Kaspersky Anti Targeted Attack (KATA) Platform

Просмотр таблицы событий

14 мая 2024

ID 247645

Таблица событий отображается в разделе Поиск угроз окна веб-интерфейса приложения после выполнения поиска угроз по базе событий. Вы можете сортировать события в таблице по столбцам Время события, Тип события, Хост и Имя пользователя.

Если вы используете режим распределенного решения и мультитенантности, события в таблице сгруппированы по хостам выбранных серверов и тенантов.

В таблице событий содержится следующая информация:

  1. Время события – дата и время обнаружения события.
  2. Тип события – например, Запущен процесс.
  3. Имя хоста – имя хоста, на котором было выполнено обнаружение.
  4. Сведения – сведения о событии.
  5. Имя пользователя – имя пользователя компьютера с компонентом Endpoint Agent, под учетной записью которого было обнаружено событие.

В таблице событий для каждого типа событий в столбце Тип события отображается свой набор данных в столбце Сведения (см. таблицу ниже).

Набор данных в столбце Тип события для каждого типа событий в столбце Сведения

Тип события

Сведения

Запущен процесс

Имя файла процесса, который был запущен. SHA256- и MD5-хеш.

Загружен модуль

Имя динамической библиотеки, которая была загружена. SHA256- и MD5-хеш.

Удаленное соединение

URL-адрес, к которому была произведена попытка удаленного подключения. Имя файла, который пытался осуществить удаленное подключение.

Правило запрета

Имя файла приложения, запуск которого был заблокирован. SHA256- и MD5-хеш.

Заблокирован документ

Имя документа, запуск которого был заблокирован. SHA256- и MD5-хеш.

Изменен файл

Имя созданного файла. SHA256- и MD5-хеш.

Журнал событий ОС

Канал записи событий в системный журнал. Идентификатор типа события.

Изменение в реестре

Имя ключа в реестре. <имя переменной в ключе>=<значение переменной>.

Прослушан порт

Адрес сервера и порт. Имя файла процесса, который осуществляет прослушивание порта.

Загружен драйвер

Имя файла драйвера, который был загружен. SHA256- и MD5-хеш.

Обнаружение

Обнаружение.

Результат обработки обнаружения

Результат обработки обнаружения.

AMSI-проверка

Результат AMSI-проверки.

Интерпретированный запуск файла

Интерпретированный запуск файла.

Интерактивный ввод команд в консоли

Интерактивный ввод команд в консоли.

Если в роли компонента Endpoint Agent вы используете Kaspersky Endpoint Agent, то данные о событии AMSI-проверка доступны при интеграции Kaspersky Anti Targeted Attack Platform с Kaspersky Endpoint Agent для Windows версии 3.10 и выше и при интеграции Kaspersky Endpoint Agent с приложением Kaspersky Endpoint Security для Windows версий 11.5 и выше. Если приложение Kaspersky Endpoint Security для Windows не установлено на компьютер и не интегрирована с Kaspersky Endpoint Agent, информация о событии AMSI-проверка не записывается в базу событий и не отображается в веб-интерфейсе Kaspersky Anti Targeted Attack Platform.

Если в роли компонента Endpoint Agent используется Kaspersky Endpoint Agent, сервер Central Node формирует событие Обнаружение и Результат обработки обнаружения на основе данных, полученных от приложений EPP. Если приложения EPP не установлены на компьютер и не интегрированы с Kaspersky Endpoint Agent, информация об этих событиях не записывается в базу событий и не отображается в веб-интерфейсе Kaspersky Anti Targeted Attack Platform.

По ссылке с названием типа события, сведениями, дополнительной информацией и именем пользователя раскрывается список, в котором вы можете выбрать действие над объектом. В зависимости от значения в ячейке вы можете выполнить одно из следующих действий:

См. также

Информация о событиях

Рекомендации по обработке событий

Информация о событиях в дереве событий

Настройка отображения таблицы событий

Просмотр информации о событии

Информация о событии Запущен процесс

Информация о событии Завершен процесс

Информация о событии Загружен модуль

Информация о событии Удаленное соединение

Информация о событии Правило запрета

Информация о событии Заблокирован документ

Информация о событии Изменен файл

Информация о событии Журнал событий ОС

Информация о событии Изменение в реестре

Информация о событии Прослушан порт

Информация о событии Загружен драйвер

Информация о событии Обнаружение

Информация о событии Результат обработки обнаружения

Информация о событии Интерпретированный запуск файла

Информация о событии AMSI-проверка

Информация о событии Интерактивный ввод команд в консоли

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!