有关“端口被侦听”事件的信息

显示监听的端口事件信息的窗口包含以下详细信息：

• 事件树。
• 事件处理建议。
• 监听的端口部分：
  • IOA 标记— 有关使用 Targeted Attack Analyzer 技术进行文件分析的结果的信息：用于创建警报的 TAA (IOA) 规则的名称。

    单击链接可显示有关 TAA (IOA) 规则的信息。如果规则是由卡巴斯基专家提供的，则它包含有关触发的MITRE 技术的信息以及对事件进行反应的建议。

    MITRE ATT&CK （对抗策略、技术和常识）数据库包含基于真实攻击分析的黑客行为描述。它是以表格形式表示的已知黑客技术的结构化列表。

    如果在创建事件时触发了 TAA (IOA) 规则，则会显示该字段。

  • 本地端口 — 被监听的端口。
  • 本地 IP — 端口被监听的网络接口的 IP 地址。
  • 事件时间 — 端口监听时间。
• 事件发起者部分：
  • 文件 — 父进程文件的路径。

    单击具有文件名称或文件路径的链接将打开一个列表，您可以在其中选择以下操作之一：

    • 查找事件。
    • 查找警报。
    • 复制值到剪贴板。

    运行以下任务：

    • 杀死进程。
    • 使用唯一的 PID 杀死进程。
    • 删除文件。
    • 获取文件。
    • 进行取证。
    • 隔离文件。
  • MD5 — 父进程文件的 MD5 哈希。

    单击 MD5 链接将打开一个列表，您可以从其中选择以下操作之一：

    • 查找事件。
    • 查找警报。
    • 在 Kaspersky TIP 上查找。

      卡巴斯基信息系统 包含并显示文件和 URL 地址的信誉信息。

    • 在存储中查找。
    • 创建防止规则。
    • 复制值到剪贴板。
  • SHA256 — 父进程文件的 SHA256 哈希。

    单击 SHA256 链接将打开一个列表，您可以从其中选择以下操作之一：

    • 查找事件。
    • 查找警报。
    • 在 Kaspersky TIP 上查找。
    • 在存储中查找。
    • 创建防止规则。
    • 复制值到剪贴板。
• 系统信息部分：
  • 主机名称 — 端口被监听的主机的名称。

    单击具有主机名的链接将打开一个列表，您可以从其中选择以下操作之一：

    • 查找事件。
    • 查找警报。
    • 复制值到剪贴板。

    运行以下任务：

    • 获取数据 → 文件、取证、磁盘镜像、内存转储。
    • 杀死进程。
    • 删除文件。
    • 隔离文件。
    • 运行应用程序。
  • 主机 IP— 端口被监听的主机的 IP 地址。

    如果您使用动态 IP 地址，该字段将显示创建事件时分配给主机的 IP 地址。

    该应用程序不支持 IPv6。如果您使用 IPv6，则不会显示主机的 IP 地址。

  • 用户名称 — 账户用于监听端口的用户的名称。
  • 操作系统版本 — 主机上正在使用的操作系统的版本。