersky Endpoint Agent для Windows версии 3.10 и выше и при интеграции Kaspersky Endpoint Agent с программой Kaspersky Endpoint Security для Windows версий 11.5 и выше. Если программа Kaspersky Endpoint Security для Windows не установлена на компьютер и не интегрирована с программой Kaspersky Endpoint Agent, информация о событии AMSI-проверка не записывается в базу событий и не отображается в веб-интерфейсе Kaspersky Anti Targeted Attack Platform.

Сервер Central Node формирует событие Обнаружение и Результат обработки обнаружения на основе данных, полученных от программ EPP. Если программы EPP не установлены на компьютер и не интегрированы с программой Kaspersky Endpoint Agent, информация об этих событиях не записывается в базу событий и не отображается в веб-интерфейсе Kaspersky Anti Targeted Attack Platform.

По ссылке с названием типа события, сведениями, дополнительной информацией и именем пользователя раскрывается список, в котором вы можете выбрать действие над объектом. В зависимости от значения в ячейке вы можете выполнить одно из следующих действий:

• Для всех значений в ячейке:
  • Добавить в фильтр.
  • Исключить из фильтра.
  • Скопировать значение в буфер.
• Имя хоста:
  • Найти события.
  • Найти обнаружения.
  • Изолировать от сети.
• Имя файла:
  • Завершить процесс.
  • Завершить по уникальному PID.
  • Удалить файл.
  • Получить файл.
  • Собрать форензику.
  • Поместить файл на карантин.
• MD5-хеш:
  • Найти события.
  • Найти обнаружения.
  • Найти на TIP

    Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.

    Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.

    Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.

    Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.

    Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.

    Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.

    Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.

    Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.

    Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.

    Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.

    Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.

    Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.

    Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.

    Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.

    Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.

    Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.

    .
  • Создать правило запрета.
  • Найти в Хранилище.
• SHA256-хеш:
  • Найти события.
  • Найти обнаружения.
  • Найти на TIP.
  • Найти на virustotal.com.
  • Найти в Хранилище.
  • Создать правило запрета.

Настройка отображения таблицы событий

Вы можете настроить отображение столбцов, а также порядок их следования в таблице событий.

Чтобы настроить отображение таблицы событий:

1. Выполните поиск событий в режиме конструктора или режиме исходного кода.

   Отобразится таблица событий.

2. В заголовочной части таблицы нажмите на кнопку .

   Отобразится окно Настройка таблицы.

3. Если вы хотите включить отображение столбца в таблице, установите флажок рядом с названием того параметра, который должен отображаться в таблице.

   Если вы не хотите, чтобы параметр отображался в таблице, снимите флажок.

   Должен быть установлен хотя бы один флажок.

4. Если вы хотите изменить порядок отображения столбцов в таблице, наведите курсор мыши на строку с нужным параметром, нажмите на кнопку и переместите строку с параметром в нужное место.
5. Если вы хотите восстановить параметры отображения таблицы по умолчанию, нажмите на ссылку По умолчанию.
6. Нажмите на кнопку Применить.

Отображение таблицы событий будет настроено.

Просмотр информации о событии

Чтобы просмотреть информацию о событии:

1. В окне веб-интерфейса программы выберите раздел Поиск угроз, закладку Конструктор или Редактор кода.

   Откроется форма поиска событий.

2. Если вы используете режим распределенного решения и мультитенантности и хотите включить отображение событий по всем тенантам, включите переключатель Искать по всем тенантам.
3. Выполните поиск событий в режиме конструктора или режиме исходного кода.

   Отобразится таблица событий.

4. Выберите событие, информацию о котором вы хотите просмотреть.

Откроется окно с информацией о событии.

Информация о событиях в дереве событий

Дерево событий отображается в верхней части окна информации о событии.

В дереве событий содержится следующая информация:

• Событие, информацию о котором вы просматриваете.

  Просматриваемое событие располагается справа.

• Родительский процесс.

  Родительский процесс располагается слева от просматриваемого события. Если для просматриваемого события нет родительского процесса, вместо него отображается имя хоста, на котором было зафиксировано просматриваемое событие.

При нажатии на имя родительского процесса слева отображается процесс, который инициировал появление этого процесса и является родительским по отношению к нему. Если родительского процесса нет, отображается имя хоста.

Справа от имени каждого родительского процесса отображается общее количество событий, вызванных этим процессом. Вы можете просмотреть список событий и информацию о выбранном событии.

Просмотр информации о родительском процессе в дереве событий

Чтобы просмотреть информацию о родительском процессе для просматриваемого события:

1. Выполните поиск событий в режиме конструктора или режиме исходного кода.

   Отобразится таблица событий.

2. Выберите событие, информацию о котором вы хотите просмотреть.

   Откроется окно с информацией о событии. В верхней части окна отобразится дерево событий.

3. Нажмите на
   имя родительского процесса

   Родительский процесс в дереве событий располагается слева от просматриваемого события или дочернего процесса.

   Родительский процесс в дереве событий располагается слева от просматриваемого события или дочернего процесса.

   .

   В нижней части окна на закладке Сведения отобразится информация о процессе, который является родительским по отношению к просматриваемому событию.

Просмотр информации о событиях, инициированных родительским процессом, в дереве событий

Чтобы просмотреть таблицу всех событий, инициированных родительским процессом:

1. Выполните поиск событий в режиме конструктора или режиме исходного кода.

   Отобразится таблица событий.

2. Выберите событие, информацию о котором вы хотите просмотреть.

   Откроется окно с информацией о событии. В верхней части окна информации о событии отобразится дерево событий.

3. Нажмите на имя родительского процесса в дереве событий.

   В нижней части окна на закладке Сведения отобразится информация о событии, которое является родительским по отношению к просматриваемому событию.

4. Перейдите на закладку События.

   Отобразится таблица всех событий, инициированных родительским процессом. По умолчанию события в таблице отсортированы по времени: новые события располагаются вверху таблицы.

   Вы можете просмотреть информацию о событии, нажав на строку с этим событием. Узел события отобразится в дереве событий.

Чтобы просмотреть таблицу событий, сгруппированных по типу, выполните следующие действия:

1. Выполните поиск событий в режиме конструктора или режиме исходного кода.

   Отобразится таблица событий.

2. Выберите событие, информацию о котором вы хотите просмотреть.

   Откроется окно с информацией о событии. В верхней части окна информации о событии отобразится дерево событий.

3. Нажмите на раскрывающийся список справа от имени узла родительского процесса в дереве событий.

   Отобразится список всех событий, инициированных родительским процессом. По умолчанию события в списке сгруппированы по типу.

4. В дереве событий в раскрывающемся списка справа от имени родительского процесса выберите один из следующих элементов:
   • Если вы хотите просмотреть все события, инициированные родительским процессом, выберите Все события.

     Отобразится таблица всех событий, инициированных родительским процессом. По умолчанию события в таблице отсортированы по времени: новые события располагаются вверху таблицы.

   • Если вы хотите просмотреть все события одного типа, инициированные родительским процессом, выберите имя нужного типа событий.

     Отобразится таблица всех событий, инициированных родительским процессом и сгруппированных по типу.

   Вы можете просмотреть информацию о событии, нажав на строку с этим событием. Событие отобразится в дереве событий.

