YARA 警报处理建议

在窗口的右侧部分，建议部分显示您可以遵循的建议，以及与您正在处理的警报具有共同属性的警报或事件的数量。

您可以遵循以下建议：

• 在分类下面，展开查找类似警报列表。

  一个可用于查找类似警报的属性列表、以及每个属性的类似警报的数量将显示。

  选择以下属性之一：

  • 通过 MD5。单击链接即可在新的浏览器选项卡中显示警报警报表。警报按详细信息列、MD5 哈希值筛选。您正在处理的警报中的文件的 MD5 哈希值以黄色突出显示。
  • 通过 SHA256。单击链接即可在新的浏览器选项卡中显示警报警报表。警报按详细信息列、SHA256 哈希值筛选。您正在处理的警报中的文件的 SHA256 哈希值以黄色突出显示。
  • 通过主机名。单击链接即可在新的浏览器选项卡中显示警报警报表。警报按源列筛选。您正在处理的警报中的主机名以黄色突出显示。
  • 通过发件人地址。单击链接即可在新的浏览器选项卡中显示警报警报表。警报按源列筛选。您正在处理的警报中的电子邮件的发件人地址以黄色突出显示。
  • 通过收件人地址。单击链接即可在新的浏览器选项卡中显示警报警报表。警报按目标列筛选。您正在处理的警报中的电子邮件的收件人地址以黄色突出显示。
  • 通过 URL。单击链接即可在新的浏览器选项卡中显示警报警报表。警报按详细信息列、您正在处理的警报的 URL 筛选。
• 在分类下面，选择通过主机名查找类似警报。单击链接在新浏览器选项卡中显示威胁搜索事件表。在搜索条件中，由RemoteIP、MD5、SHA256、URI等选择扫描: 检测处理结果事件类型和配置搜索筛选器。筛选值由您正在处理的警报的属性填充。例如，警报中文件的 MD5 哈希值。

  仅当您使用 KEDR 功能并且已添加 KEDR 授权许可密钥时，该操作才可用。

  Kaspersky Endpoint Detection and Response。Kaspersky Anti Targeted Attack Platform 程序的功能块，为组织的局域网提供保护。

• 在调查下面，选择查找类似事件。单击链接在新浏览器选项卡中显示威胁搜索事件表。在搜索条件中，搜索筛选器由RemoteIP、MD5、SHA256、URI等配置。筛选值由您正在处理的警报的属性填充。例如，警报中文件的 MD5 哈希值。

  仅当您使用 KEDR 功能并且已添加 KEDR 授权许可密钥时，该操作才可用。

• 在快速响应部分，选择隔离<主机名>。这将打开网络隔离规则创建窗口。