Просмотр информации об обнаружении

Развернуть все | Свернуть все

Информация об обнаружении – это страница интерфейса, содержащая все сведения, связанные с обнаружением, включая свойства обнаружения.

Чтобы просмотреть информацию об обнаружении, выполните следующие действия:

1. В главном меню выберите МОНИТОРИНГ И ОТЧЕТЫ → Обнаружения.
2. Если в Kaspersky Security Center Cloud Console интегрированы как Kaspersky EDR Optimum, так и Kaspersky EDR Expert, раздел Обнаружения имеет две закладки. Перейдите на закладку Expert. В противном случае, пропустите этот шаг.
3. В таблице обнаружений нажмите на идентификатор требуемого обнаружения.

Отобразятся детали обнаружения.

Панель инструментов в верхней части раздела информации об обнаружении позволяет выполнять следующие действия:

• Назначить обнаружение аналитику
• Изменить статус обнаружения
• Связать обнаружение с инцидентом
• Отменить связь обнаружения с инцидентом

В информации об обнаружении содержатся следующие разделы:

• Общая информация

  Раздел общей информации содержит следующие свойства обнаружения:

  • Уровень важности. Возможные значения: Низкий, Средний, Высокий. Уровень важности обнаружения показывает, какое влияние это обнаружение может оказать на безопасность компьютеров и корпоративной локальной сети на основе опыта "Лаборатории Касперского".
  • Правила. Правила IOC или правила IOA, сработавшие для данного обнаружения.
  • Время регистрации. Дата и время добавления обнаружения в таблицу обнаружений.
  • Первое событие. Дата и время возникновения первого события, связанного с обнаружением.
  • Последнее событие. Дата и время возникновения последнего события, связанного с обнаружением.
  • Технология. Технология, с помощью которой выполнено обнаружение.
  • Источник обнаружения. Программа, получившая данные телеметрии.
  • Тактика MITRE. Одна или несколько тактик, выявленных в обнаружении. Тактики определены в базе знаний MITRE ATT&CK.
  • Техника MITRE. Одна или несколько техник, выявленных в обнаружении. Техники определены в базе знаний MITRE ATT&CK.
  • Имя и идентификатор устройства. Имена и идентификаторы устройств, затронутых при обнаружении. По нажатию на значок с многоточием рядом с именем или идентификатором устройства можно открыть контекстное меню устройства. Это меню используется для получения дополнительных сведений об устройстве, например, для просмотра свойств устройства или поиска по имени или идентификатору устройства в разделе Поиск угроз за последние 24 часа.
  • Имя и идентификатор безопасности пользователя. Имена и идентификаторы безопасности пользователей, устройства или учетные записи которых были затронуты при обнаружении. По нажатию на значок с многоточием рядом с именем или идентификатором безопасности пользователя можно открыть контекстное меню пользователя. Это меню используется для получения дополнительных сведений об учетной записи пользователя, например, для поиска по имени или идентификатору безопасности пользователя в разделе Поиск угроз за последние 24 часа.
• Подробная информация

  Содержимое этого раздела зависит от типа обнаружения.

  Информация об обнаружении IOA

  Раздел Сведения информации об обнаружении IOA можно использовать для отслеживания событий телеметрии, связанных с обнаружением.

  Доступные действия:

  • Экспортировать в файл. Нажмите на эту кнопку, чтобы сохранить таблицу в CSV-файл.
  • Запрос Поиск угроз. Нажмите на эту кнопку, чтобы открыть раздел Поиск угроз. В этом разделе вы можете определить условия поиска, например, найти все события, в которых было затронуто устройство.
  • Найти события в диапазоне +/- 10 минут. Нажмите на эту кнопку, чтобы просмотреть события в ИТ-инфраструктуре, произошедшие в интервале, который начинается за 10 минут до первого события в разделе Сведения информации об обнаружении и завершается через 10 минут после последнего события.
  • Найти события за последние 24 часа. Нажмите на эту кнопку, чтобы просмотреть события в ИТ-инфраструктуре за 24 часа, предшествующих первому событию в разделе Сведения информации об обнаружении.

  Информация об обнаружении IOC

  В информации об обнаружении IOC в разделе Сведения отображаются объекты, обнаруженные в результате выполнения задачи Поиск IOC.

• Активы

  В разделе Активы можно просмотреть активы и пользователей, затронутых при обнаружении или участвующих в нем.

  Щелкнув по имени пользователя или устройства, можно выполнить следующие действия:

  • Выполнить поиск по имени пользователя или идентификатору устройства в разделе Поиск угроз за последние 24 часа.
  • Выполнить поиск по имени пользователя или идентификатору устройства среди других обнаружений.
  • Выполнить поиск по имени пользователя или идентификатору устройства среди других инцидентов.
  • Скопировать имя пользователя или устройства в буфер обмена.

  Вы также можете щелкнуть по имени устройства, чтобы перейти к свойствам устройства.

  Щелкнув по идентификатору безопасности пользователя или идентификатору устройства, можно выполнить следующие действия:

  • Выполнить поиск по идентификатору безопасности пользователя или идентификатору устройства в разделе Поиск угроз за последние 24 часа.
  • Выполнить поиск по идентификатору безопасности пользователя или идентификатору устройства среди других обнаружений.
  • Выполнить поиск по идентификатору безопасности пользователя или идентификатору устройства среди других инцидентов.
  • Скопировать идентификатор безопасности пользователя или идентификатор устройства в буфер обмена.