Просмотр информации о хосте в дереве событий

Если для просматриваемого события или родительского процесса нет процесса, инициировавшего его появление, вместо узла процесса в дереве событий отображается узел хоста, на котором было зафиксировано событие или был запущен родительский процесс.

Чтобы просмотреть информацию о хосте, на котором было зафиксировано событие или был запущен родительский процесс:

1. Выполните поиск событий в режиме конструктора или режиме исходного кода.

   Отобразится таблица событий.

2. Выберите событие, информацию о котором вы хотите просмотреть.

   Откроется окно с информацией о событии. В верхней части окна отобразится дерево событий.

3. Нажмите на имя хоста в дереве событий.

   В нижней части окна отобразится информация о хосте, на котором было зафиксировано событие или был запущен родительский процесс.

Рекомендации по обработке событий

В окне события в рамке между деревом событий и текстовой информацией для пользователей с ролью Старший сотрудник службы безопасности отображаются рекомендации по обработке этого события.

Вы можете выполнить следующие рекомендации:

• Изолировать <имя хоста> – изолировать хост с программой Kaspersky Endpoint Agent, на котором обнаружено событие, от сети. Применяется для всех типов событий.
• Создать правило запрета – запретить запуск файла, обнаруженного в событии. Применяется для всех типов событий кроме Журнал событий ОС и Изменено имя хоста.
• Создать задачу – создать задачу. Применяется для всех типов событий кроме Журнал событий ОС и Изменено имя хоста.

Кроме того, вы можете выполнить действия по обработке события по ссылкам с именем файла, путем к файлу, MD5-хешем, SHA256-хешем файла и именем хоста при просмотре текстовой информации о событии в нижней части окна.

По ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Завершить процесс.
  • Завершить по уникальному PID.
  • Удалить файл.
  • Получить файл.
  • Собрать форензику.
  • Поместить файл на карантин.
• Скопировать значение в буфер.

По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Добавить в фильтр.
• Исключить из фильтра.
• Найти на TIP.
• Найти события.
• Найти обнаружения.
• Скопировать значение в буфер.

По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Найти на TIP.
• Найти на virustotal.com.
• Найти в Хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Завершить процесс.
  • Удалить файл.
  • Получить файл.
  • Собрать форензику.
  • Поместить файл на карантин.
  • Выполнить программу.
• Скопировать значение в буфер.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности рекомендации по обработке событий не отображаются.

Выполнение рекомендации по изоляции хоста

Чтобы выполнить рекомендацию по изоляции хоста от сети:

1. В рамке с рекомендациями выберите Изолировать <имя хоста>.

   Откроется окно параметров изоляции хоста из события, с которым вы работаете.

2. В поле Отключить изоляцию через введите количество часов от 1 до 9999, в течение которых будет действовать сетевая изоляция хоста.
3. В блоке параметров Исключения для правила изоляции хоста в списке Направление трафика выберите направление сетевого трафика, которое не должно быть заблокировано:
   • Входящее/Исходящее.
   • Входящее.
   • Исходящее.
4. В поле IP введите IP-адрес, сетевой трафик которого не должен быть заблокирован.

   Вы можете использовать прокси-сервер для соединения Kaspersky Endpoint Agent для Windows с Kaspersky Anti Targeted Attack Platform. При добавлении этого прокси-сервера в исключения сетевые ресурсы, к которым открыт доступ через прокси-сервер, также добавляются в исключения. Если в исключения добавлены сетевые ресурсы, соединение с которыми происходит через прокси-сервер, но при этом исключение для самого прокси-сервера не настроено, исключение не будет работать.

5. Если вы выбрали Входящее или Исходящее, в поле Порты введите порты подключения.
6. Если вы хотите добавить более одного исключения, нажмите на кнопку Добавить и повторите действия по заполнению полей Направление трафика, IP и Порты.
7. Нажмите на кнопку Сохранить.

Информация об изоляции хоста отобразится в разделе Endpoint Agents веб-интерфейса.

Вы также можете создать правило сетевой изоляции по ссылке Изолировать <имя хоста> в информации об обнаружении и в разделе Endpoint Agents веб-интерфейса.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция изоляции хоста от сети недоступна.

Выполнение рекомендации по запрету запуска файла

Чтобы выполнить рекомендацию по запрету запуска файла:

1. В рамке с рекомендациями выберите Создать правило запрета.

   Откроется окно создания правила запрета с MD5- или SHA256-хешем файла из события, с которым вы работаете.

2. Задайте значения следующих параметров:
   1. Состояние – состояние правила запрета:
      • Если вы хотите включить правило запрета, переведите переключатель в положение Вкл.
      • Если вы хотите отключить правило запрета, переведите переключатель в положение Откл.
   2. Имя – имя правила запрета.
   3. Если вы хотите, чтобы программа выводила уведомление о срабатывании правила запрета пользователю компьютера, на который распространяется запрет, установите флажок Показывать пользователю уведомление о блокировке запуска файла.
   4. Если вы хотите изменить область применения правила запрета, настройте параметр Запрет для:
      • Если вы хотите применить правило запрета на всех хостах всех серверов, выберите вариант Всех хостов.
      • Если вы хотите применить правило запрета на выбранных серверах, выберите вариант Выбранных серверов и справа от названия параметра Серверы установите флажки рядом с теми именами серверов, на которых вы хотите применить правило запрета.

        Этот вариант доступен только при включенном режиме распределенного решения и мультитенантности.

      • Если вы хотите применить правило запрета на выбранных хостах, выберите вариант Выбранных хостов и перечислите эти хосты в поле Хосты.
3. Нажмите на кнопку Добавить.

Запрет на запуск файла будет создан.

Информация о созданном запрете отобразится в разделе Политики веб-интерфейса.

Если вы установили флажок Показывать пользователю уведомление о блокировке запуска файла, при попытке запуска запрещенного файла пользователю будет показано уведомление о том, что сработало правило запрета запуска этого файла.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция запрета запуска файла недоступна.

Выполнение рекомендации по созданию задачи

Чтобы выполнить рекомендацию по созданию задачи:

1. В рамке с рекомендациями по ссылке Создать задачу раскройте список типов задач.
2. Выберите один из типов задач:
   • Завершить процесс.
   • Собрать форензику.
   • Запустить YARA-проверку.
   • Управление службами.
   • Получить дамп памяти процесса.
   • Получить метафайлы NTFS.
   • Выполнить программу.
   • Получить файл.
   • Удалить файл.
   • Поместить файл на карантин.
   • Восстановить файл из карантина.

   Откроется окно создания задачи с предзаполненными данными (например, именем хоста, путем к файлу, MD5- или SHA256-хешем файла) из события, с которым вы работаете.

3. Если вы хотите изменить предзаполненные данные из события, внесите изменения в соответствующие поля.
4. Если вы хотите добавить комментарий к задаче, введите его в поле Описание.
5. Если вы создаете задачу Завершить процесс, Удалить файл, Запустить YARA-проверку или Управление службами и хотите изменить область применения задачи, настройте параметр Задача для:
   • Если вы хотите выполнить задачу на всех хостах всех серверов, выберите вариант Всех хостов.
   • Если вы хотите выполнить задачу на выбранных серверах, выберите вариант Выбранных серверов и справа от названия параметра Серверы установите флажки рядом с теми именами серверов, на которых вы хотите выполнить задачу.

