威脅發展鏈圖的分析範例

本節收錄威脅發展鏈圖範例，以及如何使用鏈圖分析使用者裝置受到的攻擊。

以使用含附件的電子郵件訊息進行的網路釣魚攻擊為例。電子郵件附件是一個可執行檔。

使用者在裝置上儲存並執行該檔案。Kaspersky Endpoint Security for Windows 對偵測到的惡意物件類型進行偵測。

Kaspersky Endpoint Security for Windows 的「檔案威脅防護」視窗。

Kaspersky Endpoint Security for Windows 中的偵測結果

根本原因分析小工具最多顯示 10 項偵測結果。

根本原因分析小工具。

根本原因分析小工具

點擊小工具所需資料欄中的「檢視」連結，即可檢視威脅發展鏈圖。

根本原因分析偵測詳情視窗。

威脅發展鏈圖

威脅發展鏈圖將為您提供有關偵測結果的資訊，當中包括：偵測期間裝置上的動作、偵測到的威脅類別、檔案來源（此範例中為電子郵件）、下載檔案的使用者（此範例中為管理員）。此外，鏈圖還會顯示在裝置上建立的其他檔案、多個網路連線，以及已變更的登錄機碼。

根據上述資訊，您可以執行以下操作：

檢查電子郵件伺服器設定。
將電子郵件訊息寄件人新增至拒絕清單（針對外部寄件人），或直接與對方聯絡（針對內部寄件人）。
檢查其他裝置有否連線到相同的 IP 位址。
將這些 IP 位址新增至拒絕清單。

點擊檔案詳情中 SHA256、MD5、IP 位址或 URL 欄位的連結後，您將進入 Kaspersky Threat Intelligence Portal 入口網站 https://opentip.kaspersky.com/。入口網站顯示偵測到的檔案既不是威脅，也不是已知檔案。

Kaspersky Threat Intelligence Portal 視窗。

Kaspersky Threat Intelligence Portal

此範例將顯示根本原因分析功能的重要性。如果偵測到的檔案的父檔案不可信任，但並非惡意檔案，即代表 Kaspersky Endpoint Security for Windows 尚未偵測到該檔案，而且該檔案仍然儲存在裝置和組織內。如果組織內的裝置停用某些防護元件（例如行為偵測），或者惡意軟體防護資料庫未有及時更新，則無法偵測父檔案的惡意活動，讓犯罪分子有機可乘，嘗試入侵貴組織的基礎架構。

頁首