Информация о событии Запущен процесс
06 сентября 2024
ID 247651
В окне с информацией о событиях типа Запущен процесс содержатся следующие сведения:
- Дерево событий.
- Рекомендации по обработке события.
- Раздел Запущен процесс:
- Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.
По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.
Поле отображается, если при создании события сработало правило TAA (IOA).
- Файл – имя файла процесса.
- ID процесса – идентификатор процесса.
- Параметры запуска – параметры запуска процесса.
Если событие было записано в базу событий Kaspersky Endpoint Security для Linux или Kaspersky Endpoint Security для Mac, вместо поля Параметры запуска отображается поле Команда – команда, с помощью которой был запущен процесс.
- MD5 – MD5-хеш файла процесса.
- SHA256 – SHA256-хеш файла процесса.
- Размер – размер файла процесса.
- Время события – время запуска процесса.
- Время создания – время создания файла процесса.
- Время изменения – время последнего изменения файла процесса.
- Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.
- Раздел Сведения:
- Название приложения – например, название операционной системы.
- Производитель – например, производитель операционной системы.
- Описание файла – например, Example File.
- Исходное имя файла – например, ExampleFile.exe.
- Получатель сертификата – организация, выпустившая цифровой сертификат файла.
- Результат проверки подписи – например, "Недействительна" или "OK".
- Свойства – атрибут файла по классификации Windows. Например, A (архив), D (директория) или S (системный).
Если событие было записано в базу событий приложением Kaspersky Endpoint Security для Linux или Kaspersky Endpoint Security для Mac, в разделе Сведения также отображаются следующие поля:
- Свойства – свойства файла процесса.
- Тип процесса – например, exec.
- Переменные окружения – переменные окружения процесса.
- Настоящее имя пользователя – имя пользователя, назначенное при регистрации в системе.
- Настоящее имя группы – группа, к которой принадлежит пользователь.
- Действующее имя пользователя – имя пользователя, которое использовалось для входа в систему.
- Действующее имя группы – группа, к которой принадлежит пользователь, чье имя использовалось для входа в систему.
- Имя пользователя-владельца – имя пользователя, создавшего файл процесса.
- Имя группы-владельца – название группы, пользователи которой могут изменить или удалить файл процесса.
- Разрешенные привилегии файла – разрешения, которые могут использоваться для доступа к файлу процесса. Данное поле не отображается, если событие было записано приложением Kaspersky Endpoint Security для Mac.
- Наследуемые привилегии файла – разрешения, которые есть у группы пользователей для выполнения операций с родительским каталогом файла процесса. Данное поле не отображается, если событие было записано приложением Kaspersky Endpoint Security для Mac.
- Актуальные привилегии файла – разрешения, которые актуальны для файла процесса на данный момент. Данное поле не отображается, если событие было записано приложением Kaspersky Endpoint Security для Mac.
- Раздел Инициатор события:
- Файл – путь к файлу родительского процесса.
- ID процесса – идентификатор родительского процесса.
- Параметры запуска – параметры запуска родительского процесса.
Если событие было записано в базу событий Kaspersky Endpoint Security для Linux или Kaspersky Endpoint Security для Mac, вместо поля Параметры запуска отображается поле Команда – команда, с помощью которой был запущен родительский процесс.
- MD5 – MD5-хеш файла родительского процесса.
- SHA256 – SHA256-хеш файла родительского процесса.
- Раздел Сведения о системе:
- Имя хоста – имя хоста, на котором был запущен процесс.
- IP хоста – IP-адрес хоста, на котором был запущен процесс.
Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный хосту на момент создания события.
Приложение не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес хоста не отображается.
- Тип учетной записи – тип учетной записи, под которой был запущен процесс. Например, администратор.
- Тип входа в систему – например, с помощью запущенной службы.
- Имя пользователя – имя пользователя, запустившего процесс.
- Версия ОС – версия операционной системы, используемой на хосте.
Если событие было записано в базу событий приложением Kaspersky Endpoint Security для Linux или Kaspersky Endpoint Security для Mac, в разделе Сведения о системе также отображается поле Вход с удаленного хоста – имя хоста, с которого был совершен удаленный вход в систему.
По ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Найти события.
- Найти обнаружения.
- Выполнить задачи:
- Скопировать значение в буфер.
В информации о событии, записанном в базу событий приложением Kaspersky Endpoint Security для Linux или Kaspersky Endpoint Security для Mac, по ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Найти события.
- Найти обнаружения.
- Выполнить задачу Получить файл.
- Скопировать значение в буфер.
По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Найти события.
- Найти обнаружения.
- Выполнить задачи:
- Собрать данные → Файл, Форензика, Образ диска, Дамп памяти.
- Завершить процесс.
- Удалить файл.
- Поместить файл на карантин.
- Выполнить приложение.
- Скопировать значение в буфер.
В информации о событии, записанном в базу событий приложением Kaspersky Endpoint Security для Linux или Kaspersky Endpoint Security для Mac, по ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Найти события.
- Найти обнаружения.
- Выполнить задачи:
- Скопировать значение в буфер.
По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Найти события.
- Найти обнаружения.
- Найти на TIP.
- Найти в Хранилище.
- Создать правило запрета.
- Скопировать значение в буфер.
По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Найти события.
- Найти обнаружения.
- Найти на TIP.
- Найти на virustotal.com.
- Найти в Хранилище.
- Создать правило запрета.
- Скопировать значение в буфер.