Информация о событии Загружен модуль
15 ноября 2023
ID 247666
В окне с информацией о событиях типа Загружен модуль содержатся следующие сведения:
- Дерево событий.
- Рекомендации по обработке события.
- Раздел Загружен модуль:
- Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.
По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.
Поле отображается, если при создании события сработало правило TAA (IOA).
- Файл – имя файла загруженного модуля.
- MD5 – MD5-хеш файла загруженного модуля.
- SHA256 – SHA256-хеш файла загруженного модуля.
- Размер – размер загруженного модуля.
- Время события – время загрузки модуля.
- Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.
- Раздел Сведения:
- Название приложения – например, название операционной системы.
- Производитель – например, производитель операционной системы.
- Описание файла – например, Example File.
- Исходное имя файла – например, Example File.
- Получатель сертификата – организация, выпустившая цифровой сертификат файла.
- Результат проверки подписи – например, "Подпись недействительна" или "Подпись ОК".
- Время создания – время создания загруженного модуля.
- Время изменения – дата последнего изменения загруженного модуля.
- Следующая по пути обхода DLL – поле содержит путь к библиотеке DLL, которая могла быть загружена вместо существующей библиотеки.
Поле отображается при выполнении следующих условий:
- Источник загруженной библиотеки DLL не является доверенным.
- В папке по стандартному пути обхода есть одноименная библиотека с другим хешем.
Если в роли компонента Endpoint Agent вы используете Kaspersky Endpoint Agent, Kaspersky Anti Targeted Attack Platform получает данные, необходимые для заполнения поля Следующая по пути обхода DLL, только при интеграции Kaspersky Anti Targeted Attack Platform с Kaspersky Endpoint Agent для Windows версии 3.10. При интеграции приложения с предыдущими версиями Kaspersky Endpoint Agent указанное поле не будет отображаться в информации о событии.
- Раздел Инициатор события:
- Файл – путь к файлу родительского процесса.
- MD5 – MD5-хеш файла родительского процесса.
- SHA256 – SHA256-хеш файла родительского процесса.
- Раздел Сведения о системе:
- Имя хоста – имя хоста, на котором был загружен модуль.
- IP хоста – IP-адрес хоста, на котором был загружен модуль.
Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный хосту на момент создания события.
Приложение не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес хоста не отображается.
- Имя пользователя – имя пользователя, загрузившего модуль.
- Версия ОС – версия операционной системы, используемой на хосте.
По ссылке с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Найти события.
- Найти обнаружения.
- Выполнить задачи:
- Скопировать значение в буфер.
По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Найти события.
- Найти обнаружения.
- Выполнить задачи:
- Собрать данные → Файл, Форензика, Образ диска, Дамп памяти.
- Завершить процесс.
- Удалить файл.
- Поместить файл на карантин.
- Выполнить приложение.
- Скопировать значение в буфер.
По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Найти события.
- Найти обнаружения.
- Найти на TIP.
- Найти в Хранилище.
- Создать правило запрета.
- Скопировать значение в буфер.
По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Найти события.
- Найти обнаружения.
- Найти на TIP.
- Найти на virustotal.com.
- Найти в Хранилище.
- Создать правило запрета.
- Скопировать значение в буфер.
