Soporte

Soporte para empresas

Kaspersky Endpoint Security Cloud

Consola de administración de Kaspersky Endpoint Security Cloud

Análisis de causas raíz

Visualización de información sobre las detecciones de Análisis de causas raíz

Ejemplo de análisis de un gráfico de cadena de desarrollo de la amenaza

Kaspersky Endpoint Security Cloud
Ayuda Online
FAQ Requisitos del sistema Descargar la última versión Probar Comprar Renovar Foro Contactar Asistencia Instrumentos de recuperación Videos del producto

Ejemplo de análisis de un gráfico de cadena de desarrollo de la amenaza

24 de mayo de 2023

ID 213463

Esta sección contiene un ejemplo de un gráfico de cadena de desarrollo de la amenaza y cómo puede usarlo para analizar un ataque a los dispositivos de sus usuarios.

Consideremos un ataque mediante el uso de un mensaje de correo electrónico de phishing que contiene un archivo adjunto. El archivo adjunto es un archivo ejecutable.

El usuario guarda y ejecuta el archivo en su dispositivo. Kaspersky Endpoint Security para Windows detecta el tipo de objeto malicioso detectado.

Una detección en Kaspersky Endpoint Security para Windows

El widget de Root-Cause Analysis muestra hasta diez detecciones.

Widget de Análisis de causas raíz

Si hace clic en el enlace Examinar en la línea requerida del widget, puede continuar a un gráfico de la cadena de desarrollo de la amenaza.

Un gráfico de cadena de desarrollo de la amenaza

El gráfico de la cadena de desarrollo de la amenaza le proporciona información sobre la detección, por ejemplo: acciones que ocurrieron en el dispositivo durante la detección, categoría de la amenaza que se detectó, origen del archivo (en este ejemplo, un correo electrónico) y usuario que descargó el archivo (en este ejemplo, un administrador). Además, el gráfico de cadena muestra que se crearon archivos adicionales en el dispositivo, que se establecieron varias conexiones de red y que se cambiaron algunas claves de registro.

Con base en esta información, puede hacer lo siguiente:

  • Verifique la configuración del servidor de correo.
  • Agregue el remitente del mensaje de correo electrónico a la lista de denegación (si el remitente es externo), o diríjase a él o ella directamente (si el remitente es interno).
  • Compruebe si otros dispositivos se han conectado a las mismas direcciones IP.
  • Agregue estas direcciones IP a la lista de denegación.

Si hace clic en un vínculo en los campos SHA256, MD5, Dirección IP o URL en la información detallada sobre un archivo, se lo dirige a Kaspersky Threat Intelligence Portal https://opentip.kaspersky.com/. El portal muestra que el archivo detectado no es una amenaza ni un archivo conocido.

Portal de inteligencia de la amenaza de Kaspersky

Este ejemplo muestra la importancia de la función Análisis de causas raíz. El archivo principal del archivo detectado no es de confianza, pero no es malicioso. Significa que Kaspersky Endpoint Security para Windows no lo ha detectado. Este archivo todavía está presente en el dispositivo y dentro de la organización. Si la organización tiene dispositivos en los que algunos componentes de protección están deshabilitados (por ejemplo, Detección de comportamiento) o en los que las bases de datos antimalware no están actualizadas, la actividad maliciosa del archivo principal no se detectará y los delincuentes podrían tener la oportunidad de penetrar en la infraestructura de su organización.

¿El artículo le resultó útil?
¿En qué podemos mejorar?
¡Gracias por sus comentarios! Nos está ayudando a mejorar.
¡Gracias por sus comentarios! Nos está ayudando a mejorar.