有关“AMSI 扫描”事件的信息
有关“AMSI 扫描”事件的信息
显示AMSI 扫描事件信息的窗口包含以下详细信息:
- 事件树。
- 事件处理建议。
- 在AMSI 扫描部分:
- IOA 标记— 有关使用 Targeted Attack Analyzer 技术进行文件分析的结果的信息:用于创建警报的 TAA (IOA) 规则的名称。
单击链接可显示有关 TAA (IOA) 规则的信息。如果规则是由卡巴斯基专家提供的,则它包含有关触发的MITRE 技术的信息以及对事件进行反应的建议。
如果在创建事件时触发了 TAA (IOA) 规则,则会显示该字段。
- 事件时间 — 事件的日期和时间。
- 内容类型 — 脚本类型。
应用程序提供两种类型的脚本:
- 如果脚本以文本形式呈现,则内容类型字段显示文本脚本类型。
- 如果脚本以其他格式呈现,则内容类型字段显示二进制脚本类型。
- 内容— 被发送进行扫描的脚本的内容。
如果数据以文本形式呈现,您可以单击复制到剪贴板复制此数据;如果数据有不同的格式,单击保存到文件下载包含数据的文件。
如果应用程序注意到针对性攻击迹象,则内容字段会显示在事件信息中。
- IOA 标记— 有关使用 Targeted Attack Analyzer 技术进行文件分析的结果的信息:用于创建警报的 TAA (IOA) 规则的名称。
- 在事件发起者部分:
- 文件 — 父进程文件的路径。
单击具有文件名称或文件路径的链接将打开一个列表,您可以在其中选择以下操作之一:
运行以下任务:
- MD5 — 父进程文件的 MD5 哈希。
单击 MD5 链接将打开一个列表,您可以从其中选择以下操作之一:
- 查找事件。
- 查找警报。
- 在 Kaspersky TIP 上查找。
- 在存储中查找。
- 创建防止规则。
- 复制值到剪贴板。
- SHA256 — 父进程文件的 SHA256 哈希。
单击 SHA256 链接将打开一个列表,您可以从其中选择以下操作之一:
- 查找事件。
- 查找警报。
- 在 Kaspersky TIP 上查找。
- 在存储中查找。
- 创建防止规则。
- 复制值到剪贴板。
- 文件 — 父进程文件的路径。
- 在系统信息部分:
Did you find this article helpful?
What can we do better?
Thank you for your feedback! You're helping us improve.
Thank you for your feedback! You're helping us improve.