  Вы также можете щелкнуть по идентификатору устройства, чтобы перейти к свойствам устройства.

• Наблюдаемые значения

  В разделе Наблюдаемые значения можно просмотреть наблюдаемые значения, связанные с обнаружением. Наблюдаемые значения могут включать:

  • MD5-хеш
  • IP-адрес
  • Веб-адрес
  • Имя домена

  Щелкнув по ссылке в столбцах Значение или Данные, можно выполнить следующие действия:

  • Выполнить поиск наблюдаемого значения в разделе Поиск угроз за последние 24 часа.
  • Выполнить поиск наблюдаемого значения на Kaspersky Threat Intelligence Portal (открывается на новой закладке браузера).
  • Выполнить поиск наблюдаемого значения или данных среди других обнаружений.
  • Выполнить поиск наблюдаемого значения или данных среди других инцидентов.
  • Скопировать наблюдаемое значение или данные в буфер обмена.
• Похожие закрытые обнаружения

  В разделе Похожие закрытые обнаружения можно просмотреть список закрытых обнаружений, которые затрагивали те же артефакты, что и текущее обнаружение. Затронутые артефакты включают наблюдаемые значения и затронутые устройства. Похожие закрытые обнаружения могут помочь при расследовании текущего обнаружения.

  Их список позволит оценить степень сходства текущего обнаружения с другими. Сходство рассчитывается следующим образом:

  Сходство = M / T * 100

  Где M – это количество совпадающих артефактов в текущем и сравниваемом обнаружении, а T – это общее количество артефактов в текущем обнаружении.

  Если сходство составляет 100%, текущее обнаружение полностью совпадает со сравниваемым обнаружением. Если сходство составляет 0%, текущее и сравниваемое обнаружение полностью различаются. Обнаружения со сходством, равным 0%, не включаются в список.

  Рассчитанное значение округляется до ближайшего целого числа. Если сходство составляет от 0% до 1%, это значение не округляется до 0%. В этом случае отображается значение "менее 1%".

  По щелчку на идентификаторе обнаружения открывается информация об обнаружении.

  Настройка списка похожих закрытых обнаружений

  Вы можете настроить таблицу, выполнив следующие действия:

  • Отфильтруйте обнаружения, выбрав период, в течение которого были обновлены обнаружения. По умолчанию список содержит обнаружения, обновленные за последние 30 дней.
  • Щелкните значок Настройка столбцов () и выберите, какие столбцы и в каком порядке будут отображаться.
  • Щелкните значок Фильтр () и выберите и настройте фильтры, которые требуется применить. Если вы выбрали несколько фильтров, они применяются одновременно, как объединенные логическим оператором И.
  • Щелкните по заголовку столбца и выберите параметры сортировки. Вы можете отсортировать обнаружения в порядке возрастания или убывания.

• Похожие инциденты

  В разделе Похожие инциденты можно просмотреть список инцидентов, которые затрагивали те же артефакты, что и текущее обнаружение. Затронутые артефакты включают наблюдаемые значения и затронутые устройства. Похожие инциденты могут помочь определить, связано ли текущее обнаружение с существующим инцидентом.

  Их список позволит оценить степень сходства текущего обнаружения с инцидентами. Сходство рассчитывается следующим образом:

  Сходство = M / T * 100

  Где M – это количество совпадающих артефактов в текущем обнаружении и сравниваемом инциденте, а T – это общее количество артефактов в текущем обнаружении.

  Если сходство составляет 100%, текущее обнаружение полностью совпадает со сравниваемым инцидентом. Если сходство составляет 0%, текущее обнаружение и сравниваемый инцидент полностью различаются. Инциденты со сходством, равным 0%, не включаются в список.

  Рассчитанное значение округляется до ближайшего целого числа. Если сходство составляет от 0% до 1%, это значение не округляется до 0%. В этом случае отображается значение "менее 1%".

  По щелчку на идентификаторе инцидента открывается информация об инциденте.

  Настройка списка похожих инцидентов

  Вы можете настроить таблицу, выполнив следующие действия:

  • Отфильтруйте инциденты, выбрав период, в течение которого были обновлены инциденты. По умолчанию список содержит инциденты, обновленные за последние 30 дней.
  • Щелкните значок Настройка столбцов () и выберите, какие столбцы и в каком порядке будут отображаться.
  • Щелкните значок Фильтр () и выберите и настройте фильтры, которые требуется применить. Если вы выбрали несколько фильтров, они применяются одновременно, как объединенные логическим оператором И.
  • Щелкните по заголовку столбца и выберите параметры сортировки. Вы можете отсортировать инциденты в порядке возрастания или убывания.
• Комментарии

  В разделе Комментарии можно добавить комментарии, относящиеся к обнаружению. Например, вы можете добавить комментарий о результатах расследования или об изменении свойств обнаружения при смене ответственного за обнаружение или статуса обнаружения.

  Вы можете редактировать и удалять собственные комментарии. Комментарии других пользователей изменять и удалять нельзя.

• История

  В разделе История можно отслеживать следующие изменения обнаружения как рабочего элемента:

  • Изменение статуса обнаружения
  • Смена ответственного за обнаружение
  • Связь обнаружения с инцидентом
  • Отмена связи обнаружения с инцидентом

См. также: Об обнаружениях Назначение обнаружений аналитикам Изменение статуса обнаружения Связь обнаружений с инцидентами

В начало