Kaspersky Anti Targeted Attack (KATA) Platform

Результаты IOC-проверки

14 мая 2024

ID 247628

В зависимости от типа обработанного объекта, в окне результатов поиска индикаторов компрометации могут отображаться следующие данные:

  • ARP-протокол:
    • IP-адрес из ARP-таблицы.
    • Физический адрес из ARP-таблицы.
  • DNS-запись:
    • Тип и имя записи DNS.
    • IP-адрес защищаемого компьютера.
  • Событие в журнале Windows:
    • Идентификатор записи в журнале событий.
    • Имя источника данных в журнале.
    • Имя журнала.
    • Учетная запись пользователя.
    • Время события.
  • Файл:
    • MD5-хеш файла.
    • SHA256-хеш файла.
    • Полное имя файла (включая путь).
    • Размер файла.
  • Порт:
    • Удаленный IP-адрес, с которым было установлено соединение в момент проверки.
    • Удаленный порт, с которым было установлено соединение в момент проверки.
    • IP-адрес локального адаптера.
    • Порт, открытый на локальном адаптере.
    • Протокол в виде числа (в соответствии со стандартом IANA).
  • Процесс:
    • Имя процесса.
    • Аргументы процесса.
    • Путь к файлу процесса.
    • Windows идентификатор (PID) процесса.
    • Windows идентификатор (PID) родительского процесса.
    • Имя учетной записи пользователя, запустившего процесс.
    • Дата и время запуска процесса.
  • Служба:
    • Имя службы.
    • Описание службы.
    • Путь и имя DLL-службы (для svchost).
    • Путь и имя исполняемого файла службы.
    • Windows идентификатор (PID) службы.
    • Тип службы (например, драйвер ядра или адаптер).
    • Статус службы.
    • Режим запуска службы.
  • Пользователь:
    • Имя учетной записи пользователя.
  • Том:
    • Наименование тома.
    • Буква тома.
    • Тип тома.
  • Реестр:
    • Значение реестра Windows.
    • Значение куста реестра.
    • Путь к ключу реестра (без куста и без имени значения).
    • Параметр реестра.
  • Переменные окружения:
    • Физический адрес (MAC) защищаемого компьютера.
    • Система (окружение).
    • Имя ОС с версией.
    • Сетевое имя защищаемого устройства.
    • Домен или группа, к которой принадлежит защищаемый компьютер.

В разделе IOC отображается структура IOC-файла. При совпадении обработанного объекта с одним из условий IOC-правила, это условие подсвечивается. Если обработанный объект совпадает с несколькими условиями, выделяется текст всей ветки.

См. также

Просмотр информации об обнаружении

Общая информация об обнаружении любого типа

Информация в блоке Информация об объекте

Информация в блоке Информация об обнаружении

Информация в блоке Результаты проверки

Информация в блоке Правило IDS

Информация в блоке Сетевое событие

Результаты проверки в Sandbox

Информация в блоке Хосты

Информация в блоке Журнал изменений

Отправка данных об обнаружении

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!