Информация о событии AMSI-проверка

В окне с информацией о событии типа AMSI-проверка содержатся следующие сведения:

• Дерево событий.
• Рекомендации по обработке события.
• В разделе AMSI-проверка:
  • Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.

    По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.

    База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.

    Поле отображается, если при создании события сработало правило TAA (IOA).

  • Время события – дата и время события.
  • Тип содержимого – тип скрипта.

    В приложении предусмотрено два типа скриптов:

    • Если скрипт представлен в виде текста, в поле Тип содержимого отображается тип скрипта Текст.
    • Если скрипт представлен в другой форме, в поле Тип содержимого отображается тип скрипта Двоичный код.
  • Содержание – содержание скрипта, переданного на проверку.

    Вы можете скопировать эти данные, нажав на кнопку Скопировать в буфер, если данные представлены в виде текста, или скачать файл с данными, нажав на кнопку Сохранить в файл, если данные представлены в другой форме.

    Поле Содержание отображается в информации о событии, если приложение регистрирует признаки целевых атак.

• В разделе Инициатор события:
  • Файл – путь к файлу родительского процесса.

    По ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:

    • Найти события.
    • Найти обнаружения.
    • Скопировать значение в буфер.

    Выполнить задачи:

    • Завершить процесс.
    • Завершить по уникальному PID.
    • Удалить файл.
    • Получить файл.
    • Собрать форензику.
    • Поместить файл на карантин.
  • MD5 – MD5-хеш файла родительского процесса.

    По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:

    • Найти события.
    • Найти обнаружения.
    • Найти на TIP.

      Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.

    • Найти в Хранилище.
    • Создать правило запрета.
    • Скопировать значение в буфер.
  • SHA256 – SHA256-хеш файла родительского процесса.

    По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:

    • Найти события.
    • Найти обнаружения.
    • Найти на TIP.
    • Найти в Хранилище.
    • Создать правило запрета.
    • Скопировать значение в буфер.
• В разделе Сведения о системе:
  • Имя хоста – имя хоста, на котором выполнено обнаружение.

    По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

    • Найти события.
    • Найти обнаружения.
    • Скопировать значение в буфер.

    Выполнить задачи:

    • Собрать данные → Файл, Форензика, Образ диска, Дамп памяти.
    • Завершить процесс.
    • Удалить файл.
    • Поместить файл на карантин.
    • Выполнить приложение.
  • IP хоста – IP-адрес хоста, на котором выполнено обнаружение.

    Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный хосту на момент создания события.

    Приложение не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес хоста не отображается.

  • Имя пользователя – учетная запись пользователя, от имени которой было совершено изменение в реестре.
  • Версия ОС – версия операционной системы, используемой на хосте.