Содержание
Просмотр информации о событии
Чтобы просмотреть информацию о событии:
- В окне веб-интерфейса программы выберите раздел События.
- Выполните поиск событий с помощью конструктора запросов или введя запрос в строке поиска.
Отобразится таблица событий.
- Выберите событие, информацию о котором вы хотите просмотреть.
Откроется окно с информацией о событии.
В правой части окна отображается область деталей Информация о событии со списком параметров события и их значений. В этой области деталей можно:
- Включить выбранное поле в поиск или исключить его из поиска, нажав на
и 
рядом со значением параметра. - По хешу файла в поле FileHash раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Показать информацию из Threat Lookup.
Доступно при интеграции с Kaspersky Threat Intelligence Portal.
- Добавить в Internal TI CyberTrace.
- Доступно при интеграции с Kaspersky CyberTrace.
- Показать информацию из Threat Lookup.
- Открыть окно со сведениями об активе, если он упоминается в полях события и зарегистрирован в приложении.
- По ссылке с именем коллектора в поле Service вы можете просмотреть параметры сервиса, зарегистрировавшего событие.
Вы также можете привязать событие к алерту, если программа находится в режиме расследования алерта, и открыть окно Информация о корреляционном событии, если выбранное событие является корреляционным.
В области деталей Информация о событии в качестве значений перечисленных ниже параметров вместо идентификатора показывается название описываемого объекта. При этом, если изменить фильтрацию событий по этому параметру (например, нажать на значок , чтобы исключить из результатов поиска события с определенной комбинацией параметр-значение), в SQL-запрос будет добавлен идентификатор объекта, а не его название:
- TenantID
- SeriviceID
- DeviceAssetID
- SourceAssetID
- DestinationAssetID
- SourceAccountID
- DestinationAccountID