扫描结果部分中的信息
扫描结果部分可以显示以下警报扫描结果:
- 生成警报的应用程序模块或组件的名称。
- 检测到的对象的一个或多个类别。例如,可以显示病毒名称:Virus.Win32.Chiton.i。
- 生成警报的 Kaspersky Anti Targeted Attack Platform 模块和组件的数据库版本。
- 应用程序模块或组件执行的警报扫描结果:
- YARA — 对 Central Node 接收的文件和对象进行流式扫描的结果,或扫描带有 Endpoint Agent 组件的主机的结果。可能值:
- 在 YARA 规则下检测到的文件的类别(例如:可能会显示 susp_fake_Microsoft_signer 类别名称)。
对于流式扫描显示。
单击创建防止规则以防止文件运行。
在 Kaspersky TIP 上查找按钮允许在 Kaspersky Threat Intelligence Portal 上查找文件。
- 文件路径和/或内存转储的名称。
使用 Kaspersky Endpoint Agent 组件扫描主机时显示。
单击具有文件路径的链接将打开一个列表,您可以在其中选择以下操作之一:
您可以单击创建任务创建以下任务:
单击创建防止规则以防止文件运行。
在 Kaspersky TIP 上查找按钮允许在 Kaspersky Threat Intelligence Portal 上查找文件。
您可以单击在隔离区查看以显示隔离对象的详细信息。
- 在 YARA 规则下检测到的文件的类别(例如:可能会显示 susp_fake_Microsoft_signer 类别名称)。
- SB (Sandbox) — Sandbox 组件执行的文件行为分析的结果。
您可以单击Sandbox 检测打开一个窗口,其中包含有关文件行为分析结果的详细信息。
在 Kaspersky TIP 上查找按钮允许在 Kaspersky Threat Intelligence Portal 上查找文件。
单击创建防止规则以防止文件运行。
您可以通过单击下载调试信息下载所有操作系统中文件行为分析的详细日志。
该文件以用密码“infected”加密的 ZIP 存档的形式下载。存档内的已扫描文件的名称被文件的 MD5 哈希所替换。不显示存档内文件的文件扩展名。
默认状态下,用于存储文件行为扫描日志的最大硬盘空间在所有操作系统上均为 300 GB。达到这一限制后,应用程序将删除旧的文件行为扫描日志,并用新日志替换。
- URL (URL 信誉)是恶意、网络钓鱼 URL 或攻击者先前用于对企业 IT 基础架构进行针对性攻击的 URL 的类别。
- IDS (入侵检测系统)是基于入侵检测系统数据库或用于创建警报的 IDS 用户规则名称的检测对象的类别。例如,显示的类别可以是 Trojan-Clicker.Win32.Cycler.a。
单击该链接可显示卡巴斯基威胁数据库中对象的类别。
- AM (反恶意软件引擎) — 根据反病毒数据库检测到的对象的类别。例如,可以显示病毒名称:Virus.Win32.Chiton.i。
单击该链接可显示卡巴斯基威胁数据库中对象的类别。
在 Kaspersky TIP 上查找按钮允许在 Kaspersky Threat Intelligence Portal 上查找文件。
单击创建防止规则以防止文件运行。
单击下载将文件下载到计算机的硬盘上。
- TAA (针对性攻击分析器) — 有关使用针对性攻击分析器技术进行文件分析的结果的信息:用于创建警报的 TAA (IOA) 规则的名称。
单击链接可显示有关 TAA (IOA) 规则的信息。如果规则是由卡巴斯基专家提供的,则它包含有关触发的MITRE 技术的信息以及对事件进行反应的建议。
- IOC — 用于创建警报的 IOC 文件的名称。
选择 IOC 文件以打开包含IOC 扫描结果的窗口。
单击所有与警报相关的事件在新浏览器选项卡中显示威胁搜索事件表。在搜索条件中配置搜索筛选器,例如按MD5 、 FileFullName。筛选值由您正在处理的警报的属性填充。例如,警报中文件的 MD5 哈希值。
- YARA — 对 Central Node 接收的文件和对象进行流式扫描的结果,或扫描带有 Endpoint Agent 组件的主机的结果。可能值: