Поиск событий в режиме конструктора

Чтобы задать условия поиска событий в режиме конструктора:

1. В окне веб-интерфейса приложения выберите раздел Поиск угроз, закладку Конструктор.

   Откроется форма поиска событий.

2. В раскрывающемся списке выберите критерий для поиска событий.

   Вы можете посмотреть описание критериев для поиска событий в разделе Критерии для поиска событий.

3. В раскрывающемся списке выберите оператор.

   Вы можете посмотреть список доступных операторов в разделе Операторы.

   Для каждого типа значения поля будет доступен свой релевантный набор операторов. Например, при выборе типа значения поля EventType будут доступны операторы = и !=.

4. В зависимости от выбранного типа значения поля выполните одно из следующих действий:
   • Укажите в поле один или несколько символов, по которым вы хотите выполнить поиск событий.
   • В раскрывающемся списке выберите вариант значения поля, по которому вы хотите выполнить поиск событий.

   Например, для поиска полного совпадения по имени пользователя введите имя пользователя.

5. Если вы хотите добавить новое условие, используйте логический оператор AND или OR и повторите действия по добавлению условия.
6. Если вы хотите добавить группу условий, нажмите на кнопку Group и повторите действия по добавлению условий.
7. Если вы хотите удалить группу условий, нажмите на кнопку Remove group.
8. Если вы хотите выполнить поиск событий за определенный период, в раскрывающемся списке За все время выберите один из следующих периодов поиска событий:
   • За все время, если вы хотите, чтобы приложение отображало в таблице события, найденные за все время.
   • Прошедший час, если вы хотите, чтобы приложение отображало в таблице события, найденные за предыдущий час.
   • Прошедшие сутки, если вы хотите, чтобы приложение отображало в таблице события, найденные за предыдущий день.
   • Пользовательский диапазон, если вы хотите, чтобы приложение отображало в таблице события, найденные за указанный вами период.
9. Если вы выбрали Пользовательский диапазон, выполните следующие действия:
   1. В открывшемся календаре укажите даты начала и конца периода отображения событий.
   2. Нажмите на кнопку Применить.

   Календарь закроется.

10. Нажмите на кнопку Найти.

    Отобразится таблица событий, соответствующих условиям поиска.

    Если вы используете

    режим распределенного решения

    

    Двухуровневая иерархия серверов с установленными компонентами Central Node, в которой выделяется главный сервер управления – Primary Central Node (PCN) и подчиненные серверы – Secondary Central Node (SCN).

    и
    мультитенантности

    

    Режим работы, при котором Kaspersky Anti Targeted Attack Platform используется для защиты инфраструктуры нескольких организаций или филиалов одной организации одновременно.

    , отобразятся уровни группировки найденных событий: Сервер – Названия тенантов – Имена серверов.

11. Нажмите на имя того сервера, события которого вы хотите просмотреть.

Отобразится таблица хостов выбранного сервера. Уровни группировки событий отобразятся над таблицей.

Критерии для поиска событий

Для поиска событий доступны следующие критерии:

• Общие сведения:
  • Host – имя хоста.
  • HostIP – IP-адрес хоста.
  • EventType – тип события.
  • UserName – имя пользователя.
  • OsFamily – семейство операционной системы.
  • OsVersion – версия операционной системы, используемой на хосте.
• Свойства TAA:
  • IOAId – идентификатор правила TAA (IOA).
  • IOATag – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.
  • IOATechnique – техника MITRE.
  • IOATactics – тактика MITRE.
  • IOAImportance – степень важности, присвоенная событию, выполненному по этому правилу TAA (IOA).
  • IOAConfidence – уровень надежности в зависимости от вероятности ложных срабатываний правила.
• Свойства файла:
  • CreationTime – время создания события.
  • FileName – имя файла.
  • FilePath – путь к директории, в которой располагается файл.
  • FileFullName – полный путь к файлу. Включает путь к директории и имя файла.
  • ModificationTime – время изменения файла.
  • FileSize – размер файла.
  • MD5 – MD5-хеш файла.
  • SHA256 – SHA256-хеш файла.
  • SimilarDLLPath – вредоносная DLL, помещенная в директорию по стандартному пути обхода, чтобы система загрузила ее раньше, чем исходную DLL.
• Процессы Linux:
  • LogonRemoteHost – IP-адрес хоста, с которого был выполнен удаленный вход.
  • RealUserName – имя пользователя, назначенное ему при регистрации в системе.
  • EffectiveUserName – имя пользователя, которое было использовано для входа в систему.
  • Environment – переменные окружения.
  • ProcessType – тип процесса.
  • OperationResult – результат операции.
  • FileOwnerUserName – имя владельца файла.
  • RealGroupName – имя группы пользователя.
  • EffectiveGroupName - имя группы пользователя, которое используется для работы.
• Запущен процесс:
  • PID – идентификатор процесса.
  • ParentFileFullName – путь к файлу родительского процесса.
  • ParentMD5 – MD5-хеш файла родительского процесса.
  • ParentSHA256 – SHA256-хеш файла родительского процесса.
  • StartupParameters – параметры запуска процесса.
  • ParentPID – идентификатор родительского процесса.
  • ParentStartupParameters – параметры запуска родительского процесса.
• Удаленное соединение:
  • HTTPMethod – метод HTTP-запроса. Например, Get, Post или Connect.
  • ConnectionDirection – направление соединения (входящее или исходящее).
  • LocalIP – IP-адрес локального компьютера, с которого была произведена попытка удаленного соединения.
  • LocalPort – порт локального компьютера, с которого была произведена попытка удаленного соединения.
  • RemoteHostName – имя компьютера, на который была произведена попытка удаленного соединения.
  • RemoteIP – IP-адрес компьютера, на который была произведена попытка удаленного соединения.
  • RemotePort – порт компьютера, на который была произведена попытка удаленного соединения.
  • URl – адрес ресурса, к которому произведен запрос HTTP.
• Изменение в реестре:
  • RegistryKey – путь к ключу реестра.
  • RegistryValueName – имя параметра реестра.
  • RegistryValue – значение параметра реестра.
  • RegistryOperationType – тип операции с реестром.
  • RegistryPreviousKey – предыдущий путь к ключу реестра.
  • RegistryPreviousValue – предыдущее имя параметра реестра.
• Журнал событий ОС:
  • WinLogEventID – идентификатор типа события безопасности в журнале Windows.
  • LinuxEventType – тип события. Данный критерий используется для операционных систем Linux и macOS.
  • WinLogName – имя журнала.
  • WinLogEventRecordID – идентификатор записи в журнале.
  • WinLogProviderName – идентификатор системы, записавшей событие в журнал.
  • WinLogTargetDomainName – доменное имя удаленного компьютера.
  • WinLogObjectName – имя объекта, инициировавшего событие.
  • WinlogPackageName – имя пакета, инициировавшего событие.
  • WinLogProcessName – имя процесса, инициировавшего событие.
• Обнаружение и результат обработки:
  • DetectName – имя обнаруженного объекта.
  • RecordID – идентификатор сработавшего правила.
  • ProcessingMode – режим проверки.
  • ObjectName – имя объекта.
  • ObjectType – тип объекта.
  • ThreatStatus – режим обнаружения.
  • UntreatedReason – статус обработки события.
  • ObjectContent (for AMSI events too) – содержание скрипта, переданного на проверку.
  • ObjectContentType (for AMSI events too) – тип содержимого скрипта.
• Интерактивный ввод команд в консоли:
  • InteractiveInputText – текст, введенный в командную строку.
  • InteractiveInputType – тип ввода (консоль или канал).
• Изменен файл:
  • FileOperationType – тип операции с файлом.
  • FilePreviousPath – путь к директории, в которой файл располагался ранее.
  • FilePreviousName - предыдущее имя файла.
  • FilePreviousFullName – полное имя файла, включающее предыдущий путь к директории, в которой файл располагался ранее, и / или предыдущее имя файла.
  • DroppedFileType – тип измененного файла.

Операторы

Доступны следующие операторы:

• =.
• !=.
• CONTAINS.
• !CONTAINS.
• STARTS.
• !STARTS.
• ENDS.
• !ENDS.
• >.
• <.