技术支持

企业产品

Kaspersky Anti Targeted Attack (KATA) Platform

对于安全人员:应用程序 Web 界面使用入门

查看警报表
Kaspersky Anti Targeted Attack (KATA) Platform
Online Help
Advice & Solutions FAQ Download Forum Contact support

查看警报表

2024年6月26日

ID 247887

另存为 PDF

Kaspersky Anti Targeted Attack Platform 对以下源的数据进行处理:

  • 企业 LAN 上的镜像流量(HTTP、FTP 和 DNS 协议)。
  • HTTP、FTP 流量以及 HTTPS 流量(如果管理员在代理服务器上配置了 SSL 证书更换)。
  • 通过 POP3 或 SMTP 协议接收的电子邮件副本,以及从 Kaspersky Secure Mail Gateway 或 Kaspersky Security for Linux 邮件服务器收到的电子邮件副本(如果它们正在您的组织中使用)。
  • 有关运行进程、活动网络连接和已修改的文件的信息,接收自从属于企业 IT 基础构架的单个计算机。

Kaspersky Anti Targeted Attack Platform 使用警报表来显示检测到的针对性攻击和入侵企业 IT 基础架构的迹象。

警报表不会显示至少满足以下条件之一的对象的信息:

  • 该对象在 KSN 数据库中具有受信任信誉。
  • 该对象由以下可信供应商进行数字签名:
    • 卡巴斯基。
    • 谷歌。
    • 苹果。
    • 微软。

有关这些警报的信息保存在应用程序数据库中(在 Central Node 或 SCN 上)。

当达到允许的最大警报数量时,数据库中的警报信息每晚都会轮换:

  • (IDS) 入侵检测系统(URL) URL 信誉组件生成的警报对于每个组件最多有 100000 个警报。
  • 所有其他警报对于每个模块或组件最多有 20000 个警报。

如果您使用的是分布式方案多租户模式,则在所有 SCN 上进行轮转,然后再与 PCN 进行同步。同步后,所有已删除的警报都会被自动从 PCN 中删除。

警报表位于警报部分。

默认情况下,此部分仅显示有关用户未处理的警报的信息。若要也显示有关已处理警报的信息,请打开窗口右上角的进程开关。

您可以按创建时间或者已更新重要级别状态对表中的警报进行排序

警报表包含以下信息:

  1. VIP指定警报是否处于具有特殊访问权限的状态。例如,具有安全官角色的应用程序用户无法查看 VIP 身份的警报。
  2. 创建时间是程序生成警报的时间,已更新是警报更新的时间。
  3. Apt_icon_Importance_new — 根据卡巴斯基的经验,对于 Kaspersky Anti Targeted Attack Platform 用户而言,警报重要性取决于此警报可能对计算机或企业 LAN 安全造成的影响。

    警报可以具有以下重要性级别之一:

    • ,以Apt_icon_importance_high符号标记 – 此警报具有高度重要性。
    • ,以Apt_icon_importance_medium符号标记 – 此警报具有中度重要性。
    • вижу,以Apt_icon_importance_low符号标记 – 此警报重要性较低。
  4. 检测到 — 检测到的对象的一个或多个类别。例如,当应用程序检测到感染了 Trojan-Downloader.JS.Cryptoload.ad 病毒的文件时,检测到字段就会对此警报显示 Trojan-Downloader.JS.Cryptoload.ad 类别。
  5. 详细信息 — 警报摘要。比如:检测到的文件的名称或恶意链接的 URL 地址。
  6. — 检测到的对象的源的地址。例如,这可以是发送恶意文件的电子邮件地址,也可以是从中下载恶意文件的 URL。
  7. 目标 — 检测到的对象的目标地址。例如,这可以是组织的邮件域(恶意文件发送到该邮件域)的电子邮件地址,也可以是企业 LAN 上的计算机(恶意文件已下载到该计算机)的 IP 地址。
  8. 技术是生成警报的应用程序模块或组件的名称。

    技术列可能表示以下应用程序模块和组件:

    • (YARA) YARA
    • (SB) Sandbox
    • (URL) URL 信誉
    • (IDS) 入侵检测系统
    • (AM) 反恶意软件引擎
    • (TAA) 针对性攻击分析器
    • (IOC) IOC
  9. 状态 — 警报状态取决于此警报是否被 Kaspersky Anti Targeted Attack Platform 用户处理。

    警报可具有以下状态之一:

    • 新的用于新警报。
    • 进行中用于 Kaspersky Anti Targeted Attack Platform 用户在处理的警报。
    • 重新扫描用于重新扫描对象而产生的警报。
    • 分配给是对其分配了警报的用户的名称。

如果表格列里的信息以链接形式显示,您可以单击链接打开列表,在列表中选择要对该对象执行的操作。根据单元格值的类型,您可以执行以下操作之一:

  • 任意单元格值的类型:
    • 按照此值进行过滤
    • 从过滤器中排除
    • 复制值到剪贴板
  • MD5 哈希:
  • SHA256 哈希值:
  • 目的 IP 地址:
    • 查找事件
  • 警报状态:
    • 分配给我
    • 关闭警报

当同时满足以下条件时,入侵检测系统模块会在一个警报中合并有关已处理网络事件的信息:

  • 触发规则的名称,应用程序数据库的版本以及源都匹配网络事件。
  • 活动之间不超过 24 小时。

为满足这些条件的所有网络事件显示一个警报。警报通知仅包含有关第一个网络事件的信息。

Kaspersky Professional Services
Implementation services. Health check and security system configuration. Contact us if you need expert help.
Kaspersky Premium Support (MSA): High‑priority incident processing
Telephone and web ticket support. Fast response, monitoring and health check. Submit a request and activate the contract (MSA).
Did you find this article helpful?
What can we do better?
Thank you for your feedback! You're helping us improve.
Thank you for your feedback! You're helping us improve.