Рекомендации по обработке AM-обнаружений
Рекомендации по обработке AM-обнаружений
06 сентября 2024
ID 247616
В правой части окна в блоке Рекомендации отображаются рекомендации, которые вы можете выполнить, и количество обнаружений или событий, имеющих общие признаки с обнаружением, над которым вы работаете.
Вы можете выполнить следующие рекомендации:
- В разделе Оценка раскройте список Найти похожие обнаружения.
Отобразится список признаков, по которым вы можете найти похожие обнаружения, и количество похожих обнаружений по каждому признаку.
Выберите один из следующих признаков:
- По MD5. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Сведения ‑ MD5-хешу. MD5-хеш файла из обнаружения, над которым вы работаете, выделен желтым цветом.
- По SHA256. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Сведения ‑ SHA256-хешу. SHA256-хеш файла из обнаружения, над которым вы работаете, выделен желтым цветом.
- По имени хоста. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Адрес источника. Имя хоста из обнаружения, над которым вы работаете, выделено желтым цветом.
- По адресу отправителя. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Адрес источника. Адрес отправителя сообщения электронной почты из обнаружения, над которым вы работаете, выделен желтым цветом.
- По адресу получателя. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Адрес назначения. Адрес получателя сообщения электронной почты из обнаружения, над которым вы работаете, выделен желтым цветом.
- По URL. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Сведения ‑ URL-адресу из обнаружения, над которым вы работаете.
- В разделе Оценка выберите Найти похожие события. По ссылке в новой вкладке браузера откроется таблица событий Поиск угроз. В условиях поиска выбран тип события Результат обработки обнаружения и настроен фильтр поиска, например, по RemoteIP, MD5, SHA256, URI. В значениях фильтрации указаны свойства обнаружения, над которым вы работаете. Например, MD5 файла из обнаружения.
Действие доступно только если вы используете функциональность KEDR и добавили лицензионный ключ KEDR.
- В разделе Расследование выберите Найти похожие события. По ссылке в новой вкладке браузера откроется таблица событий Поиск угроз. В условиях поиска настроен фильтр поиска, например, по RemoteIP, MD5, SHA256, URI. В значениях фильтрации указаны свойства обнаружения, над которым вы работаете. Например, MD5 файла из обнаружения.
Действие доступно только если вы используете функциональность KEDR и добавили лицензионный ключ KEDR.
Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!