Diagramm mit der Entwicklungskette der Bedrohung anzeigen

Für jede Entdeckung, die mittel Root-Cause Analysis gemacht wurde und die in einem Widget oder in einer Tabelle angezeigt wird, können Sie das Diagramm mit der Entwicklungskette der Bedrohung anzeigen.

Das Diagramm mit der Entwicklungskette der Bedrohung ist ein Tool zur Analyse der Grundursache eines Angriffs. Das Diagramm enthält visuelle Informationen zu den am Angriff beteiligten Objekten, z. B. zu Prozessen auf einem verwalteten Gerät, Netzwerkverbindungen oder Registrierungsschlüsseln.

So zeigen Sie das Diagramm mit der Entwicklungskette der Bedrohung an:

  1. Fahren Sie mit dem Widget oder der Tabelle von Root-Cause Analysis fort.
  2. Klicken Sie in der erforderlichen Zeile auf Untersuchen.

Das Fenster Erkennungsdetails für Root-Cause Analysis wird geöffnet. Das Fenster enthält ein Diagramm mit der Entwicklungskette der Bedrohung und detaillierte Informationen zum Fund.

Ein Diagramm mit der Entwicklungskette der Bedrohung zeigt die folgenden Objekttypen:

Diagramme werden nach folgenden Regeln erstellt:

  1. Im Zentrum des Diagramms befindet sich ein Prozess, der eine der folgenden Regeln erfüllt:
    • Wenn die Bedrohung in einem Prozess erkannt wurde, dann ist es dieser Prozess.
    • Wenn die Bedrohung in einer Datei erkannt wurde, dann ist es der Prozess, der diese Datei erstellt hat.
  2. Für den in Regel 1 genannten Prozess zeigt das Diagramm bis zu zwei übergeordnete Prozesse. Ein übergeordneter Prozess ist ein Prozess, der einen untergeordneten Prozess generiert oder geändert hat.
  3. Für den in Regel 1 genannten Prozess zeigt das Diagramm alle anderen verwandten Objekte: erstellte Dateien, erstellte und geänderte untergeordnete Prozesse, hergestellte Netzwerkverbindungen und geänderte Registrierungsschlüssel.

Wenn Sie auf ein Objekt in einem Diagramm klicken, werden im Bereich darunter detaillierte Informationen zum ausgewählten Objekt angezeigt.

Wenn Sie in den detaillierten Informationen zu einer Datei auf einen Link in den Feldern SHA256, MD5, IP-Adresse oder URL klicken, werden Sie zum Kaspersky Threat Intelligence Portal unter https://opentip.kaspersky.com/ weitergeleitet. Das Portal vereint das gesamte Wissen, das Kaspersky über Cyberbedrohungen erworben hat, in einem einzigen Webdienst. Hier können Sie alle verdächtigen Bedrohungsindikatoren überprüfen. Das kann eine Datei, ein Datei-Hash, eine IP-Adresse oder eine Webadresse sein.

Nach oben