Pomoc techniczna

Pomoc dla biznesu

Kaspersky Endpoint Security Cloud

Konsola zarządzająca Kaspersky Endpoint Security Cloud

Root-Cause Analysis

Wyświetlanie informacji o Root-Cause Analysis

Przykład analizy wykresu łańcucha rozprzestrzenia się zagrożeń

Kaspersky Endpoint Security Cloud
Pomoc online
Często zadawane pytania Wymagania systemowe Pobierz najnowszą wersję Wypróbuj Kup Odnów Forum Skontaktuj się z zespołem wsparcia Narzędzia odzyskiwania Filmy o produktach

Przykład analizy wykresu łańcucha rozprzestrzenia się zagrożeń

29 listopada 2024

ID 213463

Ta sekcja zawiera przykład wykresu łańcucha rozprzestrzenia się zagrożeń i tego, jak można go użyć do analizy ataku na urządzenia użytkowników.

Rozważmy atak przy użyciu phishingowej wiadomości e-mail zawierającej załącznik. Załącznik jest plikiem wykonywalnym.

Użytkownik zapisuje i uruchamia plik na swoim urządzeniu. Kaspersky Endpoint Security for Windows wykrywa typ szkodliwego obiektu.

Okno Ochrona plików przed zagrożeniami w Kaspersky Endpoint Security for Windows.

Wykrywanie w Kaspersky Endpoint Security for Windows

Widżet Root-Cause Analysis pokazuje do 10 wykryć.

Widżet analizy przyczyn źródłowych.

Widżet Root-Cause Analysis

Klikając odnośnik Sprawdź w wymaganym wierszu widżetu, możesz przejść do wykresu łańcucha rozprzestrzeniania się zagrożeń.

Okno ze szczegółami wykrywania w ramach Analizy przyczyn źródłowych.

Wykres łańcucha rozprzestrzenia się zagrożeń

Wykres łańcucha rozprzestrzenia się zagrożeń dostarcza informacji o wykryciu, na przykład: akcje, które wystąpiły na urządzeniu podczas wykrywania, kategoria wykrytego zagrożenia, pochodzenie pliku (w tym przypadku jest to e-mail), użytkownik, który pobrał plik (w tym przypadku jest to administrator). Wykres łańcuchowy pokazuje również, że na urządzeniu utworzono dodatkowe pliki, nawiązano kilka połączeń sieciowych i zmieniono niektóre klucze rejestru.

Na podstawie tych informacji możesz wykonać następujące czynności:

  • Sprawdź ustawienia serwera pocztowego.
  • Dodaj nadawcę wiadomości e-mail do listy zablokowanych (jeśli nadawca jest z zewnątrz) lub zwróć się do niego bezpośrednio (jeśli nadawca jest wewnętrzny).
  • Sprawdź, czy inne urządzenia połączyły się z tymi samymi adresami IP.
  • Dodaj te adresy IP do listy zablokowanych.

Po kliknięciu odnośnika w polach SHA-256, MD5, Adres IP lub URL w szczegółowych informacjach o pliku nastąpi przekierowanie do portalu Kaspersky Threat Intelligence https://opentip.kaspersky.com/. Portal przedstawia, że wykryty plik nie jest ani zagrożeniem, ani znanym plikiem.

Okno Kaspersky Threat Intelligence Portal .

Kaspersky Threat Intelligence Portal

Ten przykład pokazuje znaczenie funkcji Root-Cause Analysis. Plik nadrzędny wykrytego pliku jest niezaufany, ale nie jest to plik szkodliwy. Oznacza to, że nie został wykryty przez Kaspersky Endpoint Security for Windows. Ten plik jest nadal obecny na urządzeniu i w organizacji. Jeśli organizacja ma urządzenia, na których niektóre składniki ochrony są wyłączone (na przykład Wykrywanie zachowań) lub na których bazy danych rozwiązania chroniącego przed złośliwym oprogramowaniem nie są aktualne, szkodliwa aktywność pliku nadrzędnego nie zostanie wykryta, a przestępcy mogą mieć szansę dostać się do infrastruktury Twojej organizacji.

Czy ten artykuł był pomocny?
Co możemy zrobić lepiej?
Dziękujemy za opinię! Dzięki niej możemy stawać się lepsi.
Dziękujemy za opinię! Dzięki niej możemy stawać się lepsi.