查看威胁发展链图

对于 Endpoint Detection and Response 使用端点保护平台 (EPP) 技术检测到并显示在小部件或表格中的每个警报，您都可以查看威胁发展链图。

威胁发展链图是分析攻击根本原因的工具。该图表以图形方式提供攻击所涉对象的相关信息，例如受管理设备上的进程、网络连接或注册表项。

在分析威胁发展链图时，您可能需要采取手动响应措施或微调 Endpoint Detection and Response 功能。

要查看威胁发展链图：

1. 前往 Endpoint Detection and Response 小部件或表格。
2. 在“技术”列值为“EPP”的必填行中，单击“查看”。

“威胁发展链图”窗口打开。该窗口包含威胁发展链图和警报详情。

威胁发展链图显示以下类型的对象：

• 进程
• 文件
• 网络连接
• 注册表项

根据以下规则生成图表：

1. 图表的中心点是满足以下任一规则的进程：
   • 如果在某个进程中检测到威胁，则中心点就是该进程。
   • 如果在某个文件中检测到威胁，则中心点就是创建该文件的进程。
2. 对于规则 1 中提到的进程，图表最多显示两个父进程。父进程是生成或修改子进程的进程。
3. 对于规则 1 中提到的进程，图表显示所有其他相关对象：已创建的文件、已创建和修改的子进程、已组织的网络连接以及已修改的注册表项。

当您单击图表上的任意对象时，下方区域将显示有关所选对象的详细信息。

当您单击文件详情中的 SHA256、MD5、IP 地址或 URL 字段中的链接时，您将进入 Kaspersky 威胁情报门户 (https://opentip.kaspersky.com/)。该门户将卡巴斯基积累的所有网络威胁知识整合到一个网络服务中。您可以通过该门户检查文件、文件哈希、IP 地址或网址等任何可疑的威胁指标。

页面顶部