有关“注册表更改”事件的信息
显示注册表已修改事件信息的窗口包含以下详细信息:
- 事件树。
- 事件处理建议。
- 注册表已修改部分:
- IOA 标记— 有关使用 Targeted Attack Analyzer 技术进行文件分析的结果的信息:用于创建警报的 TAA (IOA) 规则的名称。
单击链接可显示有关 TAA (IOA) 规则的信息。如果规则是由卡巴斯基专家提供的,则它包含有关触发的MITRE 技术的信息以及对事件进行反应的建议。
如果在创建事件时触发了 TAA (IOA) 规则,则会显示该字段。
- 密钥路径是被修改的注册表项的路径
- 值名称:例如,RegistrySizeLimit
- 值数据是注册表项的值
- 值类型:例如,REG_DWORD
- 事件时间是修改注册表的时间。
更改注册表项的名称或值时,您可能会看到其他字段,其中包含有关注册表项修改之前的状态的信息:
- 之前的密钥路径字段在注册表项名称被修改时显示。
- 之前的值数据字段在注册表值被修改时显示。
- 之前的值类型字段在注册表值的类型被修改时显示。
如果您使用 Kaspersky Endpoint Agent 作为 Endpoint Agent 组件,则仅当 Kaspersky Anti Targeted Attack Platform 与 Kaspersky Endpoint Agent for Windows 应用程序版本 3.10 及更高版本集成时,Kaspersky Anti Targeted Attack Platform 才会收到填充之前的密钥路径、之前的值数据、之前的值类型字段所需的数据。将应用程序与旧版本的 Kaspersky Endpoint Agent 集成时,这些字段不会显示在事件信息中。
- IOA 标记— 有关使用 Targeted Attack Analyzer 技术进行文件分析的结果的信息:用于创建警报的 TAA (IOA) 规则的名称。
- 事件发起者部分:
- 文件 — 父进程文件的路径。
单击具有文件名称或文件路径的链接将打开一个列表,您可以在其中选择以下操作之一:
运行以下任务:
- MD5 — 父进程文件的 MD5 哈希。
单击 MD5 链接将打开一个列表,您可以从其中选择以下操作之一:
- 查找事件。
- 查找警报。
- 在 Kaspersky TIP 上查找。
- 在存储中查找。
- 创建防止规则。
复制值到剪贴板。
- SHA256 — 父进程文件的 SHA256 哈希。
单击 SHA256 链接将打开一个列表,您可以从其中选择以下操作之一:
- 查找事件。
- 查找警报。
- 在 Kaspersky TIP 上查找。
- 在存储中查找。
- 创建防止规则。
- 复制值到剪贴板。
- 文件 — 父进程文件的路径。
- 系统信息部分:
您可以通过编辑或替换 Kaspersky Anti Targeted Attack Platform 配置文件来查看有关所选注册表项修改的信息。如需编辑或替换应用程序的配置文件,您必须联系技术支持。
强烈建议您在未经技术支持人员咨询或说明的情况下,不要在技术支持模式下对 Kaspersky Anti Targeted Attack Platform 执行任何操作。