Kaspersky Anti Targeted Attack Platform
6.0
Русский

Содержание

Результаты IOC-проверки

В зависимости от типа обработанного объекта, в окне результатов поиска индикаторов компрометации могут отображаться следующие данные:

  • ARP-протокол:
    • IP-адрес из ARP-таблицы.
    • Физический адрес из ARP-таблицы.
  • DNS-запись:
    • Тип и имя записи DNS.
    • IP-адрес защищаемого компьютера.
  • Событие в журнале Windows:
    • Идентификатор записи в журнале событий.
    • Имя источника данных в журнале.
    • Имя журнала.
    • Учетная запись пользователя.
    • Время события.
  • Файл:
    • MD5-хеш файла.
    • SHA256-хеш файла.
    • Полное имя файла (включая путь).
    • Размер файла.
  • Порт:
    • Удаленный IP-адрес, с которым было установлено соединение в момент проверки.
    • Удаленный порт, с которым было установлено соединение в момент проверки.
    • IP-адрес локального адаптера.
    • Порт, открытый на локальном адаптере.
    • Протокол в виде числа (в соответствии со стандартом IANA).
  • Процесс:
    • Имя процесса.
    • Аргументы процесса.
    • Путь к файлу процесса.
    • Windows идентификатор (PID) процесса.
    • Windows идентификатор (PID) родительского процесса.
    • Имя учетной записи пользователя, запустившего процесс.
    • Дата и время запуска процесса.
  • Служба:
    • Имя службы.
    • Описание службы.
    • Путь и имя DLL-службы (для svchost).
    • Путь и имя исполняемого файла службы.
    • Windows идентификатор (PID) службы.
    • Тип службы (например, драйвер ядра или адаптер).
    • Статус службы.
    • Режим запуска службы.
  • Пользователь:
    • Имя учетной записи пользователя.
  • Том:
    • Наименование тома.
    • Буква тома.
    • Тип тома.
  • Реестр:
    • Значение реестра Windows.
    • Значение куста реестра.
    • Путь к ключу реестра (без куста и без имени значения).
    • Параметр реестра.
  • Переменные окружения:
    • Физический адрес (MAC) защищаемого компьютера.
    • Система (окружение).
    • Имя ОС с версией.
    • Сетевое имя защищаемого устройства.
    • Домен или группа, к которой принадлежит защищаемый компьютер.

В разделе IOC отображается структура IOC-файла. При совпадении обработанного объекта с одним из условий IOC-правила, это условие подсвечивается. Если обработанный объект совпадает с несколькими условиями, выделяется текст всей ветки.

См. также

Просмотр информации об обнаружении

Общая информация об обнаружении любого типа

Информация в блоке Информация об объекте

Информация в блоке Информация об обнаружении

Информация в блоке Результаты проверки

Информация в блоке Правило IDS

Информация в блоке Сетевое событие

Результаты проверки в Sandbox

Информация в блоке Хосты

Информация в блоке Журнал изменений

Отправка данных об обнаружении
В начало
[Topic 247628]