脅威の活動連鎖の図表の表示

Endpoint Protection Platform(EPP)を使用して Endpoint Detection and Response が検知し、ウィジェットまたはテーブルに表示されている各アラートの、脅威の活動連鎖の図表を表示できます。

脅威の活動連鎖の図表は、攻撃の原因解明用のツールです。この図表には、攻撃に関与するオブジェクトの情報が表示されます。たとえば、管理対象デバイスのプロセス、ネットワーク接続、レジストリキーなどです。

脅威の活動連鎖の図表の分析中、手動でのレスポンス処理の実行、または Endpoint Detection and Response 機能の微調整が可能です。

脅威の活動連鎖の図表を表示するには:

  1. Endpoint Detection and Response のウィジェットまたはテーブルへ移動します
  2. 技術]列の値が[EPP]の行で、[調査]をクリックします。

脅威の活動連鎖の図表]ウィンドウが表示されます。ウィンドウに、脅威の活動連鎖の図表と、アラートの詳細情報が表示されます。

脅威の活動連鎖の図表には、次の種別のオブジェクトが表示されます:

図表は、次のルールに基づいて生成されます:

  1. 図表の中心には、次のいずれかのルールを満たすプロセスが配置されます:
    • 脅威がプロセスで発見された場合は、そのプロセスを配置します。
    • 脅威がファイルで発見された場合は、そのファイルを作成したプロセスを配置します。
  2. ルール 1 で言及したプロセスに対して、最大 2 つの親プロセスが図表に表示されます。親プロセスは、子プロセスを生成または変更したプロセスです。
  3. ルール 1 で言及したプロセスに関連する、その他のオブジェクトがすべて表示されます:作成されたファイル、作成または変更された子プロセス、構築されたネットワーク接続、変更されたレジストリキー。

図表上の任意のオブジェクトをクリックすると、選択したオブジェクトの詳細情報が下に表示されます。

ファイルの詳細情報にある SHA256、MD5、IP アドレス、URL のフィールドのリンクをクリックすると、Kaspersky Threat Intelligence Portal(https://opentip.kaspersky.com/)へ遷移します。このポータルサイトは、カスペルスキーが取得したサイバー犯罪関連のすべての知識を 1か所に集積した Web サービスです。ファイル、ファイルハッシュ、IP アドレス、URL など、任意の脅威の疑いの指標をチェックできます。

ページのトップに戻る