Информация о событии Изменение в реестре
12 августа 2024
ID 247652
В окне с информацией о событиях типа Изменение в реестре содержатся следующие сведения:
- Дерево событий.
- Рекомендации по обработке события.
- Раздел Изменение в реестре:
- Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.
По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.
Поле отображается, если при создании события сработало правило TAA (IOA).
- Путь к ключу – путь к разделу реестра, в котором произошло изменение.
- Имя параметра – например, RegistrySizeLimit.
- Значение параметра – значение параметра реестра.
- Тип параметра – например, REG_DWORD.
- Время события – время внесения изменения в реестр.
При изменении имени или параметра ключа реестра могут отображаться дополнительные поля с информацией о состоянии ключа реестра до его изменения:
- поле Предыдущий путь к ключу отображается при изменении имени ключа реестра;
- поле Предыдущее значение параметра отображается при изменении значения параметра реестра;
- поле Предыдущий тип параметра отображается при изменении типа параметра реестра.
Если в качестве компонента Endpoint Agent вы используете приложение Kaspersky Endpoint Agent, Kaspersky Anti Targeted Attack Platform получает данные, необходимые для заполнения полей Предыдущий путь к ключу, Предыдущее значение параметра, Предыдущий тип параметра, только при интеграции Kaspersky Anti Targeted Attack Platform с приложением Kaspersky Endpoint Agent для Windows версии 3.10 и выше. При интеграции приложения с предыдущими версиями Kaspersky Endpoint Agent указанные поля не будут отображаться в информации о событии.
- Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.
- Раздел Инициатор события:
- Файл – путь к файлу родительского процесса.
По ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Найти события.
- Найти обнаружения.
- Скопировать значение в буфер.
Выполнить задачи:
- MD5 – MD5-хеш файла родительского процесса.
По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Найти события.
- Найти обнаружения.
- Найти на TIP.
- Найти в Хранилище.
- Создать правило запрета.
Скопировать значение в буфер.
- SHA256 – SHA256-хеш файла родительского процесса.
По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Найти события.
- Найти обнаружения.
- Найти на TIP.
- Найти в Хранилище.
- Создать правило запрета.
- Скопировать значение в буфер.
- Файл – путь к файлу родительского процесса.
- Раздел Сведения о системе:
- Имя хоста – имя хоста, на котором было произведено изменение в реестре.
По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Найти события.
- Найти обнаружения.
- Скопировать значение в буфер.
Выполнить задачи:
- Собрать данные → Файл, Форензика, Образ диска, Дамп памяти.
- Завершить процесс.
- Удалить файл.
- Поместить файл на карантин.
- Выполнить приложение.
- IP хоста – IP-адрес хоста, на котором было произведено изменение в реестре.
Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный хосту на момент создания события.
Приложение не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес хоста не отображается.
- Имя пользователя – имя пользователя, совершившего изменение в реестре.
- Версия ОС – версия операционной системы, используемой на хосте.
- Имя хоста – имя хоста, на котором было произведено изменение в реестре.
Вы можете получать информацию о модификации выбранного ключа реестра, отредактировав или заменив конфигурационный файл Kaspersky Anti Targeted Attack Platform. Для редактирования и замены конфигурационного файла приложения требуется обратиться в Службу технической поддержки.
Настоятельно не рекомендуется выполнять какие-либо операции с конфигурационным файлом Kaspersky Anti Targeted Attack Platform в режиме Technical Support Mode без консультации или указания сотрудников Службы технической поддержки.