Kaspersky Anti Targeted Attack (KATA) Platform

Информация о событии Изменен файл

14 мая 2024

ID 247823

В окне с информацией о событиях типа Изменен файл содержатся следующие сведения:

  • Дерево событий.
  • Рекомендации по обработке события.
  • В зависимости от типа операции, которая была проведена с файлом, в информации о событии отображается одно из следующих названий раздела:
    • Создан файл.
    • Изменен файл.
    • Переименован файл.
    • Удален файл.
    • Изменены атрибуты файла.
    • Прочитан файл.

    В разделе отображается следующая информация:

    • Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.

      По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.

      Поле отображается, если при создании события сработало правило TAA (IOA).

    • Файл – имя созданного, удаленного или измененного файла.
    • MD5 – MD5-хеш созданного, удаленного или измененного файла.
    • SHA256 – SHA256-хеш созданного, удаленного или измененного файла.
    • Размер – размер созданного, удаленного или измененного файла.
    • Время события – время обнаружения события.
    • Время создания – время создания файла.
    • Время изменения – время последнего изменения файла.
    • Предыдущая версия – имя предыдущей версии файла.

      Поле Предыдущая версия отображается в информации о событии только для операции типа Переименован файл.

    • Удалить после перезагрузки – статус файла, предназначенного к удалению.

      Если файл, к которому была применена операция "удалить", открыт в каком-либо приложении или задействован в других процессах, он будет удален по завершении этих процессов после перезагрузки хоста. В этом случае в поле Удалить после перезагрузки отображается Да.

      Если файл, к которому была применена операция "удалить", был удален сразу, в поле Удалить после перезагрузки отображается Нет.

      Поле Удалить после перезагрузки отображается в информации о событии только для операции типа Удален файл.

    Если событие было записано в базу событий приложением Kaspersky Endpoint Security для Linux или Kaspersky Endpoint Security для Mac, в разделе также отображаются следующие поля:

    • Тип файла – расширение созданного, удаленного или измененного файла.
    • Флаги открытия файла – значение флагов открытия созданного, удаленного или измененного файла.
    • Имя пользователя-владельца – имя пользователя, создавшего файл.
    • Имя группы-владельца – название группы, пользователи которой могут изменить или удалить файл.
    • Разрешенные привилегии файла – разрешения, которые могут использоваться для доступа к созданному, удаленному или измененному файлу. Данное поле не отображается, если событие было записано приложением Kaspersky Endpoint Security для Mac.
    • Наследуемые привилегии файла – разрешения, которые есть у группы пользователей для выполнения операций с родительским каталогом созданного, удаленного или измененного файла. Данное поле не отображается, если событие было записано приложением Kaspersky Endpoint Security для Mac.
    • Актуальные привилегии файла – разрешения, которые актуальны для созданного или измененного файла на данный момент. Данное поле не отображается, если событие было записано приложением Kaspersky Endpoint Security для Mac.
  • Раздел Инициатор события:
    • Файл – путь к файлу родительского процесса.
    • MD5 – MD5-хеш файла родительского процесса.
    • SHA256 – SHA256-хеш файла родительского процесса.

    Если событие было записано в базу событий приложением Kaspersky Endpoint Security для Linux или Kaspersky Endpoint Security для Mac, в разделе Инициатор события также отображаются следующие поля:

    • Переменные окружения – переменные окружения процесса.
    • Настоящее имя пользователя – имя пользователя, назначенное ему при регистрации в системе.
    • Настоящее имя группы – группа, к которой принадлежит пользователь.
    • Действующее имя пользователя – имя пользователя, которое было использовано для входа в систему.
    • Действующее имя группы – группа, к которой принадлежит пользователь, имя которого использовалось для входа в систему.
  • Раздел Сведения о системе:
    • Имя хоста – имя хоста, на котором был создан файл.
    • IP хоста – IP-адрес хоста, на котором был создан файл.

      Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный хосту на момент создания события.

      Приложение не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес хоста не отображается.

    • Имя пользователя – имя пользователя, создавшего файл.
    • Версия ОС – версия операционной системы, используемой на хосте.

    Если событие было записано в базу событий приложением Kaspersky Endpoint Security для Linux или Kaspersky Endpoint Security для Mac, в разделе Сведения о системе также отображается поле Вход с удаленного хоста – имя хоста, с которого был совершен удаленный вход в систему.

По ссылке с именем файла или путем к файлу в разделе со сведениями о файле, с которым была произведена операция, раскрывается список, в котором вы можете выбрать одно из следующих действий:

По ссылке с именем файла или путем к файлу в разделе Инициатор события раскрывается список, в котором вы можете выбрать одно из следующих действий:

В информации о событии, записанном в базу событий приложением Kaspersky Endpoint Security для Linux или Kaspersky Endpoint Security для Mac, по ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:

По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

  • Найти события.
  • Найти обнаружения.
  • Выполнить задачи:
  • Скопировать значение в буфер.

В информации о событии, записанном в базу событий приложением Kaspersky Endpoint Security для Linux или Kaspersky Endpoint Security для Mac, по ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:

По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:

  • Найти события.
  • Найти обнаружения.
  • Найти на TIP.
  • Найти в Хранилище.
  • Создать правило запрета.
  • Скопировать значение в буфер.

По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:

См. также

Информация о событиях

Рекомендации по обработке событий

Информация о событиях в дереве событий

Просмотр таблицы событий

Настройка отображения таблицы событий

Просмотр информации о событии

Информация о событии Запущен процесс

Информация о событии Завершен процесс

Информация о событии Загружен модуль

Информация о событии Удаленное соединение

Информация о событии Правило запрета

Информация о событии Заблокирован документ

Информация о событии Журнал событий ОС

Информация о событии Изменение в реестре

Информация о событии Прослушан порт

Информация о событии Загружен драйвер

Информация о событии Обнаружение

Информация о событии Результат обработки обнаружения

Информация о событии Интерпретированный запуск файла

Информация о событии AMSI-проверка

Информация о событии Интерактивный ввод команд в консоли

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!