     Этот вариант доступен только при включенном режиме распределенного решения и мультитенантности.

   • Если вы хотите выполнить задачу на выбранных хостах, выберите вариант Выбранных хостов и перечислите эти хосты в поле Хосты.
6. Нажмите на кнопку Добавить.

Задача будет создана.

Информация о созданной задаче отобразится в разделе Задачи веб-интерфейса.

Для пользователей с ролью Аудитор и Сотрудник службы безопасности функция создания задачи недоступна.

Информация о событии Запущен процесс

В окне с информацией о событиях типа Запущен процесс содержатся следующие сведения:

• Дерево событий.
• Рекомендации по обработке события.
• Раздел Запущен процесс:
  • Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.

    По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей

    технике MITRE

    База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.

    База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.

    База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.

    База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.

    База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.

    База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.

    База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.

    База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.

    База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.

    База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.

    База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.

    База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.

    База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.

    База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.

    База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.

    База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.

    , а также рекомендации по реагированию на событие.

    Поле отображается, если при создании события сработало правило TAA (IOA).

  • Файл – имя файла процесса.
  • ID процесса – идентификатор процесса.
  • Параметры запуска – параметры запуска процесса.
  • MD5 – MD5-хеш файла процесса.
  • SHA256 – SHA256-хеш файла процесса.
  • Размер – размер файла процесса.
  • Время события – время запуска процесса.
  • Время создания – время создания файла процесса.
  • Время изменения – время последнего изменения файла процесса.

  Если событие было записано в базу событий программой Kaspersky Endpoint Agent для Linux, в разделе Запущен процесс также отображается поле Команда – команда, с помощью которой был запущен процесс.

• Раздел Сведения:
  • Название программы – например, название операционной системы.
  • Производитель – например, производитель операционной системы.
  • Описание файла – например, Example File.
  • Исходное имя файла – например, ExampleFile.exe.
  • Получатель сертификата – организация, выпустившая цифровой сертификат файла.
  • Результат проверки подписи – например, "Недействительна" или "OK".
  • Свойства – атрибут файла по классификации Windows. Например, A (архив), D (директория) или S (системный).

  Если событие было записано в базу событий программой Kaspersky Endpoint Agent для Linux, в разделе Сведения также отображаются следующие поля:

  • Свойства – свойства файла процесса.
  • Тип процесса – например, exec.
  • Переменные окружения – переменные окружения процесса.
  • Настоящее имя пользователя – имя пользователя, назначенное при регистрации в системе.
  • Настоящее имя группы – группа, к которой принадлежит пользователь.
  • Действующее имя пользователя – имя пользователя, которое использовалось для входа в систему.
  • Действующее имя группы – группа, к которой принадлежит пользователь, чье имя использовалось для входа в систему.
  • Имя пользователя-владельца – имя пользователя, создавшего файл процесса.
  • Имя группы-владельца – название группы, пользователи которой могут изменить или удалить файл процесса.
  • Разрешенные привилегии файла – разрешения, которые могут использоваться для доступа к файлу процесса.
  • Наследуемые привилегии файла – разрешения, которые есть у группы пользователей для выполнения операций с родительским каталогом файла процесса.
  • Актуальные привилегии файла – разрешения, которые актуальны для файла процесса на данный момент.
• Раздел Инициатор события:
  • Файл – путь к файлу родительского процесса.
  • ID процесса – идентификатор родительского процесса.
  • Параметры запуска – параметры запуска родительского процесса.
  • MD5 – MD5-хеш файла родительского процесса.
  • SHA256 – SHA256-хеш файла родительского процесса.

    Если событие было записано в базу событий программой Kaspersky Endpoint Agent для Linux, в разделе Родительский процесс также отображается поле Команда – команда, с помощью которой был запущен родительский процесс.

• Раздел Сведения о системе:
  • Имя хоста – имя хоста, на котором был запущен процесс.
  • IP хоста – IP-адрес хоста, на котором был запущен процесс.

    Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный хосту на момент создания события.

    Программа не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес хоста не отображается.

  • Тип учетной записи – тип учетной записи, под которой был запущен процесс. Например, администратор.
  • Тип входа в систему – например, с помощью запущенной службы.
  • Имя пользователя – имя пользователя, запустившего процесс.
  • Версия ОС – версия операционной системы, используемой на хосте.

    Если событие было записано в базу событий программой Kaspersky Endpoint Agent для Linux, в разделе Сведения о системе также отображается поле Вход с удаленного хоста – имя хоста, с которого был совершен удаленный вход в систему.

По ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Завершить процесс.
  • Завершить по уникальному PID.
  • Удалить файл.
  • Получить файл.
  • Собрать форензику.
  • Поместить файл на карантин.
• Скопировать значение в буфер.

В информации о событии, записанном в базу событий программой Kaspersky Endpoint Agent для Linux, по ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачу Получить файл.
• Скопировать значение в буфер.

По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Собрать данные → Файл, Форензика, Образ диска, Дамп памяти.
  • Завершить процесс.
  • Удалить файл.
  • Поместить файл на карантин.
  • Выполнить программу.
• Скопировать значение в буфер.

В информации о событии, записанном в базу событий программой Kaspersky Endpoint Agent для Linux, по ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Получить файл.
  • Выполнить программу.
• Скопировать значение в буфер.

По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Найти на TIP.
• Найти в Хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Найти на TIP.
• Найти на virustotal.com.
• Найти в Хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

Информация о событии Завершен процесс

В окне с информацией о событиях типа Завершен процесс содержатся следующие сведения:

• Дерево событий.
• Рекомендации по обработке события.
• Раздел Завершен процесс:
  • Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.

    По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.

    Поле отображается, если при создании события сработало правило TAA (IOA).

  • Файл – имя файла процесса.
  • ID процесса – идентификатор процесса.
  • Параметры запуска – параметры запуска процесса.
  • MD5 – MD5-хеш файла процесса.
  • SHA256 – SHA256-хеш файла процесса.
  • Размер – размер файла процесса.
  • Время события – время завершения процесса.
• Раздел Инициатор события:
  • Файл – путь к файлу родительского процесса.
  • ID процесса – идентификатор родительского процесса.
  • Параметры запуска – параметры запуска родительского процесса.
  • MD5 – MD5-хеш файла родительского процесса.
  • SHA256 – SHA256-хеш файла родительского процесса.
• Раздел Сведения о системе:
  • Имя хоста – имя хоста, на котором был запущен процесс.
  • IP хоста – IP-адрес хоста, на котором был запущен процесс.

    Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный хосту на момент создания события.

    Программа не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес хоста не отображается.

  • Тип учетной записи – тип учетной записи, под которой был завершен процесс. Например, администратор.
  • Тип входа в систему – например, с помощью запущенной службы.
  • Имя пользователя – имя пользователя, запустившего процесс.
  • Версия ОС – версия операционной системы, используемой на хосте.

Информация о событии Загружен модуль

В окне с информацией о событиях типа Загружен модуль содержатся следующие сведения:

• Дерево событий.
• Рекомендации по обработке события.
• Раздел Загружен модуль:
  • Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.

    По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.

    Поле отображается, если при создании события сработало правило TAA (IOA).

