О деталях обнаружения
Детали обнаружения содержат всю доступную информацию об обнаруженной угрозе и позволяют управлять действиями по реагированию на обнаружение.
В деталях обнаружения приведена следующая информация:
- Граф цепочки развития угрозы, который предоставляет визуальную информацию о задействованных объектах, например, о ключевых процессах на устройстве, сетевых соединениях, библиотеках, кустах реестра. Он предназначен для анализа причин появления угрозы.
- Общая информация об обнаружении, включая режим обнаружения (например, обнаружение при проверке по требованию или при автоматической проверке).
- Информация о защищаемом устройстве, на котором произошло обнаружение (например, имя устройства, IP-адрес, MAC-адрес, список пользователей, операционная система).
- Информация об обнаруженном объекте.
- Изменения в реестре, связанные с обнаружением.
- История появления файлов на устройстве.
- Принятые программой ответные действия.
В деталях обнаружения, сформированных приложением Kaspersky Industrial CyberSecurity for Linux Nodes версии 1.5 и выше, также доступна следующая информация:
- Рекомендации по реагированию на обнаружение. Каждая рекомендация снабжена ссылкой, по которой вы можете перейти к применению выбранного способа реагирования.
- Информация о группе доверия, цифровой подписи, распространении файла и другие данные.
Данный блок информации доступен, если в приложении Kaspersky Industrial CyberSecurity for Linux Nodes на момент регистрации обнаружения включена функция Kaspersky Security Network.
Перечисленные данные указаны на момент обнаружения угрозы. Решение не обновляет перечисленные данные, поэтому они могут отличаться от данных, отображаемых на Kaspersky Threat Intelligence Portal. Для просмотра актуальных данных воспользуйтесь ссылками на данные Kaspersky Threat Intelligence Portal в деталях обнаружения.
Из деталей обнаружения вы можете выполнить следующие действия по реагированию:
- изолировать устройство, на котором произошло обнаружение;
- поместить файл на карантин;
Это действие недоступно на компьютерах под управлением ОС семейства Linux с установленным приложением Kaspersky Industrial CyberSecurity for Linux Nodes версии 1.5.
- создать задачу поиска IOC;
- запретить запуск обнаруженного файла.
Это действие недоступно на компьютерах под управлением ОС семейства Linux с установленным приложением Kaspersky Industrial CyberSecurity for Linux Nodes версии 1.5.
Детали обнаружения автоматически удаляются через один месяц после того, как были сформированы.
Если объем информации в деталях обнаружения превышает 100 КБ или если за сутки на устройстве появилось больше двадцати обнаружений, то данные об обнаружении хранятся на этом устройстве локально и для доступа к ним требуется подключение к этому устройству.