Информация о событии Обнаружение
В окне с информацией о событии типа Обнаружение содержатся следующие сведения:
- Дерево событий.
- Рекомендации по обработке события.
- На закладке Сведения в разделе Обнаружение:
- Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.
По ссылке открывается информация о правиле TAA (IOA). Если правило предоставлено специалистами "Лаборатории Касперского", то оно содержит сведения о сработавшей технике MITRE, а также рекомендации по реагированию на событие.
Поле отображается, если при создании события сработало правило TAA (IOA).
- Обнаружено – имя обнаруженного объекта.
По ссылке с именем объекта раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Найти события.
- Просмотреть на Kaspersky Threats.
- Скопировать значение в буфер.
- Последнее действие – последнее действие над обнаруженным объектом.
- Имя объекта – полное имя файла, в котором обнаружен объект.
- MD5 – MD5-хеш файла, в котором обнаружен объект.
- SHA256 – SHA256-хеш файла, в котором обнаружен объект.
- Тип объекта – тип объекта (например, файл).
- Режим обнаружения – режим проверки, в котором выполнено обнаружение.
- Время события – дата и время события.
- ID записи – идентификатор записи об обнаружении в базе.
- Версия баз – версия баз, с помощью которых выполнено обнаружение.
- Содержание – содержание скрипта, переданного на проверку.
Вы можете скачать эти данные, нажав на кнопку Сохранить в файл.
- Теги IOA – информация о результатах исследования файла с помощью технологии Targeted Attack Analyzer: название правила TAA (IOA), по которому было выполнено обнаружение.
- На закладке Сведения в разделе Инициатор события:
- Файл – путь к файлу родительского процесса.
По ссылкам с именем файла или путем к файлу раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Найти события.
- Найти обнаружения.
- Скопировать значение в буфер.
Выполнить задачи:
- ID процесса – идентификатор родительского процесса.
- Параметры запуска – параметры запуска родительского процесса.
- MD5 – MD5-хеш файла родительского процесса.
- SHA256 – SHA256-хеш файла родительского процесса.
- Файл – путь к файлу родительского процесса.
- На закладке Сведения в разделе Сведения о системе:
- Имя хоста – имя хоста, на котором выполнено обнаружение.
По ссылке с именем хоста раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Найти события.
- Найти обнаружения.
- Скопировать значение в буфер.
Выполнить задачи:
- Собрать данные → Файл, Форензика, Образ диска, Дамп памяти.
- Завершить процесс.
- Удалить файл.
- Поместить файл на карантин.
- Выполнить приложение.
- IP хоста – IP-адрес хоста, на котором выполнено обнаружение.
Если вы используете динамические IP-адреса, в поле отображается IP-адрес, присвоенный хосту на момент создания события.
Приложение не поддерживает работу с IPv6. Если вы используете IPv6, IP-адрес хоста не отображается.
- Имя пользователя – учетная запись пользователя, от имени которой было совершено действие над обнаруженным объектом.
- Версия ОС – версия операционной системы, используемой на хосте.
- Имя хоста – имя хоста, на котором выполнено обнаружение.
- На закладке История в таблице:
- Тип – тип события: Обнаружение или Результат обработки обнаружения.
- Описание – описание события.
- Время – дата и время обнаружения и результата обработки обнаружения.
По ссылке MD5 раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Найти события.
- Найти обнаружения.
- Найти на Kaspersky TIP.
- Найти в Хранилище.
- Создать правило запрета.
- Скопировать значение в буфер.
По ссылке SHA256 раскрывается список, в котором вы можете выбрать одно из следующих действий:
- Найти события.
- Найти обнаружения.
- Найти на Kaspersky TIP.
- Найти на virustotal.com.
- Найти в Хранилище.
- Создать правило запрета.
- Скопировать значение в буфер.