Kaspersky Anti Targeted Attack (KATA) Platform

Информация о событии Завершен процесс

14 мая 2024

ID 242011

В окне с информацией о событиях типа Завершен процесс содержатся следующие сведения:

  • Дерево событий.
  • Рекомендации по обработке события.
  • Раздел Завершен процесс:
    • Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.

      По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.

      Поле отображается, если при создании события сработало правило TAA (IOA).

    • Файл – имя файла процесса.
    • ID процесса – идентификатор процесса.
    • Параметры запуска – параметры запуска процесса.

      Если событие было записано в базу событий Kaspersky Endpoint Security для Linux или Kaspersky Endpoint Security для Mac, вместо поля Параметры запуска отображается поле Команда – команда, с помощью которой был запущен процесс.

    • MD5 – MD5-хеш файла процесса.
    • SHA256 – SHA256-хеш файла процесса.
    • Размер – размер файла процесса.
    • Время события – время завершения процесса.
  • Раздел Инициатор события:
    • Файл – путь к файлу родительского процесса.
    • ID процесса – идентификатор родительского процесса.
    • Параметры запуска – параметры запуска родительского процесса.

      Если событие было записано в базу событий Kaspersky Endpoint Security для Linux или Kaspersky Endpoint Security для Mac, вместо поля Параметры запуска отображается поле Команда – команда, с помощью которой был запущен родительский процесс.

    • MD5 – MD5-хеш файла родительского процесса.
    • SHA256 – SHA256-хеш файла родительского процесса.
  • Раздел Сведения о системе:
    • Имя хоста – имя хоста, на котором был запущен процесс.
    • IP хоста – IP-адрес хоста, на котором был запущен процесс.

      Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный хосту на момент создания события.

      Приложение не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес хоста не отображается.

    • Тип учетной записи – тип учетной записи, под которой был завершен процесс. Например, администратор.
    • Имя пользователя – имя пользователя, запустившего процесс.
    • Версия ОС – версия операционной системы, используемой на хосте.

    Если событие было записано в базу событий Kaspersky Endpoint Security для Linux или Kaspersky Endpoint Security для Mac, в разделе Сведения о системе также отображается поле Вход с удаленного хоста – имя хоста, с которого был совершен удаленный вход в систему.

По ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:

По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

  • Найти события.
  • Найти обнаружения.
  • Выполнить задачи:
  • Скопировать значение в буфер.

В информации о событии, записанном в базу событий приложением Kaspersky Endpoint Security для Linux или Kaspersky Endpoint Security для Mac, по ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:

  • Найти события.
  • Найти обнаружения.
  • Найти на TIP.
  • Найти в Хранилище.
  • Создать правило запрета.
  • Скопировать значение в буфер.

По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!