Kaspersky Anti Targeted Attack (KATA) Platform

Поиск событий по результатам их обработки в приложениях EPP

21 мая 2024

ID 247641

Чтобы выполнить поиск событий по результатам их обработки в приложениях EPP в режиме конструктора:

  1. В окне веб-интерфейса приложения выберите раздел Поиск угроз, закладку Конструктор.

    Откроется форма поиска событий.

  2. Если вы хотите выполнить поиск событий по статусу обработки, выполните следующие действия:
    1. В раскрывающемся списке критериев поиска событий в группе Обнаружение и результат обработки выберите критерий ThreatStatus.
    2. В раскрывающемся списке операторов сравнения выберите один из вариантов:
      • = (равно);
      • != (не равно).
    3. В раскрывающемся списке статусов обработки события выберите один из вариантов:
      • Объект не заражен.
      • Объект вылечен.
      • Ложное срабатывание.
      • Объект добавлен пользователем.
      • Объект добавлен в исключения.
      • Объект удален.
      • Объект помещен на карантин.
      • Объект не найден.
      • Выполнен откат к предыдущему состоянию.
      • Объект не поддается обработке.
      • Объект не обработан.
      • Обработка прервана.
      • Неизвестно.
  3. Если вы хотите выполнить поиск событий по причинам, по которым они не были обработаны, выполните следующие действия:
    1. В раскрывающемся списке критериев поиска событий в группе Обнаружение и результат обработки выберите критерий UntreatedReason.
    2. В раскрывающемся списке операторов сравнения выберите один из вариантов:
      • = (равно);
      • != (не равно).
    3. В раскрывающемся списке причин, по которым события не были обработаны, выберите один из вариантов:
      • Объект уже был обработан.
      • Приложение работает в режиме Только отчет.
      • Не удалось создать резервную копию объекта.
      • Не удалось создать копию объекта.
      • Устройство не готово.
      • Объект заблокирован.
      • Нет прав на выполнение действия.
      • Объект невозможно вылечить.
      • Объект невозможно перезаписать.
      • Объект не найден.
      • Нет места на диске.
      • Обработка отменена.
      • Действие отложено.
      • Задача на обработку прервана.
      • Ошибка чтения данных.
      • Нет данных.
      • Объект является критическим системным.
      • Ошибка записи данных.
      • Запись данных не поддерживается.
      • Объект защищен от записи.
  4. Если вы хотите добавить новое условие, используйте логический оператор AND или OR и повторите действия по добавлению условия.
  5. Если вы хотите добавить группу условий, нажмите на кнопку Group и повторите действия по добавлению условий.
  6. Если вы хотите удалить группу условий, нажмите на кнопку Remove group.
  7. Если вы хотите выполнить поиск событий за определенный период, в раскрывающемся списке За все время выберите один из следующих периодов поиска событий:
    • За все время, если вы хотите, чтобы приложение отображало в таблице события, найденные за все время.
    • Прошедший час, если вы хотите, чтобы приложение отображало в таблице события, найденные за предыдущий час.
    • Прошедшие сутки, если вы хотите, чтобы приложение отображало в таблице события, найденные за предыдущий день.
    • Пользовательский диапазон, если вы хотите, чтобы приложение отображало в таблице события, найденные за указанный вами период.
  8. Если вы выбрали период отображения найденных событий Пользовательский диапазон, выполните следующие действия:
    1. В открывшемся календаре укажите даты начала и конца периода отображения событий.
    2. Нажмите на кнопку Применить.

    Календарь закроется.

  9. Нажмите на кнопку Найти.

Отобразится таблица событий, соответствующих условиям поиска.

См. также

Поиск угроз по базе событий

Поиск событий в режиме конструктора

Поиск событий в режиме исходного кода

Сортировка событий в таблице

Изменение условий поиска событий

Загрузка IOC-файла и поиск событий по условиям, заданным в IOC-файле

Создание правила TAA (IOA) на основе условий поиска событий

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!