有关“进程已启动”事件的信息
显示进程已启动事件信息的窗口包含以下详情:
- 事件树。
- 事件处理建议。
- 进程已启动部分:
- IOA 标记— 有关使用 Targeted Attack Analyzer 技术进行文件分析的结果的信息:用于创建警报的 TAA (IOA) 规则的名称。
单击链接可显示有关 TAA (IOA) 规则的信息。如果规则是由卡巴斯基专家提供的,则它包含有关触发的MITRE 技术的信息以及对事件进行反应的建议。
如果在创建事件时触发了 TAA (IOA) 规则,则会显示该字段。
- 文件 — 进程文件名。
- 进程 ID — 进程标识符。
- 启动参数 — 进程启动设置。
如果事件由 Kaspersky Endpoint Security for Linux 或 Kaspersky Endpoint Security for Mac记录在事件数据库中而不是启动参数字段中,则显示命令字段,即用于运行进程的命令。
- MD5 — 进程文件的 MD5 哈希。
- SHA256 — 进程文件的 MD5 哈希。
- 大小 — 进程文件的大小。
- 事件时间 — 进程启动时间。
- 创建时间 — 进程文件的创建时间。
- 修改时间 — 进程文件的上次修改时间。
- IOA 标记— 有关使用 Targeted Attack Analyzer 技术进行文件分析的结果的信息:用于创建警报的 TAA (IOA) 规则的名称。
- 详细信息部分:
- 应用程序名称 — 例如,操作系统的名称。
- 供应商 — 例如,操作系统的供应商。
- 文件描述 — 例如,示例文件。
- 原始文件名 — 例如,ExampleFile.exe。
- 签名主题 — 颁发文件数字证书的组织。
- 签名验证结果 — 例如,“无效”或“正常”。
- 属性 — 根据 Windows 分类的文件属性。例如,A(存档)、D(目录)或 S(系统文件)。
如果事件由 Kaspersky Endpoint Security for Linux 或 Kaspersky Endpoint Security for Mac记录在事件数据库中,则详细信息部分还包括以下字段:
- 属性 — 进程文件的属性。
- 进程类型 — 例如,exec。
- 环境变量 — 进程的环境变量。
- 真实用户名 — 在系统中注册时指定的用户名称。
- 真实组名称 — 用户所属的组。
- 有效用户名 — 用于登录系统的用户名。
- 有效组名称 — 名称被用于登录系统的用户组。
- 所有者用户名 — 创建了进程文件的用户的名称。
- 所有者组名 — 其用户可以修改或删除进程文件的组的名称。
- 文件允许的功能 — 可用于访问进程文件的权限。如果事件由 Kaspersky Endpoint Security for Mac 记录,则此字段不会显示。
- 文件可继承功能 — 用户组对进程文件的父目录执行操作的权限。如果事件由 Kaspersky Endpoint Security for Mac 记录,则此字段不会显示。
- 文件有效能力 — 当前与流程文件相关的权限。如果事件由 Kaspersky Endpoint Security for Mac 记录,则此字段不会显示。
- 事件发起者部分:
- 文件 — 父进程文件的路径。
- 进程 ID — 父进程的标识符。
- 启动参数 — 父进程启动设置。
如果事件由 Kaspersky Endpoint Security for Linux 或 Kaspersky Endpoint Security for Mac记录在事件数据库中而不是启动参数字段中,则显示命令字段,即用于运行父进程的命令。
- MD5 — 父进程文件的 MD5 哈希。
- SHA256 — 父进程文件的 SHA256 哈希。
- 系统信息部分:
- 主机名称 — 启动了进程的主机的名称。
- 主机 IP — 启动了进程的主机的 IP 地址。
如果您使用动态 IP 地址,该字段将显示创建事件时分配给主机的 IP 地址。
该应用程序不支持 IPv6。如果您使用 IPv6,则不会显示主机的 IP 地址。
- 用户账户类型 — 运行进程的账户的类型。例如,管理员。
- 登录类型 — 例如,使用正在运行的服务。
- 用户名称 — 启动该进程的用户的名称。
- 操作系统版本 — 主机上正在使用的操作系统的版本。
如果事件由 Kaspersky Endpoint Security for Linux 或 Kaspersky Endpoint Security for Mac记录在事件数据库中,则系统信息部分还显示从其执行远程登录的主机名称的从远程主机登录字段。
单击具有文件名称或文件路径的链接将打开一个列表,您可以在其中选择以下操作之一:
在 Kaspersky Endpoint Security for Linux 或 Kaspersky Endpoint Security for Mac 在事件数据库中记录的事件信息中,您可以单击包含文件名或文件路径的链接以打开一个列表,您可以在其中选择以下操作之一:
单击具有主机名的链接将打开一个列表,您可以从其中选择以下操作之一:
在 Kaspersky Endpoint Security for Linux 或 Kaspersky Endpoint Security for Mac 在事件数据库中记录的事件信息中,您可以单击包含主机名称的链接以展开一个列表,您可以在其中选择以下操作之一:
单击 MD5 链接将打开一个列表,您可以从其中选择以下操作之一:
- 查找事件。
- 查找警报。
- 在 Kaspersky TIP 上查找。
- 在存储中查找。
- 创建防止规则。
- 复制值到剪贴板。
单击 SHA256 链接将打开一个列表,您可以从其中选择以下操作之一:
- 查找事件。
- 查找警报。
- 在 Kaspersky TIP 上查找。
- 在 virustotal.com 上查找。
- 在存储中查找。
- 创建防止规则。
- 复制值到剪贴板。