Visualização de uma cadeia de evolução de ameaças

Para cada alerta detectado pelo Endpoint Detection and Response usando a tecnologia Endpoint Protection Platform (EPP) e exibido em um widget ou em uma tabela, é possível visualizar um gráfico da cadeia de evolução de ameaças.

Um gráfico de cadeia de evolução de ameaças é uma ferramenta para analisar a causa raiz de um ataque. O gráfico fornece informações visuais sobre os objetos envolvidos no ataque, por exemplo, processos em um dispositivo gerenciado, conexões de rede ou chaves de registro.

Ao analisar o gráfico da cadeia de evolução de ameaças, é possível adotar medidas de resposta manual ou ajustar o recurso Endpoint Detection and Response.

Para visualizar um gráfico de cadeia de evolução de ameaças:

  1. Continue no widget ou na tabela do Endpoint Detection and Response.
  2. Na linha obrigatória em que o valor da coluna Tecnologia é EPP, clique em Examinar.

A janela do Gráfico da cadeia de evolução de ameaças é aberta. A janela contém um gráfico de cadeia de evolução de ameaças e informações detalhadas sobre o alerta.

Uma cadeia de evolução de ameaças exibe os seguintes tipos de objetos:

Um gráfico é gerado de acordo com as seguintes regras:

  1. O ponto central de um gráfico é um processo que atende a uma das seguintes regras:
    • Se a ameaça foi detectada em um processo, este será o processo.
    • Se a ameaça foi detectada em um arquivo, este será o processo que criou o arquivo.
  2. Para o processo mencionado na regra 1, o gráfico mostra até dois processos pai. Um processo pai é aquele que gerou ou modificou um processo filho.
  3. Para o processo mencionado na regra 1, o gráfico mostra todos os outros objetos relacionados: arquivos criados, processos filho criados e modificados, conexões de rede organizadas e chaves de registro modificadas.

Quando você clicar em qualquer objeto em um gráfico, a área abaixo mostrará as informações detalhadas sobre o objeto selecionado.

Ao clicar em um link nos campos SHA256, MD5, endereço IP ou URL nas informações detalhadas de um arquivo, você será levado ao Portal do Kaspersky Threat Intelligence https://opentip.kaspersky.com/. O portal reúne todo o conhecimento que a Kaspersky adquiriu sobre ameaças cibernéticas em um único serviço Web. Ele permite verificar qualquer indicador de ameaça suspeita, seja um arquivo, hash de arquivo, endereço IP ou endereço da Web.

Topo da página