Перейти к основному содержимому
Версия: 4.2

Вредоносное ПО

Описание

Раздел Вредоносное ПО предназначен для мониторинга событий связанных с вредоносным ПО, в частности его обнаружением и устранением угроз заражения.

Отображаемые данные

  • Количество зараженных хостов / обнаруженных заражений / заблокированных заражений
  • Статистика вредоносного ПО по типам
  • Динамика обнаруженных / заблокированных заражений
  • Топ обнаруженного / заблокированного вредоносного ПО
  • Топ хостов по обнаруженному / заблокированному вредоносному ПО
  • Статистика по событиям заражения с детализацией по хостам
  • Статистика по событиям заражения с детализацией по вредоносному ПО

Список дашбордов

  • Вредоносное ПО: Общие сведения
  • Вредоносное ПО: Профиль зараженного хоста
  • Вредоносное ПО: Профиль типа вредоносного ПО

Модель данных

В разделе используются нижеописанные поля источников данных. Используемый алиас: sm_cs_malware_indexes.

Поля категоризации

Имя поляЗначение
event.kindalert
event.categorymalware
event.actionИз исходного события.

Поля общего назначения

Место обнаружения вредоносного ПО host

Имя поляЗначение
host.ipIP-адрес хоста, где обнаружено вредоносное ПО.
host.nameИмя хоста, где обнаружено вредоносное ПО.

Пользователь user

Имя поляЗначение
user.nameИмя пользователя.
user.domainДомен пользователя.

Источник заражения file

Имя поляЗначение
file.nameИмя файла с вредоносным ПО.
file.pathПолный путь к файлу с вредоносным ПО.
file.hashХэш файла с вредоносным ПО.

Прочие поля

Имя поляЗначение
event.originalИсходный текст события.

Необязательные поля

Имя поляЗначение
messageОписание события.
malware_descriptionОписание угрозы.

Справочники

Ниже приведена таблица справочников используемых разделом.

НазваниеПоляОписание
sm_cs_malware_typemalware_description
malware_type
Справочник типов угроз.
sm_cs_malware_actionevent.action
malware_action - (detected | blocked)
Справочник действий с угрозами.

Примеры источников