事件处理建议

事件窗口在事件树和具有高级安全官角色的用户的信息文本之间的框中显示事件处理建议。

您可以遵循以下建议：

• 隔离<主机名> –将在其中检测到事件的具有 Endpoint Agent 组件的主机从网络隔离。适用于所有事件类型。
• 创建防止规则–禁止执行在事件中检测到的文件。适用于所有事件类型，除了系统事件日志。
• 创建任务 — 创建一个任务。适用于所有事件类型，除了系统事件日志。

此外，您可以通过单击包含文件名称、路径、MD5 或 SHA256 哈希值以及主机名的链接来处理事件，同时在窗口下部查看有关事件的文本信息。

单击具有文件名称或文件路径的链接将打开一个列表，您可以在其中选择以下操作之一：

• 查找事件。
• 查找警报。
• 运行以下任务：
  • 杀死进程。
  • 使用唯一的 PID 杀死进程。
  • 删除文件。
  • 获取文件。
  • 进行取证。
  • 隔离文件。
• 复制值到剪贴板。

单击 MD5 链接将打开一个列表，您可以从其中选择以下操作之一：

• 按照此值进行过滤。
• 从过滤器中排除。
• 在 Kaspersky TIP 上查找。

  卡巴斯基信息系统 包含并显示文件和 URL 地址的信誉信息。

• 查找事件。
• 查找警报。
• 复制值到剪贴板。

单击 SHA256 链接将打开一个列表，您可以从其中选择以下操作之一：

• 查找事件。
• 查找警报。
• 在 Kaspersky TIP 上查找。
• 在 virustotal.com 上查找。
• 在存储中查找。
• 创建防止规则。
• 复制值到剪贴板。

单击具有主机名的链接将打开一个列表，您可以从其中选择以下操作之一：

• 查找事件。
• 查找警报。
• 运行以下任务：
  • 杀死进程。
  • 删除文件。
  • 获取文件。
  • 进行取证。
  • 隔离文件。
  • 运行应用程序。
• 复制值到剪贴板。

具有安全审计员和安全官角色的用户不会被显示事件处理建议。