查看事件表
事件表在事件数据库中的威胁搜寻完成后显示在应用程序 Web 界面窗口的威胁搜索部分。您可以按事件时间、事件类型、主机和用户名称列对表中的事件进行排序。
如果您使用分布式解决方案和多租户模式,表中的事件将按所选服务器和租户的主机进行分组。
事件表包含以下信息:
- 事件时间 — 检测到事件的日期和时间。
- 事件类型,例如,进程已启动。
- 主机名称 — 生成警报的主机名称。
- 详细信息 — 有关事件的信息。
- 用户名称 — 具有端点代理组件的计算机上的用户名称,其用户账户被用于检测事件。
在事件表中,详细信息列在事件类型列中显示每种类型事件的数据集(见下表)。
事件类型列中每个事件类型的详细信息列中的数据集
事件类型 | 详细信息 |
|---|---|
进程已启动 | 已启动的进程文件的名称。SHA256 和 MD5 哈希。 |
模块已加载 | 已加载的动态库的名称。SHA256 和 MD5 哈希。 |
到远程主机的连接 | 进行远程连接尝试的 URL。尝试建立远程连接的文件的名称。 |
阻止的应用程序(防止规则) | 阻止启动的应用程序文件的名称。SHA256 和 MD5 哈希。 |
文件已阻止 | 阻止启动的文档的名称。SHA256 和 MD5 哈希。 |
文件已更改 | 创建的文件的名称。SHA256 和 MD5 哈希。 |
系统事件日志 | 用于在系统日志中记录事件的通道。事件类型 ID。 |
注册表已修改 | 注册表中键的名称。 |
监听的端口 | 服务器地址和端口。监听端口的进程文件的名称。 |
驱动程序已加载 | 加载的驱动程序的文件名。SHA256 和 MD5 哈希。 |
扫描: 检测 | 警报 |
扫描: 检测处理结果 | 警报处理结果 |
AMSI 扫描 | AMSI 扫描结果 |
过程: 解释文件运行 | 文件的解释运行 |
过程: 控制台交互式输入 | 在控制台中交互输入命令 |
如果您使用 Kaspersky Endpoint Agent 作为端点代理组件,当 Kaspersky Anti Targeted Attack Platform 与 Kaspersky Endpoint Agent for Windows 3.10 或更高版本集成时以及当 Kaspersky Endpoint Agent 与 Kaspersky Endpoint Security for Windows 11.5 或更高版本集成时,有关AMSI 扫描事件的信息可用。如果计算机上未安装 Kaspersky Endpoint Security for Windows 且未与 Kaspersky Endpoint Agent 集成,则有关AMSI 扫描事件的信息不会记录在事件数据库中,也不会显示在 Kaspersky Anti Targeted Attack Platform Web 界面中。
如果 Kaspersky Endpoint Agent 被用作端点代理组件,则中央节点服务器会基于从 EPP 应用程序接收的数据的事件生成扫描: 检测和扫描: 检测处理结果。如果计算机上未安装 EPP 应用程序且未与 Kaspersky Endpoint Agent 集成,则有关这些事件的信息不会记录在事件数据库中,也不会显示在 Kaspersky Anti Targeted Attack Platform Web 界面中。
单击包含事件类型名称、数据、其他信息和用户名的链接将打开一个列表,您可以从其中选择要在对象上执行的操作。根据单元格中的值,您可以执行以下操作之一:
- 对于单元格中的所有值:
- 按照此值进行过滤。
- 从过滤器中排除。
- 复制值到剪贴板。
- 主机名称:
- 文件名:
- MD5 哈希:
- SHA256 哈希值: