有关“文件已修改”事件的信息

显示文件已更改事件信息的窗口包含以下详情：

• 事件树。
• 事件处理建议。
• 根据对文件执行的操作类型，事件信息中会显示以下部分名称之一：
  • 文件已创建。
  • 文件已修改。
  • 文件已重命名。
  • 文件已删除。
  • 文件属性已修改。
  • 文件读取。

  该部分显示以下信息：

  • IOA 标记— 有关使用 Targeted Attack Analyzer 技术进行文件分析的结果的信息：用于创建警报的 TAA (IOA) 规则的名称。

    单击链接可显示有关 TAA (IOA) 规则的信息。如果规则是由卡巴斯基专家提供的，则它包含有关触发的MITRE 技术的信息以及对事件进行反应的建议。

    MITRE ATT&CK （对抗策略、技术和常识）数据库包含基于真实攻击分析的黑客行为描述。它是以表格形式表示的已知黑客技术的结构化列表。

    如果在创建事件时触发了 TAA (IOA) 规则，则会显示该字段。

  • 文件 — 已创建、删除或修改的文件的名称。
  • MD5 — 已创建、删除或修改的文件的 MD5 哈希。
  • SHA256 — 已创建、删除或修改的文件的 SHA256 哈希值。
  • 大小 — 已创建、删除或修改的文件的大小。
  • 事件时间 — 检测到事件的时间。
  • 创建时间 — 创建文件的时间。
  • 修改时间 — 文件的上次修改时间。
  • 以前的版本 — 先前版本文件的名称。

    以前的版本字段仅为文件已重命名类型的操作显示在事件详细信息中。

  • 重启后删除文件 — 要删除的文件的状态。

    如果应用了“删除”操作的文件被在任何应用程序中打开或被其他进程使用，则当这些进程在主机重新启动后终止时，该文件将被删除。在这种情况下，重启后删除文件显示是。

    如果应用了“删除”操作的文件被立即删除，则重启后删除文件字段显示否。

    重启后删除文件字段仅为文件已删除类型的操作显示在事件详细信息中。

  如果事件由 Kaspersky Endpoint Security for Linux 或 Kaspersky Endpoint Security for Mac记录在事件数据库中，则该部分还包括以下字段：

  • 文件类型 — 已创建、删除或修改的文件的扩展名。
  • 文件打开标志 — 已创建、删除或修改的文件的打开标志的值。
  • 所有者用户名 — 创建了文件的用户的名称。
  • 所有者组名 — 其用户可以修改或删除文件的组的名称。
  • 文件允许的功能 — 可用于访问已创建、删除或修改的文件的权限。如果事件由 Kaspersky Endpoint Security for Mac 记录，则此字段不会显示。
  • 文件可继承功能 — 用户组对已创建、删除或修改的文件的父目录执行操作的权限。如果事件由 Kaspersky Endpoint Security for Mac 记录，则此字段不会显示。
  • 文件有效能力 — 当前与已创建、删除或修改的文件相关的权限。如果事件由 Kaspersky Endpoint Security for Mac 记录，则此字段不会显示。
• 事件发起者部分：
  • 文件 — 父进程文件的路径。
  • MD5 — 父进程文件的 MD5 哈希。
  • SHA256 — 父进程文件的 SHA256 哈希。

  如果事件由 Kaspersky Endpoint Security for Linux 或 Kaspersky Endpoint Security for Mac记录在事件数据库中，则事件发起者部分还包括以下字段：

  • 环境变量 — 进程的环境变量。
  • 真实用户名 — 在系统中注册时指定的用户名称。
  • 真实组名称 — 用户所属的组。
  • 有效用户名 — 用于登录系统的用户名。
  • 有效组名称— 名称被用于登录系统的用户组。
• 系统信息部分：
  • 主机名称 — 创建文件的主机的名称。
  • 主机 IP — 在其上创建文件的主机的 IP 地址。

    如果您使用动态 IP 地址，该字段将显示创建事件时分配给主机的 IP 地址。

    该应用程序不支持 IPv6。如果您使用 IPv6，则不会显示主机的 IP 地址。

  • 用户名称 — 创建了文件的用户的名称。
  • 操作系统版本— 主机上正在使用的操作系统的版本。

  如果事件由 Kaspersky Endpoint Security for Linux 或 Kaspersky Endpoint Security for Mac记录在事件数据库中，则系统信息部分还显示从其执行远程登录的主机名称的从远程主机登录字段。

在包含执行操作的文件信息的部分中单击包含文件名或文件路径的链接将打开一个列表，您可以在其中选择以下操作之一：

• 查找事件。
• 查找警报。
• 运行以下任务：
  • 删除文件。
  • 获取文件。
  • 进行取证。
  • 隔离文件。
• 复制值到剪贴板。

单击事件发起者部分中包含文件名或文件路径的链接将打开一个列表，您可以在其中选择以下操作之一：

• 查找事件。
• 查找警报。
• 运行以下任务：
  • 杀死进程。
  • 使用唯一的 PID 杀死进程。
  • 删除文件。
  • 获取文件。
  • 进行取证。
  • 隔离文件。
• 复制值到剪贴板。

在 Kaspersky Endpoint Security for Linux 或 Kaspersky Endpoint Security for Mac 在事件数据库中记录的事件信息中，您可以单击包含文件名或文件路径的链接以打开一个列表，您可以在其中选择以下操作之一:

• 查找事件。
• 查找警报。
• 运行获取文件任务。
• 复制值到剪贴板。

单击具有主机名的链接将打开一个列表，您可以从其中选择以下操作之一：

• 查找事件。
• 查找警报。
• 运行以下任务：
  • 获取数据 → 文件、取证、磁盘镜像、内存转储。
  • 杀死进程。
  • 删除文件。
  • 隔离文件。
  • 运行应用程序。
• 复制值到剪贴板。

在 Kaspersky Endpoint Security for Linux 或 Kaspersky Endpoint Security for Mac 在事件数据库中记录的事件信息中，您可以单击包含主机名称的链接以展开一个列表，您可以在其中选择以下操作之一:

• 查找事件。
• 查找警报。
• 运行以下任务：
  • 获取文件。
  • 运行应用程序。
• 复制值到剪贴板。

单击 MD5 链接将打开一个列表，您可以从其中选择以下操作之一：

• 查找事件。
• 查找警报。
• 在 Kaspersky TIP 上查找。

  卡巴斯基信息系统 包含并显示文件和 URL 地址的信誉信息。

• 在存储中查找。
• 创建防止规则。
• 复制值到剪贴板。

单击 SHA256 链接将打开一个列表，您可以从其中选择以下操作之一：

• 查找事件。
• 查找警报。
• 在 Kaspersky TIP 上查找。
• 在 virustotal.com 上查找。
• 在存储中查找。
• 创建防止规则。
• 复制值到剪贴板。