  • Файл – имя файла загруженного модуля.
  • MD5 – MD5-хеш файла загруженного модуля.
  • SHA256 – SHA256-хеш файла загруженного модуля.
  • Размер – размер загруженного модуля.
  • Время события – время загрузки модуля.
• Раздел Сведения:
  • Название программы – например, название операционной системы.
  • Производитель – например, производитель операционной системы.
  • Описание файла – например, Example File.
  • Исходное имя файла – например, Example File.
  • Получатель сертификата – организация, выпустившая цифровой сертификат файла.
  • Результат проверки подписи – например, "Подпись недействительна" или "Подпись ОК".
  • Время создания – время создания загруженного модуля.
  • Время изменения – дата последнего изменения загруженного модуля.
  • Следующая по пути обхода DLL – поле содержит путь к библиотеке DLL, которая могла быть загружена вместо существующей библиотеки.

    Поле отображается при выполнении следующих условий:

    • Источник загруженной библиотеки DLL не является доверенным.
    • В папке по стандартному пути обхода есть одноименная библиотека с другим хешем.

    Kaspersky Anti Targeted Attack Platform получает данные, необходимые для заполнения поля Следующая по пути обхода DLL, только при интеграции Kaspersky Anti Targeted Attack Platform с программой Kaspersky Endpoint Agent для Windows версии 3.10. При интеграции программы с предыдущими версиями Kaspersky Endpoint Agent указанное поле не будет отображаться в информации о событии.

• Раздел Инициатор события:
  • Файл – путь к файлу родительского процесса.
  • MD5 – MD5-хеш файла родительского процесса.
  • SHA256 – SHA256-хеш файла родительского процесса.
• Раздел Сведения о системе:
  • Имя хоста – имя хоста, на котором был загружен модуль.
  • IP хоста – IP-адрес хоста, на котором был загружен модуль.

    Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный хосту на момент создания события.

    Программа не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес хоста не отображается.

  • Имя пользователя – имя пользователя, загрузившего модуль.
  • Версия ОС – версия операционной системы, используемой на хосте.

По ссылке с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Завершить процесс.
  • Завершить по уникальному PID.
  • Удалить файл.
  • Получить файл.
  • Собрать форензику.
  • Поместить файл на карантин.
• Скопировать значение в буфер.

По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Собрать данные → Файл, Форензика, Образ диска, Дамп памяти.
  • Завершить процесс.
  • Удалить файл.
  • Поместить файл на карантин.
  • Выполнить программу.
• Скопировать значение в буфер.

По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Найти на TIP.
• Найти в Хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Найти на TIP.
• Найти на virustotal.com.
• Найти в Хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

Информация о событии Удаленное соединение

В окне с информацией о событиях типа Удаленное соединение содержатся следующие сведения:

• Дерево событий.
• Рекомендации по обработке события.
• Раздел Удаленное соединение:
  • Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.

    По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.

    Поле отображается, если при создании события сработало правило TAA (IOA).

  • Направление соединения – направление соединения (входящее или исходящее).
  • Удаленный IP-адрес – IP-адрес хоста, на который была произведена попытка удаленного соединения.
  • Локальный IP-адрес – IP-адрес локального компьютера, с которого была произведена попытка удаленного соединения.
  • Время события – время попытки удаленного соединения.
• Раздел Инициатор события:
  • Файл – имя файла родительского процесса.
  • MD5 – MD5-хеш файла родительского процесса.
  • SHA256 – SHA256-хеш файла родительского процесса.
• Раздел Сведения о системе:
  • Имя хоста – имя хоста, с которого была произведена попытка удаленного соединения.
  • IP хоста – IP-адрес хоста, с которого была произведена попытка удаленного соединения.

    Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный хосту на момент создания события.

    Программа не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес хоста не отображается.

  • Имя пользователя – имя пользователя, который пытался установить удаленное соединение.
  • Версия ОС – версия операционной системы, используемой на хосте.

По ссылке с именем файла раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Завершить процесс.
  • Завершить по уникальному PID.
  • Удалить файл.
  • Получить файл.
  • Собрать форензику.
  • Поместить файл на карантин.
• Скопировать значение в буфер.

По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Собрать данные → Файл, Форензика, Образ диска, Дамп памяти.
  • Завершить процесс.
  • Удалить файл.
  • Поместить файл на карантин.
  • Выполнить программу.
• Скопировать значение в буфер.

По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Найти на TIP.
• Найти в Хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Найти на TIP.
• Найти на virustotal.com.
• Найти в Хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

Информация о событии Правило запрета

В окне с информацией о событиях, в которых сработали правила запрета – событиях типа Правило запрета содержатся следующие сведения:

• Дерево событий.
• Рекомендации по обработке события.
• Раздел Правило запрета:
  • Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.

    По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.

    Поле отображается, если при создании события сработало правило TAA (IOA).

  • Файл – имя файла, запуск которого был запрещен.
  • Параметры запуска – параметры, с которыми была произведена попытка запуска файла.
  • MD5 – MD5-хеш файла, запуск которого был запрещен.
  • SHA256 – SHA256-хеш файла, запуск которого был запрещен.
  • Размер – размер файла, запуск которого был запрещен.
  • Время события – время срабатывания запрета запуска файла.
• Раздел Сведения:
  • Название программы – например, название операционной системы.
  • Производитель – например, производитель операционной системы.
  • Описание файла – например, Example File.
  • Исходное имя файла – например, ExampleFile.exe.
  • Получатель сертификата – организация, выпустившая цифровой сертификат файла.
  • Результат проверки подписи – например, "Подпись недействительна" или "Подпись ОК".
  • Время создания – время создания файла, запуск которого был запрещен.
  • Время изменения – дата последнего изменения файла, запуск которого был запрещен.
• Раздел Инициатор события:
  • Файл – имя файла родительского процесса.
  • MD5 – MD5-хеш файла родительского процесса.
  • SHA256 – SHA256-хеш файла родительского процесса.
  • ID процесса – идентификатор родительского процесса.
• Раздел Сведения о системе:
  • Имя хоста – имя хоста, на котором сработал запрет запуска файла.
  • IP хоста – IP-адрес хоста, на котором сработал запрет запуска файла.

    Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный хосту на момент создания события.

    Программа не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес хоста не отображается.

  • Имя пользователя – имя пользователя, под учетной записью которого был произведен запуск файла.
  • Версия ОС – версия операционной системы, используемой на хосте.

По ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Завершить процесс.
  • Завершить по уникальному PID.
  • Удалить файл.
  • Получить файл.
  • Собрать форензику.
  • Поместить файл на карантин.
• Скопировать значение в буфер.

По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Собрать данные → Файл, Форензика, Образ диска, Дамп памяти.
  • Завершить процесс.
  • Удалить файл.
  • Поместить файл на карантин.
  • Выполнить программу.
• Скопировать значение в буфер.

По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Найти на TIP.
• Найти в Хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Найти на TIP.
• Найти на virustotal.com.
• Найти в Хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

Информация о событии Заблокирован документ

В окне с информацией о событиях типа Заблокирован документ содержатся следующие сведения:

• Дерево событий.
• Рекомендации по обработке события.
• Раздел Заблокирован документ:
  • Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.

    По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.

    Поле отображается, если при создании события сработало правило TAA (IOA).

