Diagramm mit der Entwicklungskette der Bedrohung anzeigen

Für jeden Alarm, der von Endpoint Detection and Response mittels der Technologie von Endpoint Protection Platform (EPP) erkannt wurde und der in einem Widget oder in einer Tabelle angezeigt wird, können Sie ein Diagramm mit der Entwicklungskette der Bedrohung anzeigen.

Das Diagramm mit der Entwicklungskette der Bedrohung ist ein Tool zur Analyse der Grundursache eines Angriffs. Das Diagramm enthält visuelle Informationen zu den am Angriff beteiligten Objekten, z. B. zu Prozessen auf einem verwalteten Gerät, Netzwerkverbindungen oder Registrierungsschlüsseln.

Wenn Sie die Entwicklungskette der Bedrohung analysieren, möchten Sie möglicherweise manuelle Reaktionsmaßnahmen ergreifen oder die Funktion von Endpoint Detection and Response genauer konfigurieren.

So zeigen Sie das Diagramm mit der Entwicklungskette der Bedrohung an:

  1. Wechseln Sie zum Widget oder zur Tabelle von Endpoint Detection and Response.
  2. Klicken Sie in der erforderlichen Zeile, für welche in der Spalte Technologie der Wert EPP angezeigt wird, auf Untersuchen.

Das Fenster Diagramm der Bedrohungsentwicklungskette wird geöffnet. Das Fenster enthält ein Diagramm mit der Entwicklungskette der Bedrohung und detaillierte Informationen zum Alarm.

Ein Diagramm mit der Entwicklungskette der Bedrohung zeigt die folgenden Objekttypen:

Diagramme werden nach folgenden Regeln erstellt:

  1. Im Zentrum des Diagramms befindet sich ein Prozess, der eine der folgenden Regeln erfüllt:
    • Wenn die Bedrohung in einem Prozess erkannt wurde, dann ist es dieser Prozess.
    • Wenn die Bedrohung in einer Datei erkannt wurde, dann ist es der Prozess, der diese Datei erstellt hat.
  2. Für den in Regel 1 genannten Prozess zeigt das Diagramm bis zu zwei übergeordnete Prozesse. Ein übergeordneter Prozess ist ein Prozess, der einen untergeordneten Prozess generiert oder geändert hat.
  3. Für den in Regel 1 genannten Prozess zeigt das Diagramm alle anderen verwandten Objekte: erstellte Dateien, erstellte und geänderte untergeordnete Prozesse, hergestellte Netzwerkverbindungen und geänderte Registrierungsschlüssel.

Wenn Sie auf ein Objekt in einem Diagramm klicken, werden im Bereich darunter detaillierte Informationen zum ausgewählten Objekt angezeigt.

Wenn Sie in den detaillierten Informationen zu einer Datei auf einen Link in den Feldern SHA256, MD5, IP-Adresse oder URL klicken, werden Sie zum Kaspersky Threat Intelligence Portal unter https://opentip.kaspersky.com/ weitergeleitet. Das Portal vereint das gesamte Wissen, das Kaspersky über Cyberbedrohungen erworben hat, in einem einzigen Webdienst. Hier können Sie alle verdächtigen Bedrohungsindikatoren überprüfen. Das kann eine Datei, ein Datei-Hash, eine IP-Adresse oder eine Webadresse sein.

Nach oben