Przeglądanie wykresu łańcucha rozprzestrzeniania się zagrożeń

Dla każdego alertu wykrytego przez funkcję Endpoint Detection and Response przy użyciu technologii Endpoint Protection Platform (EPP) i wyświetlanego w widżecie lub w tabeli można wyświetlić wykres łańcucha rozprzestrzeniania się zagrożeń.

Wykres łańcucha rozprzestrzenia się zagrożeń jest narzędziem do analizy pierwotnej przyczyny ataku. Wykres zawiera wizualne informacje o obiektach biorących udział w ataku, na przykład o procesach na zarządzanym urządzeniu, połączeniach sieciowych lub kluczach rejestru.

Analizując wykres łańcucha rozprzestrzeniania się zagrożeń, możesz chcieć ręcznie wykonać działanie lub dostroić funkcję wykrywania i reagowania w funkcji Endpoint Detection and Response.

Aby wyświetlić wykres łańcucha rozprzestrzeniania się zagrożeń:

  1. Przejdź do tabeli lub widżetu Endpoint Detection and Response.
  2. W wymaganym wierszu, w którym wartość kolumny Technologia to EPP, kliknij Sprawdź.

Zostanie otwarte okno Łańcuch rozprzestrzeniania się zagrożeń. Okno zawiera wykres łańcucha rozprzestrzeniania się zagrożeń i szczegółowe informacje o alertach.

Wykres łańcucha rozprzestrzeniania się zagrożeń przedstawia następujące typy obiektów:

Wykres jest generowany zgodnie z następującymi regułami:

  1. Centralnym punktem wykresu jest proces, który spełnia jedną z następujących reguł:
    • Jeśli zagrożenie zostało wykryte w procesie, to właśnie jest to ten proces.
    • Jeśli zagrożenie zostało wykryte w pliku, jest to proces, który utworzył ten plik.
  2. W przypadku procesu, o którym mowa w regule 1, wykres przedstawia maksymalnie dwa procesy nadrzędne. Proces nadrzędny to taki, który wygenerował lub zmodyfikował proces potomny.
  3. W przypadku procesu, o którym mowa w regule 1, wykres przedstawia wszystkie inne powiązane obiekty: utworzone pliki, utworzone i zmodyfikowane procesy potomne, zorganizowane połączenia sieciowe i zmodyfikowane klucze rejestru.

Po kliknięciu dowolnego obiektu na wykresie poniższy obszar pokazuje szczegółowe informacje o wybranym obiekcie.

Po kliknięciu odnośnika w polach SHA-256, MD5, Adres IP lub URL w szczegółowych informacjach o pliku nastąpi przekierowanie do portalu Kaspersky Threat Intelligence https://opentip.kaspersky.com/. Portal łączy całą wiedzę zdobytą przez Kaspersky na temat cyberzagrożeń w jednej usłudze internetowej. Umożliwia sprawdzenie każdego podejrzanego wskaźnika zagrożenia, czy jest to plik, skrót pliku, adres IP czy adres internetowy.

Przejdź do góry