  • Файл – имя заблокированного документа.
  • MD5 – MD5-хеш заблокированного документа.
  • SHA256 – SHA256-хеш заблокированного документа.
  • Время события – время блокирования документа.
  • Файл процесса – имя файла процесса, который попытался открыть документ.
  • MD5 процесса – MD5-хеш процесса, который попытался открыть документ.
  • SHA256 процесса – SHA256-хеш процесса, который попытался открыть документ.
• Раздел Инициатор события:
  • Файл – имя файла родительского процесса.
  • MD5 – MD5-хеш файла родительского процесса.
  • SHA256 – SHA256-хеш файла родительского процесса.
  • ID процесса – идентификатор родительского процесса.
• Раздел Сведения о системе:
  • Имя хоста – имя хоста, на котором был заблокирован документ.
  • IP хоста – IP-адрес хоста, на котором был заблокирован документ.

    Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный хосту на момент создания события.

    Программа не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес хоста не отображается.

  • Имя пользователя – имя пользователя, попытавшегося открыть документ.
  • Версия ОС – версия операционной системы, используемой на хосте.

По ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Завершить процесс.
  • Завершить по уникальному PID.
  • Удалить файл.
  • Получить файл.
  • Собрать форензику.
  • Поместить файл на карантин.
• Скопировать значение в буфер.

По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Собрать данные → Файл, Форензика, Образ диска, Дамп памяти.
  • Завершить процесс.
  • Удалить файл.
  • Поместить файл на карантин.
  • Выполнить программу.
• Скопировать значение в буфер.

По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Найти на TIP.
• Найти в Хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Найти на TIP.
• Найти на virustotal.com.
• Найти в Хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

Информация о событии Изменен файл

В окне с информацией о событиях типа Изменен файл содержатся следующие сведения:

• Дерево событий.
• Рекомендации по обработке события.
• В зависимости от типа операции, которая была проведена с файлом, в информации о событии отображается одно из следующих названий раздела:
  • Создан файл.
  • Изменен файл.
  • Переименован файл.
  • Удален файл.
  • Изменены атрибуты файла.
  • Прочитан файл.

  В разделе отображается следующая информация:

  • Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.

    По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.

    Поле отображается, если при создании события сработало правило TAA (IOA).

  • Файл – имя созданного, удаленного или измененного файла.
  • MD5 – MD5-хеш созданного, удаленного или измененного файла.
  • SHA256 – SHA256-хеш созданного, удаленного или измененного файла.
  • Размер – размер созданного, удаленного или измененного файла.
  • Время события – время обнаружения события.
  • Время создания – время создания файла.
  • Время изменения – время последнего изменения файла.
  • Предыдущая версия – имя предыдущей версии файла.

    Поле Предыдущая версия отображается в информации о событии только для операции типа Переименован файл.

  • Удалить после перезагрузки – статус файла, предназначенного к удалению.

    Если файл, к которому была применена операция "удалить", открыт в какой-либо программе или задействован в других процессах, он будет удален по завершении этих процессов после перезагрузки хоста. В этом случае в поле Удалить после перезагрузки отображается Да.

    Если файл, к которому была применена операция "удалить", был удален сразу, в поле Удалить после перезагрузки отображается Нет.

    Поле Удалить после перезагрузки отображается в информации о событии только для операции типа Удален файл.

  Если событие было записано в базу событий программой Kaspersky Endpoint Agent для Linux, в разделе также отображаются следующие поля:

  • Тип файла – расширение созданного, удаленного или измененного файла.
  • Флаги открытия файла – значение флагов открытия созданного, удаленного или измененного файла.
  • Имя пользователя-владельца – имя пользователя, создавшего файл.
  • Имя группы-владельца – название группы, пользователи которой могут изменить или удалить файл.
  • Разрешенные привилегии файла – разрешения, которые могут использоваться для доступа к созданному, удаленному или измененному файлу.
  • Наследуемые привилегии файла – разрешения, которые есть у группы пользователей для выполнения операций с родительским каталогом созданного, удаленного или измененного файла.
  • Актуальные привилегии файла – разрешения, которые актуальны для созданного или измененного файла на данный момент.
• Раздел Инициатор события:
  • Файл – путь к файлу родительского процесса.
  • MD5 – MD5-хеш файла родительского процесса.
  • SHA256 – SHA256-хеш файла родительского процесса.

  Если событие было записано в базу событий программой Kaspersky Endpoint Agent для Linux, в разделе Инициатор события также отображаются следующие поля:

  • Переменные окружения – переменные окружения процесса.
  • Настоящее имя пользователя – имя пользователя, назначенное ему при регистрации в системе.
  • Настоящее имя группы – группа, к которой принадлежит пользователь.
  • Действующее имя пользователя – имя пользователя, которое было использовано для входа в систему.
  • Действующее имя группы – группа, к которой принадлежит пользователь, имя которого использовалось для входа в систему.
• Раздел Сведения о системе:
  • Имя хоста – имя хоста, на котором был создан файл.
  • IP хоста – IP-адрес хоста, на котором был создан файл.

    Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный хосту на момент создания события.

    Программа не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес хоста не отображается.

  • Имя пользователя – имя пользователя, создавшего файл.
  • Версия ОС – версия операционной системы, используемой на хосте.

  Если событие было записано в базу событий программой Kaspersky Endpoint Agent для Linux, в разделе Сведения о системе также отображается поле Вход с удаленного хоста – имя хоста, с которого был совершен удаленный вход в систему.

По ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Завершить процесс.
  • Завершить по уникальному PID.
  • Удалить файл.
  • Получить файл.
  • Собрать форензику.
  • Поместить файл на карантин.
• Скопировать значение в буфер.

В информации о событии, записанном в базу событий программой Kaspersky Endpoint Agent для Linux, по ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачу Получить файл.
• Скопировать значение в буфер.

По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Собрать данные → Файл, Форензика, Образ диска, Дамп памяти.
  • Завершить процесс.
  • Удалить файл.
  • Поместить файл на карантин.
  • Выполнить программу.
• Скопировать значение в буфер.

В информации о событии, записанном в базу событий программой Kaspersky Endpoint Agent для Linux, по ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Получить файл.
  • Выполнить программу.
• Скопировать значение в буфер.

По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Найти на TIP.
• Найти в Хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Найти на TIP.
• Найти на virustotal.com.
• Найти в Хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

Информация о событии Журнал событий ОС

В окне с информацией о событиях типа Журнал событий ОС содержатся следующие сведения:

• Дерево событий.
• Рекомендации по обработке события.
• Раздел Журнал событий ОС:
  • Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.

    По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.

    Поле отображается, если при создании события сработало правило TAA (IOA).

  • Время события – время обнаружения события.
  • ID события безопасности – идентификатор типа события безопасности в журнале Windows.

  Если событие было записано в базу событий программой Kaspersky Endpoint Agent для Linux, в разделе Журнал событий ОС также отображаются следующие поля:

  • Тип события – тип события.
  • Результат операции – например, Успешно или Сбой.
• Раздел Информация о событии, содержащий данные из системного журнала. Состав данных зависит от типа события Windows.

  Раздел Информация о событии не отображается в информации о событиях, записанных в базу событий программой Kaspersky Endpoint Agent для Linux.

• Раздел Инициатор события:
  • Файл – имя файла процесса.
  • ID процесса – идентификатор процесса.
  • Команда – команда, с помощью которой был запущен родительский процесс.
  • Переменные окружения – переменные окружения процесса.
  • Настоящее имя пользователя – имя пользователя, назначенное при регистрации в системе.
  • Настоящее имя группы – группа, к которой принадлежит пользователь.

