Exemple d'analyse d'un graphique de chaîne de développement de la menace
5 mars 2024
ID 231627
Cette section contient un exemple de graphique de chaîne de développement de la menace et explique comment vous pouvez l'utiliser pour analyser une attaque sur les appareils de vos utilisateurs.
Considérons une attaque en utilisant un message électronique de phishing contenant une pièce jointe. La pièce jointe est un fichier exécutable.
L'utilisateur enregistre et exécute le fichier sur son appareil. Kaspersky Endpoint Security for Windows détecte le type d'objet malveillant détecté.
Une détection dans Kaspersky Endpoint Security for Windows
Le widget Endpoint Detection and Response affiche jusqu'à 10 alertes.
Widget Endpoint Detection and Response
En cliquant sur le lien Examiner sur la ligne souhaitée du widget, vous pouvez passer à un graphique de chaîne de développement de la menace.
Un graphique de chaîne de développement de la menace
Le graphique de la chaîne de développement de la menace vous fournit des informations sur l'alerte, par exemple les actions qui se sont produites sur l'appareil lors de l'alerte, la catégorie de la menace détectée, l'origine du fichier (dans cet exemple, un email), l'utilisateur qui a téléchargé le fichier (dans cet exemple, un administrateur). De plus, le graphique en chaîne montre que des fichiers supplémentaires ont été créés sur l'appareil, que plusieurs connexions réseau ont été établies et que certaines clés de registre ont été modifiées.
À partir de ces informations, vous pouvez effectuer les opérations suivantes :
- Vérifiez les paramètres du serveur de messagerie.
- Ajoutez l'expéditeur du message électronique à la liste de refus (si l'expéditeur est externe) ou adressez-vous directement à lui (si l'expéditeur est interne).
- Vérifiez si d'autres appareils se sont connectés aux mêmes adresses IP.
- Ajoutez ces adresses IP à la liste de refus.
Lorsque vous cliquez sur un lien dans les champs SHA256, MD5, Adresse IP ou Adresse internet dans les informations détaillées sur un fichier, vous êtes redirigé vers le Kaspersky Threat Intelligence Portal https://opentip.kaspersky.com/. Le Portail indique que le fichier détecté n'est ni une menace ni un fichier connu.
Kaspersky Threat Intelligence Portal
Cet exemple montre l'importance de la fonctionnalité Endpoint Detection and Response. Le fichier parent du fichier détecté n'est pas de confiance, mais il ne s'agit pas d'un fichier malveillant. Cela signifie qu'il n'a pas été détecté par Kaspersky Endpoint Security for Windows. Ce fichier est toujours présent sur l'appareil et au sein de l'organisation. Si l'organisation possède des appareils sur lesquels certains modules de protection sont désactivés (par exemple, Détection comportementale) ou sur lesquels les bases de données applications malveillantes ne sont pas à jour, l'activité malveillante du fichier parent ne sera pas détectée et les criminels peuvent avoir une chance de pénétrer l'infrastructure de votre organisation.