Информация о событии Доступ к процессу

В окне с информацией о событиях типа Изменен файл содержатся следующие сведения:

• Дерево событий.
• Рекомендации по обработке события.
• В зависимости от типа операции, которая была проведена с файлом процесса, в информации о событии отображается одно из следующих названий раздела:
  • Открыт доступ к процессу.
  • Продублированный дескриптор.

  В разделе Открыт доступ к процессу отображается следующая информация:

  • Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), в соответствии с которым выполнено обнаружение.

    По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.

    База знаний MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Тактики, техники и общеизвестные знания о злоумышленниках) содержит описание поведения злоумышленников, основанное на анализе реальных атак. Представляет собой структурированный список известных техник злоумышленников в виде таблицы.

    Поле отображается, если при создании события сработало правило TAA (IOA).

  • Файл – имя процесса-реципиента.
  • ID процесса – идентификатор процесса-реципиента.
  • Параметры запуска – параметры запуска процесса-реципиента.
  • MD5 – MD5-хеш файла процесса-реципиента.
  • SHA256 – SHA256-хеш файла процесса-реципиента.
  • Права доступа – запрошенные права доступа к процессу.
  • Размер – размер файла процесса-реципиента.
  • Время события – время обнаружения события.
  • Время создания – время создания файла процесса-реципиента.
  • Время изменения – время последнего изменения файла процесса-реципиента.
  • Время изменения атрибутов – время изменения атрибутов файла процесса-реципиента.
  • Трассировка вызова – стек вызовов.

  В разделе Продублированный дескриптор отображается следующая информация:

  • Файл – имя продублированного процесса.
  • MD5 – MD5-хеш файла продублированного процесса.
  • SHA256 – SHA256-хеш файла продублированного процесса.
  • Время создания – время создания файла продублированного процесса.
  • Время изменения – время последнего изменения файла продублированного процесса.
  • Время изменения атрибутов – время изменения атрибутов файла продублированного процесса.
  • Размер – размер файла продублированного процесса.
  • ID процесса – идентификатор продублированного процесса.
  • Параметры запуска – параметры запуска продублированного процесса.

  Для событий этого типа в информации о событии также отображаются разделы Информация о процессе, в который был продублирован дескриптор и Информация о процессе, из которого был продублирован дескриптор. В этих разделах содержится следующая информация:

  • Файл – имя файла процесса.
  • MD5 – MD5-хеш файла процесса.
  • SHA256 – SHA256-хеш файла процесса.
  • ID процесса – идентификатор процесса.
  • Параметры запуска – параметры запуска процесса.
  • Размер – размер файла процесса.
  • Время создания – время создания файла процесса.
  • Время изменения – время последнего изменения файла.
  • Время изменения атрибутов – время изменения атрибутов файла процесса.
• Раздел Инициатор события:
  • Файл – путь к файлу родительского процесса.
  • MD5 – MD5-хеш файла родительского процесса.
  • SHA256 – SHA256-хеш файла родительского процесса.
  • Параметры запуска –
• Раздел Сведения о системе:
  • Имя хоста – имя хоста, на котором был создан файл.
  • Имя пользователя – имя пользователя, создавшего файл.
  • Версия ОС – версия операционной системы, используемой на хосте.

По ссылке с именем файла или путем к файлу в разделе со сведениями о файле, с которым была произведена операция, раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти алерты.
• Выполнить задачи:
  • Удалить файл.
  • Получить файл.
  • Собрать форензику.
  • Поместить файл на карантин.
• Скопировать значение в буфер.

По ссылке с именем файла или путем к файлу в разделе Инициатор события раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти алерты.
• Выполнить задачи:
  • Завершить процесс.
  • Завершить по уникальному PID.
  • Удалить файл.
  • Получить файл.
  • Собрать форензику.
  • Поместить файл на карантин.
• Скопировать значение в буфер.

По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти алерты.
• Найти на Kaspersky TIP.

  Информационная система "Лаборатории Касперского". Содержит и отображает информацию о репутации файлов и URL-адресов.

• Найти в Хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.

По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:

• Найти события.
• Найти алерты.
• Найти на Kaspersky TIP.
• Найти на virustotal.com.
• Найти в Хранилище.
• Создать правило запрета.
• Скопировать значение в буфер.