  Раздел Инициатор события не отображается в информации о событиях, записанных в базу событий программой Kaspersky Endpoint Agent для Windows.

• Раздел Сведения о системе:
  • Имя хоста – имя хоста, на котором произошло событие.
  • IP хоста – IP-адрес хоста, на котором произошло событие.

    Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный хосту на момент создания события.

    Программа не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес хоста не отображается.

  • Имя пользователя – имя пользователя, который запустил процесс, инициировавший запись в системный журнал.
  • Версия ОС – версия операционной системы, используемой на хосте.

    В информации о событии, записанном в базу событий программой Kaspersky Endpoint Agent для Linux, также отображается поле Вход с удаленного хоста – имя компьютера, с которого был совершен удаленный вход в систему.

В информации о событии, записанном в базу событий программой Kaspersky Endpoint Agent для Linux, по ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачу Получить файл.
• Скопировать значение в буфер.

По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Собрать данные → Файл, Форензика, Образ диска, Дамп памяти.
  • Завершить процесс.
  • Удалить файл.
  • Поместить файл на карантин.
  • Выполнить программу.
• Скопировать значение в буфер.

В информации о событии, записанном в базу событий программой Kaspersky Endpoint Agent для Linux, по ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Получить файл.
  • Выполнить программу.
• Скопировать значение в буфер.

Информация о событии Изменение в реестре

В окне с информацией о событиях типа Изменение в реестре содержатся следующие сведения:

• Дерево событий.
• Рекомендации по обработке события.
• Раздел Изменение в реестре:
  • Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.

    По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.

    Поле отображается, если при создании события сработало правило TAA (IOA).

  • Путь к ключу – путь к разделу реестра, в котором произошло изменение.
  • Имя параметра – например, RegistrySizeLimit.
  • Значение параметра – значение параметра реестра.
  • Тип параметра – например, REG_DWORD.
  • Время события – время внесения изменения в реестр.

    При изменении имени или параметра ключа реестра могут отображаться дополнительные поля с информацией о состоянии ключа реестра до его изменения:

    • поле Предыдущий путь к ключу отображается при изменении имени ключа реестра;
    • поле Предыдущее значение параметра отображается при изменении значения параметра реестра;
    • поле Предыдущий тип параметра отображается при изменении типа параметра реестра.

      Kaspersky Anti Targeted Attack Platform получает данные, необходимые для заполнения полей Предыдущий путь к ключу, Предыдущее значение параметра, Предыдущий тип параметра, только при интеграции Kaspersky Anti Targeted Attack Platform с программой Kaspersky Endpoint Agent для Windows версии 3.10 и выше. При интеграции программы с предыдущими версиями Kaspersky Endpoint Agent указанные поля не будут отображаться в информации о событии.

• Раздел Инициатор события:
  • Файл – путь к файлу родительского процесса.

    По ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:

    • Найти события.
    • Найти обнаружения.
    • Скопировать значение в буфер.

    Выполнить задачи:

    • Завершить процесс.
    • Завершить по уникальному PID.
    • Удалить файл.
    • Получить файл.
    • Собрать форензику.
    • Поместить файл на карантин.
  • MD5 – MD5-хеш файла родительского процесса.

    По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:

    • Найти события.
    • Найти обнаружения.
    • Найти на TIP.
    • Найти в Хранилище.
    • Создать правило запрета.

    Скопировать значение в буфер.

  • SHA256 – SHA256-хеш файла родительского процесса.

    По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:

    • Найти события.
    • Найти обнаружения.
    • Найти на TIP.
    • Найти в Хранилище.
    • Создать правило запрета.
    • Скопировать значение в буфер.
• Раздел Сведения о системе:
  • Имя хоста – имя хоста, на котором было произведено изменение в реестре.

    По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

    • Найти события.
    • Найти обнаружения.
    • Скопировать значение в буфер.

    Выполнить задачи:

    • Собрать данные → Файл, Форензика, Образ диска, Дамп памяти.
    • Завершить процесс.
    • Удалить файл.
    • Поместить файл на карантин.
    • Выполнить программу.
  • IP хоста – IP-адрес хоста, на котором было произведено изменение в реестре.

    Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный хосту на момент создания события.

    Программа не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес хоста не отображается.

  • Имя пользователя – имя пользователя, совершившего изменение в реестре.
  • Версия ОС – версия операционной системы, используемой на хосте.

Вы можете получать информацию о модификации выбранного ключа реестра, отредактировав или заменив конфигурационный файл Kaspersky Anti Targeted Attack Platform. Для редактирования и замены конфигурационного файла программы требуется обратиться в Службу технической поддержки.

Настоятельно не рекомендуется выполнять какие-либо операции с конфигурационным файлом Kaspersky Anti Targeted Attack Platform в режиме Technical Support Mode без консультации или указания сотрудников Службы технической поддержки.

Информация о событии Прослушан порт

В окне с информацией о событиях типа Прослушан порт содержатся следующие сведения:

• Дерево событий.
• Рекомендации по обработке события.
• Раздел Прослушан порт:
  • Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.

    По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.

    Поле отображается, если при создании события сработало правило TAA (IOA).

  • Локальный порт – порт, который был прослушан.
  • Локальный IP-адрес – IP-адрес сетевого интерфейса, порт которого был прослушан.
  • Время события – время прослушивания порта.
• Раздел Инициатор события:
  • Файл – путь к файлу родительского процесса.
  • MD5 – MD5-хеш файла родительского процесса.
  • SHA256 – SHA256-хеш файла родительского процесса.
• Раздел Сведения о системе:
  • Имя хоста – имя хоста, порт которого был прослушан.
  • IP хоста – IP-адрес хоста, порт которого был прослушан.

    Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный хосту на момент создания события.

    Программа не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес хоста не отображается.

  • Имя пользователя – имя пользователя, от имени которого было совершено прослушивание порта.
  • Версия ОС – версия операционной системы, используемой на хосте.

По ссылке с путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Завершить процесс.
  • Завершить по уникальному PID.
  • Удалить файл.
  • Получить файл.
  • Собрать форензику.
  • Поместить файл на карантин.
• Скопировать значение в буфер.

По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Собрать данные → Файл, Форензика, Образ диска, Дамп памяти.
  • Завершить процесс.
  • Удалить файл.
  • Поместить файл на карантин.
  • Выполнить программу.
• Скопировать значение в буфер.

По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Найти на TIP.
• Найти в Хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Найти на TIP.
• Найти на virustotal.com.
• Найти в Хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

Информация о событии Загружен драйвер

В окне с информацией о событиях типа Загружен драйвер содержатся следующие сведения:

• Дерево событий.
• Рекомендации по обработке события.
• Раздел Загружен драйвер:
  • Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.

    По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.

    Поле отображается, если при создании события сработало правило TAA (IOA).

