Kaspersky Anti Targeted Attack (KATA) Platform

Рекомендации по обработке YARA-обнаружений

21 мая 2024

ID 247620

В правой части окна в блоке Рекомендации отображаются рекомендации, которые вы можете выполнить, и количество обнаружений или событий, имеющих общие признаки с обнаружением, над которым вы работаете.

Вы можете выполнить следующие рекомендации:

  • В разделе Оценка раскройте список Найти похожие обнаружения.

    Отобразится список признаков, по которым вы можете найти похожие обнаружения, и количество похожих обнаружений по каждому признаку.

    Выберите один из следующих признаков:

    • По MD5. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Сведения ‑ MD5-хешу. MD5-хеш файла из обнаружения, над которым вы работаете, выделен желтым цветом.
    • По SHA256. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Сведения ‑ SHA256-хешу. SHA256-хеш файла из обнаружения, над которым вы работаете, выделен желтым цветом.
    • По имени хоста. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Адрес источника. Имя хоста из обнаружения, над которым вы работаете, выделено желтым цветом.
    • По адресу отправителя. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Адрес источника. Адрес отправителя сообщения электронной почты из обнаружения, над которым вы работаете, выделен желтым цветом.
    • По адресу получателя. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Адрес назначения. Адрес получателя сообщения электронной почты из обнаружения, над которым вы работаете, выделен желтым цветом.
    • По URL. По ссылке в новой вкладке браузера откроется таблица обнаружений Обнаружения, отфильтрованных по столбцу Сведения ‑ URL-адресу из обнаружения, над которым вы работаете.
  • В разделе Оценка выберите Найти похожие обнаружения по имени хоста. По ссылке в новой вкладке браузера откроется таблица событий Поиск угроз. В условиях поиска выбран тип события Результат обработки обнаружения и настроен фильтр поиска, например, по RemoteIP, MD5, SHA256, URI. В значениях фильтрации указаны свойства обнаружения, над которым вы работаете. Например, MD5 файла из обнаружения.

    Действие доступно только если вы используете функциональность KEDR и добавили лицензионный ключ KEDR.

  • В разделе Расследование выберите Найти похожие события. По ссылке в новой вкладке браузера откроется таблица событий Поиск угроз. В условиях поиска настроен фильтр поиска, например, по RemoteIP, MD5, SHA256, URI. В значениях фильтрации указаны свойства обнаружения, над которым вы работаете. Например, MD5 файла из обнаружения.

    Действие доступно только если вы используете функциональность KEDR и добавили лицензионный ключ KEDR.

  • В разделе Сдерживание выберите Изолировать <имя хоста>. Откроется окно создания правила сетевой изоляции.

См. также

Рекомендации по обработке обнаружений

Рекомендации по обработке AM-обнаружений

Рекомендации по обработке TAA-обнаружений

Рекомендации по обработке SB-обнаружений

Рекомендации по обработке IOC-обнаружений

Рекомендации по обработке IDS-обнаружений

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!