技术支持

企业产品

Kaspersky Anti Targeted Attack (KATA) Platform

对于安全人员:应用程序 Web 界面使用入门

事件数据库威胁追踪

在设计模式下搜索事件

事件搜索条件
Kaspersky Anti Targeted Attack (KATA) Platform
Online Help
Advice & Solutions FAQ Download Forum Contact support

事件搜索条件

2024年6月26日

ID 249034

另存为 PDF

以下搜索条件可用于搜索事件:

  • 常规信息
    • 主机是主机名。
    • HostIP 是主机的 IP 地址。
    • EventType 是事件的类型。
    • UserName 是用户的名称。
    • OsFamily 是操作系统家族。
    • OsVersion 是主机上使用的操作系统的版本。
  • TAA 属性
    • IOAId 是 TAA (IOA) 规则 ID。
    • IOATag 是有关使用 Targeted Attack Analyzer 技术进行文件分析的结果的信息:用于创建警报的 TAA (IOA) 规则的名称。
    • IOATechnique 是 MITRE 技术。
    • IOATactics 是 MITRE 策略。
    • IOAImportance 是分配给使用此 TAA (IOA) 规则生成的事件的重要性级别。
    • IOAConfidence 是置信度,取决于规则引起误报的可能性。
  • 文件属性
    • CreationTime 是事件创建时间。
    • FileName 是文件的名称。
    • FilePath 是文件所在目录的路径。
    • FileFullName 是文件的完整路径。包括目录路径和文件名。
    • ModificationTime 是文件修改时间。
    • FileSize 是文件的大小。
    • MD5 是文件的 MD5 哈希值。
    • SHA256 是文件的 SHA256 哈希值。
    • LikeDLLPath — 放置在标准搜索路径上的目录中的恶意 DLL,以使操作系统在原始 DLL 之前加载它。
  • Linux 进程
    • LogonRemoteHost 是发起远程访问的主机的 IP 地址。
    • RealUserName 是用户在系统中注册时分配的用户名。
    • EffectiveUserName 是用于登录系统的用户名。
    • Environment 是系统环境变量。
    • ProcessType 是进程类型。
    • OperationResult 是操作结果。
    • FileOwnerUserName 是文件所有者的名称。
    • RealGroupName 是用户组的名称。
    • EffectiveGroupName 是用于操作的用户组的名称。
  • 进程已启动
    • PID 是进程 ID。
    • ParentFileFullName 是父进程文件的路径。
    • ParentMD5 是父进程文件的 MD5 哈希值。
    • ParentSHA256 是父进程文件的 SHA256 哈希值。
    • StartupParameters 是进程启动时使用的选项。
    • ParentPID 是父进程 ID。
    • ParentStartupParameters 是父进程的启动设置。
  • 远程连接
    • HTTPMethod 是HTTP 请求方法。例如,Get、Post 或 Connect。
    • ConnectionDirection 是连接的方向(入站或出站)。
    • LocalIP 是从其进行远程连接尝试的本地计算机的 IP 地址。
    • LocalPort 是从其进行远程连接尝试的本地计算机的 IP 地址。
    • RemoteHostName 是远程连接尝试目标的计算机的名称。
    • RemoteIP 是远程连接尝试目标的计算机的 IP 地址。
    • RemotePort 是远程连接尝试目标的计算机的端口。
    • UR1 是向其发出 HTTP 请求的资源的地址。
  • 注册表已修改
    • RegistryKey 是注册表项。
    • RegistryValueName 是注册表值的名称。
    • RegistrationValue 是注册表值的数据。
    • RegistryOperationType 是注册表操作的类型。
    • RegistryPreviousKey 是上一个注册表项。
    • RegistryPreviousValue 是注册表值的先前名称。
  • 系统事件日志
    • WinLogEventID 是 Windows 日志中安全事件的类型 ID。
    • LinuxEventType 是事件的类型。此标准用于 Linux 和 macOS 操作系统。
    • WinLogName 是日志的名称。
    • WinLogEventRecordID 是日志条目 ID。
    • WinLogProviderName 是记录事件的系统的 ID。
    • WinLogTargetDomainName 是远程计算机的域名。
    • WinLogObjectName 是发起事件的对象的名称。
    • WinlogPackageName 是启动事件的软件包的名称。
    • WinLogProcessName 是启动事件的进程的名称。
  • 检测和处理结果
    • DetectName 是检测到的对象的名称。
    • RecordID 是触发规则的ID。
    • ProcessingMode 是扫描模式。
    • ObjectName 是对象的名称。
    • ObjectType 是对象的类型。
    • ThreatStatus 是检测模式。
    • UntreatedReason 是事件处理状态。
    • ObjectContent(也适用于 AMSI 事件)是被发送进行扫描的脚本的内容。
    • ObjectContentType(也适用于 AMSI 事件)是脚本内容的类型。
  • 控制台交互输入
    • InteractiveInputText 是在命令行中输入的文本。
    • InteractiveInputType 是输入类型(控制台或管道)。
  • 文件已修改
    • FileOperationType 是文件操作类型。
    • FilePreviousPath 是文件先前所在目录的路径。
    • FilePreviousName 是文件以前的名称。
    • FilePreviousFullName 是文件的全名,包括文件先前所在目录的路径和/或先前的文件名。
    • DroppedFileType 是修改后的文件的类型。

Kaspersky Professional Services
Implementation services. Health check and security system configuration. Contact us if you need expert help.
Kaspersky Premium Support (MSA): High‑priority incident processing
Telephone and web ticket support. Fast response, monitoring and health check. Submit a request and activate the contract (MSA).
Did you find this article helpful?
What can we do better?
Thank you for your feedback! You're helping us improve.
Thank you for your feedback! You're helping us improve.