  • Файл – имя файла загруженного драйвера.
  • MD5 – MD5-хеш файла загруженного драйвера.
  • SHA256 – SHA256-хеш файла загруженного драйвера.
  • Размер – размер загруженного драйвера.
  • Время события – время загрузки драйвера.
• Раздел Сведения:
  • Название программы – например, название операционной системы.
  • Производитель – например, производитель операционной системы.
  • Описание файла – например, Example File.
  • Исходное имя файла – например, ExampleFile.exe.
  • Получатель сертификата – организация, выпустившая цифровой сертификат файла.
  • Результат проверки подписи – например, "Подпись недействительна" или "Подпись ОК".
  • Время создания – время создания загруженного драйвера.
  • Время изменения – время последнего изменения загруженного драйвера.
• Раздел Сведения о системе:
  • Имя хоста – имя хоста, на который был загружен драйвер.
  • IP хоста – IP-адрес хоста, на который был загружен драйвер.

    Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный хосту на момент создания события.

    Программа не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес хоста не отображается.

  • Имя пользователя – имя пользователя, загрузившего драйвер.
  • Версия ОС – версия операционной системы, используемой на хосте.

По ссылке с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Завершить процесс.
  • Завершить по уникальному PID.
  • Удалить файл.
  • Получить файл.
  • Собрать форензику.
  • Поместить файл на карантин.
• Скопировать значение в буфер.

По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Собрать данные → Файл, Форензика, Образ диска, Дамп памяти.
  • Завершить процесс.
  • Удалить файл.
  • Поместить файл на карантин.
  • Выполнить программу.
• Скопировать значение в буфер.

По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Найти на TIP.
• Найти в Хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Найти на TIP.
• Найти на virustotal.com.
• Найти в Хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

Информация о событии Обнаружение

В окне с информацией о событии типа Обнаружение содержатся следующие сведения:

• Дерево событий.
• Рекомендации по обработке события.
• На закладке Сведения в разделе Обнаружение:
  • Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.

    По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.

    Поле отображается, если при создании события сработало правило TAA (IOA).

  • Обнаружено – имя обнаруженного объекта.

    По ссылке с именем объекта раскрывается список, в котором вы можете выбрать одно из следующих действий:

    • Найти события.
    • Просмотреть на Kaspersky Threats.
    • Скопировать значение в буфер.
  • Последнее действие – последнее действие над обнаруженным объектом.
  • Имя объекта – полное имя файла, в котором обнаружен объект.
  • MD5 – MD5-хеш файла, в котором обнаружен объект.
  • SHA256 – SHA256-хеш файла, в котором обнаружен объект.
  • Тип объекта – тип объекта (например, файл).
  • Режим обнаружения – режим проверки, в котором выполнено обнаружение.
  • Время события – дата и время события.
  • ID записи – идентификатор записи об обнаружении в базе.
  • Версия баз – версия баз, с помощью которых выполнено обнаружение.
  • Содержание – содержание скрипта, переданного на проверку.

    Вы можете скачать эти данные, нажав на кнопку Сохранить в файл.

• На закладке Сведения в разделе Инициатор события:
  • Файл – путь к файлу родительского процесса.

    По ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:

    • Найти события.
    • Найти обнаружения.
    • Скопировать значение в буфер.

    Выполнить задачи:

    • Завершить процесс.
    • Завершить по уникальному PID.
    • Удалить файл.
    • Получить файл.
    • Собрать форензику.
    • Поместить файл на карантин.
  • ID процесса – идентификатор родительского процесса.
  • Параметры запуска – параметры запуска родительского процесса.
  • MD5 – MD5-хеш файла родительского процесса.
  • SHA256 – SHA256-хеш файла родительского процесса.
• На закладке Сведения в разделе Сведения о системе:
  • Имя хоста – имя хоста, на котором выполнено обнаружение.

    По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

    • Найти события.
    • Найти обнаружения.
    • Скопировать значение в буфер.

    Выполнить задачи:

    • Собрать данные → Файл, Форензика, Образ диска, Дамп памяти.
    • Завершить процесс.
    • Удалить файл.
    • Поместить файл на карантин.
    • Выполнить программу.
  • IP хоста – IP-адрес хоста, на котором выполнено обнаружение.

    Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный хосту на момент создания события.

    Программа не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес хоста не отображается.

  • Имя пользователя – учетная запись пользователя, от имени которой было совершено действие над обнаруженным объектом.
  • Версия ОС – версия операционной системы, используемой на хосте.
• На закладке История в таблице:
  • Тип – тип события: Обнаружение или Результат обработки обнаружения.
  • Описание – описание события.
  • Время – дата и время обнаружения и результата обработки обнаружения.

По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Найти на TIP.
• Найти в Хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Найти на TIP.
• Найти на virustotal.com.
• Найти в Хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

Информация о событии Результат обработки обнаружения

В окне с информацией о событии типа Результат обработки обнаружения содержатся следующие сведения:

• Дерево событий.
• Рекомендации по обработке события.
• На закладке Сведения в блоке параметров Результат обработки обнаружения:
  • Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.

    По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.

    Поле отображается, если при создании события сработало правило TAA (IOA).

  • Обнаружено – имя обнаруженного объекта.

    По ссылке с именем объекта раскрывается список, в котором вы можете выбрать одно из следующих действий:

    • Найти события.
    • Просмотреть на Kaspersky Threats.
    • Скопировать значение в буфер.
  • Последнее действие – последнее действие над обнаруженным объектом.
  • MD5 – MD5-хеш файла, в котором обнаружен объект.
  • SHA256 – SHA256-хеш файла, в котором обнаружен объект.
  • Тип объекта – тип объекта (например, файл).
  • Имя объекта – полное имя файла, в котором обнаружен объект.
  • Режим обнаружения – режим проверки, в котором выполнено обнаружение.
  • Время события – дата и время события.
  • ID записи – идентификатор записи об обнаружении в базе.
  • Версия баз – версия баз, с помощью которых выполнено обнаружение.
• На закладке Сведения в блоке параметров Инициатор события:
  • Файл – путь к файлу родительского процесса.
  • ID процесса – идентификатор родительского процесса.
  • Параметры запуска – параметры запуска родительского процесса.
  • MD5 – MD5-хеш файла родительского процесса.
  • SHA256 – SHA256-хеш файла родительского процесса.
• На закладке Сведения в блоке параметров Сведения о системе:
  • Имя хоста – имя хоста, на котором выполнено обнаружение.
  • IP хоста – IP-адрес хоста, на котором выполнено обнаружение.

    Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный хосту на момент создания события.

    Программа не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес хоста не отображается.

  • Имя пользователя – учетная запись пользователя, от имени которой было совершено действие над обнаруженным объектом.
  • Версия ОС – версия операционной системы, используемой на хосте.
• На закладке История в таблице:
  • Тип – тип события Результат обработки обнаружения.
  • Описание – описание события.
  • Время – дата и время результата обработки обнаружения.

По ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Завершить процесс.
  • Завершить по уникальному PID.
  • Удалить файл.
  • Получить файл.
  • Собрать форензику.
  • Поместить файл на карантин.
• Скопировать значение в буфер.

По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Собрать данные → Файл, Форензика, Образ диска, Дамп памяти.
  • Завершить процесс.
  • Удалить файл.
  • Поместить файл на карантин.
  • Выполнить программу.
• Скопировать значение в буфер.

По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Найти на TIP.
• Найти в Хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Найти на TIP.
• Найти на virustotal.com.
• Найти в Хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

Информация о событии Интерпретированный запуск файла

В окне с информацией о событиях типа Интерпретированный запуск файла содержатся следующие сведения:

• Дерево событий.
• Рекомендации по обработке события.
• Раздел Интерпретированный запуск файла:
  • Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.

