Результаты проверки в Sandbox
06 сентября 2024
ID 196635
В окне результатов проверки объекта в Sandbox могут отображаться следующие сведения об обнаружении:
- Файл – полное имя и путь проверенного файла.
- Размер файла – размер файла.
- MD5 – MD5-хеш файла.
По ссылке с MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Найти на TIP.
- Найти события.
- Найти обнаружения.
- Создать правило запрета.
- Скопировать значение в буфер.
- Обнаружено – одна или несколько категорий обнаруженных объектов. Например, если приложение обнаружило файл, зараженный вирусом Trojan-Downloader.JS.Cryptoload.ad, в поле Обнаружено будет указана категория Trojan-Downloader.JS.Cryptoload.ad для этого обнаружения.
- Время обработки – время выполнения проверки файла.
- Версии баз – версии баз модулей и компонентов Kaspersky Anti Targeted Attack Platform, выполнивших обнаружение.
Кнопка Новое правило запрета в правом верхнем углу окна позволяет запретить запуск файла.
Информация о результатах исследования поведения файла приводится для каждой операционной системы, в которой компонент Sandbox выполнил проверку. Для операционной системы Windows 7 (64-разрядная) вы можете просмотреть журналы активности файла для двух режимов проверки компонента Sandbox – Режим быстрой проверки и Режим ведения полного журнала.
Для каждого режима проверки могут быть доступны следующие журналы активности:
- Список активностей – действия файла внутри операционной системы.
- Дерево активностей – графическое представление процесса исследования файла.
- Журнал HTTP-активности – журнал HTTP-активности файла. Содержит следующую информацию:
- IP назначения – IP-адрес, на который файл пытается перейти из операционной системы.
- Метод – метод HTTP-запроса, например, GET или POST.
- URL – URL-адрес ссылки на веб-сайт, которую файл пытается открыть из операционной системы.
По ссылкам в столбце IP назначения раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Найти на TIP.
- Найти события.
- Найти обнаружения.
- Скопировать значение в буфер.
По ссылкам в столбце URL раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Найти на TIP по URL.
- Найти на TIP по имени домена.
- Найти события.
- Найти обнаружения.
- Скопировать значение в буфер.
- Журнал действий IDS – журнал сетевой активности файла. Содержит следующую информацию:
- IP источника – IP-адрес хоста, на котором хранится файл.
- IP назначения – IP-адрес, на который файл пытается перейти из операционной системы.
- Метод – метод HTTP-запроса, например, GET или POST.
- URL – URL-адрес ссылки на веб-сайт, которую файл пытается открыть из операционной системы.
По ссылкам в столбце IP назначения раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Найти на TIP.
- Найти события.
- Найти обнаружения.
- Скопировать значение в буфер.
По ссылкам в столбце URL раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Найти на TIP по URL.
- Найти на TIP по имени домена.
- Найти события.
- Найти обнаружения.
- Скопировать значение в буфер.
- Журнал DNS-активности – журнал DNS-активности файла. Содержит следующую информацию:
- Тип запроса (Request или Response).
- DNS-имя – доменное имя сервера.
- Тип – тип DNS-запроса (например, A или CNAME).
- Хост – имя хоста или IP-адрес, с которым осуществлялось взаимодействие.
По ссылкам в столбцах DNS-имя и Хост раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Найти на TIP.
- Найти события.
- Найти обнаружения.
- Скопировать значение в буфер.
Кнопка Скачать полный журнал в нижней части каждого из режимов проверки Режим быстрой проверки и Режим ведения полного журнала позволяет скачать журнал исследования поведения файла в каждой операционной системе на компьютер.