Просмотр графика цепочки развития угроз

Для каждого обнаружения, выполненного Endpoint Detection and Response с использованием технологии Endpoint Protection Platform (EPP) и отображаемого в виджете или в таблице, можно просмотреть схему цепочки развития угрозы.

График цепочки развития угроз – это инструмент для анализа первопричины атак. График предоставляет визуальную информацию об объектах, участвующих в атаке, таких как процессы на управляемом устройстве, сетевые подключения или ключи реестра.

При анализе схемы цепочки развития угрозы можно вручную выполнять действия по реагированию или настроить функцию Endpoint Detection and Response.

Чтобы просмотреть график цепочки развития угроз, выполните следующие действия:

  1. Перейдите к виджету или таблице Endpoint Detection and Response.
  2. В строке, для которой в столбце Технология указано значение EPP, нажмите на кнопку Просмотр.

Откроется окно Схема цепочки развития угрозы. В окне отображается схема цепочки развития угрозы и подробная информация об обнаружении.

На графике цепочки развития угроз показаны следующие типы объектов:

Схема формируется по следующим правилам:

  1. Центральная точка схемы – это процесс, соответствующий любому из следующих правил:
    • Если угроза была обнаружена внутри процесса, это сам процесс.
    • Если угроза была обнаружена в файле, это процесс, создавший этот файл.
  2. Для процесса, упомянутого в правиле 1, на схеме отображается до двух родительских процессов. Родительский процесс – это процесс, сформировавший или изменивший дочерний процесс.
  3. Для процесса, упомянутого в правиле 1, на графике показаны все прочие связанные объекты: созданные файлы, созданные и измененные дочерние процессы, организованные сетевые соединения и измененные ключи реестра.

При выборе любого объекта на схеме, в области ниже отображается подробная информация о выбранном объекте.

Ссылки в полях SHA256, MD5, IP-адреса и веб-адреса в разделе с подробной информацией о файле ведут на портал Kaspersky Threat Intelligence Portal https://opentip.kaspersky.com/. На портале вся доступная информация "Лаборатории Касперского" о киберугрозах объединена в единый веб-сервис, позволяющий проверять все подозрительные индикаторы угроз: файлы, хеши файлов, IP-адреса и веб-адреса.

В начало