Przeglądanie wykresu łańcucha rozwoju zagrożeń

W przypadku każdego wykrycia dokonanego przez Analizę przyczyn źródłowych i wyświetlonego w widżecie lub w tabeli można wyświetlić wykres łańcucha rozwoju rozprzestrzeniania się zagrożeń.

Wykres łańcucha rozprzestrzenia się zagrożeń jest narzędziem do analizy pierwotnej przyczyny ataku. Wykres zawiera wizualne informacje o obiektach biorących udział w ataku, na przykład o procesach na zarządzanym urządzeniu, połączeniach sieciowych lub kluczach rejestru.

Aby wyświetlić wykres łańcucha rozprzestrzeniania się zagrożeń:

  1. Przejdź do tabeli lub widżetu Analizy przyczyn źródłowych.
  2. W wymaganym wierszu kliknij Sprawdź.

Zostanie otwarte okno Szczegóły wykrycia funkcji Root-Cause Analysis. Okno zawiera wykres łańcucha rozprzestrzenia się zagrożeń i szczegółowe informacje o wykryciach.

Wykres łańcucha rozprzestrzeniania się zagrożeń przedstawia następujące typy obiektów:

Wykres jest generowany zgodnie z następującymi regułami:

  1. Centralnym punktem wykresu jest proces, który spełnia jedną z następujących reguł:
    • Jeśli zagrożenie zostało wykryte w procesie, to właśnie jest to ten proces.
    • Jeśli zagrożenie zostało wykryte w pliku, jest to proces, który utworzył ten plik.
  2. W przypadku procesu, o którym mowa w regule 1, wykres przedstawia maksymalnie dwa procesy nadrzędne. Proces nadrzędny to taki, który wygenerował lub zmodyfikował proces potomny.
  3. W przypadku procesu, o którym mowa w regule 1, wykres przedstawia wszystkie inne powiązane obiekty: utworzone pliki, utworzone i zmodyfikowane procesy potomne, zorganizowane połączenia sieciowe i zmodyfikowane klucze rejestru.

Po kliknięciu dowolnego obiektu na wykresie poniższy obszar pokazuje szczegółowe informacje o wybranym obiekcie.

Po kliknięciu odnośnika w polach SHA-256, MD5, Adres IP lub URL w szczegółowych informacjach o pliku nastąpi przekierowanie do portalu Kaspersky Threat Intelligence Portal https://opentip.kaspersky.com/. Portal łączy całą wiedzę zdobytą przez Kaspersky na temat cyberzagrożeń w jednej usłudze internetowej. Umożliwia sprawdzenie każdego podejrzanego wskaźnika zagrożenia, czy jest to plik, skrót pliku, adres IP czy adres internetowy.

Przejdź do góry