Просмотр графика цепочки развития угроз

Для каждого обнаружения функции Root-Cause Analysis, отображаемого в виджете или в таблице, можно просмотреть схему цепочки развития угрозы.

Схема цепочки развития угрозы – это инструмент для анализа первопричины атак. Схема предоставляет визуальную информацию об объектах, участвующих в атаке, таких как процессы на управляемом устройстве, сетевые подключения или ключи реестра.

Чтобы просмотреть схему цепочки развития угрозы, выполните следующие действия:

  1. Перейдите к виджету или таблице Root-Cause Analysis.
  2. В требуемой строке нажмите Просмотр.

Откроется окно Информация об обнаружениях Root-Cause Analysis. В окне отображается схема цепочки развития угрозы и подробная информация об обнаружении.

На схеме цепочки развития угрозы показаны следующие типы объектов:

Схема формируется по следующим правилам:

  1. Центральная точка схемы – это процесс, соответствующий любому из следующих правил:
    • Если угроза была обнаружена внутри процесса, это сам процесс.
    • Если угроза была обнаружена в файле, это процесс, создавший этот файл.
  2. Для процесса, упомянутого в правиле 1, на схеме отображается до двух родительских процессов. Родительский процесс – это процесс, сформировавший или изменивший дочерний процесс.
  3. Для процесса, упомянутого в правиле 1, на графике показаны все прочие связанные объекты: созданные файлы, созданные и измененные дочерние процессы, организованные сетевые соединения и измененные ключи реестра.

При выборе любого объекта на схеме, в области ниже отображается подробная информация о выбранном объекте.

Ссылки в полях SHA256, MD5, IP-адреса и веб-адреса в разделе с подробной информацией о файле ведут на портал Kaspersky Threat Intelligence Portal https://opentip.kaspersky.com/. На портале вся доступная информация "Лаборатории Касперского" о киберугрозах объединена в единый веб-сервис, позволяющий проверять все подозрительные индикаторы угроз: файлы, хеши файлов, IP-адреса и веб-адреса.

В начало