    По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.

    Поле отображается, если при создании события сработало правило TAA (IOA).

  • Файл – имя файла.
  • MD5 – MD5-хеш файла.
  • SHA256 – SHA256-хеш файла.
  • Размер – размер файла.
  • Время создания – время создания файла.
  • Время изменения – время последнего изменения файла.
• Раздел Инициатор события:
  • Файл – путь к файлу родительского процесса.
  • MD5 – MD5-хеш файла родительского процесса.
  • SHA256 – SHA256-хеш файла родительского процесса.
  • ID процесса – идентификатор родительского процесса.
• Раздел Сведения о системе:
  • Имя хоста – имя хоста, на котором был запущен файл.
  • IP хоста – IP-адрес хоста, на котором был запущен файл.

    Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный хосту на момент создания события.

    Программа не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес хоста не отображается.

  • Имя пользователя – имя пользователя, под учетной записью которого был запущен файл.
  • Версия ОС – версия операционной системы, используемой на хосте.

По ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Завершить процесс.
  • Завершить по уникальному PID.
  • Удалить файл.
  • Получить файл.
  • Собрать форензику.
  • Поместить файл на карантин.
• Скопировать значение в буфер.

По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Выполнить задачи:
  • Собрать данные → Файл, Форензика, Образ диска, Дамп памяти.
  • Завершить процесс.
  • Удалить файл.
  • Поместить файл на карантин.
  • Выполнить программу.
• Скопировать значение в буфер.

По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Найти на TIP.
• Найти в Хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти обнаружения.
• Найти на TIP.
• Найти на virustotal.com.
• Найти в Хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

Информация о событии AMSI-проверка

В окне с информацией о событии типа AMSI-проверка содержатся следующие сведения:

• Дерево событий.
• Рекомендации по обработке события.
• В разделе AMSI-проверка:
  • Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.

    По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.

    Поле отображается, если при создании события сработало правило TAA (IOA).

  • Время события – дата и время события.
  • Тип содержимого – тип скрипта.

    В программе предусмотрено два типа скриптов:

    • Если скрипт представлен в виде текста, в поле Тип содержимого отображается тип скрипта Текст.
    • Если скрипт представлен в другой форме, в поле Тип содержимого отображается тип скрипта Двоичный код.
  • Содержание – содержание скрипта, переданного на проверку.

    Вы можете скопировать эти данные, нажав на кнопку Скопировать в буфер, если данные представлены в виде текста, или скачать файл с данными, нажав на кнопку Сохранить в файл, если данные представлены в другой форме.

    Поле Содержание отображается в информации о событии, если программа регистрирует признаки целевых атак.

• В разделе Инициатор события:
  • Файл – путь к файлу родительского процесса.

    По ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:

    • Найти события.
    • Найти обнаружения.
    • Скопировать значение в буфер.

    Выполнить задачи:

    • Завершить процесс.
    • Завершить по уникальному PID.
    • Удалить файл.
    • Получить файл.
    • Собрать форензику.
    • Поместить файл на карантин.
  • MD5 – MD5-хеш файла родительского процесса.

    По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:

    • Найти события.
    • Найти обнаружения.
    • Найти на TIP.
    • Найти в Хранилище.
    • Создать правило запрета.
    • Скопировать значение в буфер.
  • SHA256 – SHA256-хеш файла родительского процесса.

    По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:

    • Найти события.
    • Найти обнаружения.
    • Найти на TIP.
    • Найти в Хранилище.
    • Создать правило запрета.
    • Скопировать значение в буфер.
• В разделе Сведения о системе:
  • Имя хоста – имя хоста, на котором выполнено обнаружение.

    По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

    • Найти события.
    • Найти обнаружения.
    • Скопировать значение в буфер.

    Выполнить задачи:

    • Собрать данные → Файл, Форензика, Образ диска, Дамп памяти.
    • Завершить процесс.
    • Удалить файл.
    • Поместить файл на карантин.
    • Выполнить программу.
  • IP хоста – IP-адрес хоста, на котором выполнено обнаружение.

    Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный хосту на момент создания события.

    Программа не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес хоста не отображается.

  • Имя пользователя – учетная запись пользователя, от имени которой было совершено изменение в реестре.
  • Версия ОС – версия операционной системы, используемой на хосте.

Информация о событии Интерактивный ввод команд в консоли

В окне с информацией о событиях типа Интерактивный ввод команд в консоли содержатся следующие сведения:

• Дерево событий.
• Рекомендации по обработке события.
• Раздел Интерактивный ввод команд в консоли:
  • Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.

    По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.

    Поле отображается, если при создании события сработало правило TAA (IOA).

  • Тип ввода – тип ввода команд, которые были переданы консольному приложению.

    В программе предусмотрено два типа ввода команд:

    • Если команды в консольном приложении были введены пользователем, в поле Тип ввода отображается тип ввода команд Консоль.
    • Если команды были переданы в консольное приложение из другого приложения через коммуникационный шлюз (пайп), в поле Тип ввода отображается тип ввода команд Канал.

    Kaspersky Anti Targeted Attack Platform получает данные, необходимые для заполнения поля Команда, только при интеграции Kaspersky Anti Targeted Attack Platform с программой Kaspersky Endpoint Agent для Windows версии 3.10. При интеграции программы с предыдущими версиями программы Kaspersky Endpoint Agent указанное поле не будет отображаться в информации о событии.

    • Текст команды – текст, введенный в командную строку (например, CMD) на хосте с программой Kaspersky Endpoint Agent.

    Вы можете скопировать этот текст, нажав на кнопку Скопировать в буфер, расположенную в поле Текст команды.

  • Время события – время обнаружения события.
• Раздел Инициатор события:
  • Файл – путь к файлу родительского процесса.

    По ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:

    • Найти события.
    • Найти обнаружения.
    • Скопировать значение в буфер.

    Выполнить задачи:

    • Завершить процесс.
    • Завершить по уникальному PID.
    • Удалить файл.
    • Получить файл.
    • Собрать форензику.
    • Поместить файл на карантин.
  • MD5 – MD5-хеш файла родительского процесса.

    По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:

    • Найти события.
    • Найти обнаружения.
    • Найти на TIP.
    • Найти в Хранилище.
    • Создать правило запрета.
    • Скопировать значение в буфер.
  • SHA256 – SHA256-хеш файла родительского процесса.

    По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:

    • Найти события.
    • Найти обнаружения.
    • Найти на TIP.
    • Найти в Хранилище.
    • Создать правило запрета.
    • Скопировать значение в буфер.

• Раздел Сведения о системе:
  • Имя хоста – имя хоста, на котором была введена команда.

    По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

    • Найти события.
    • Найти обнаружения.
    • Скопировать значение в буфер.

    Выполнить задачи:

    • Собрать данные → Файл, Форензика, Образ диска, Дамп памяти.
    • Завершить процесс.
    • Удалить файл.
    • Поместить файл на карантин.
    • Выполнить программу.
  • IP хоста – IP-адрес хоста, на котором была введена команда.

    Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный хосту на момент создания события.

    Программа не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес хоста не отображается.

  • Имя пользователя – учетная запись пользователя, от имени которой была введена команда.
  • Версия ОС – версия операционной системы, используемой на хосте.