Przeglądanie wykresu łańcucha rozprzestrzeniania się zagrożeń
24 maja 2023
ID 231766
Dla każdego alertu wykrytego przez funkcję Endpoint Detection and Response przy użyciu technologii Endpoint Protection Platform (EPP) i wyświetlanego w widżecie lub w tabeli można wyświetlić wykres łańcucha rozprzestrzeniania się zagrożeń.
Wykres łańcucha rozprzestrzenia się zagrożeń jest narzędziem do analizy pierwotnej przyczyny ataku. Wykres zawiera wizualne informacje o obiektach biorących udział w ataku, na przykład o procesach na zarządzanym urządzeniu, połączeniach sieciowych lub kluczach rejestru.
Analizując wykres łańcucha rozprzestrzeniania się zagrożeń, możesz chcieć ręcznie wykonać działanie lub dostroić funkcję wykrywania i reagowania w funkcji Endpoint Detection and Response.
Aby wyświetlić wykres łańcucha rozprzestrzeniania się zagrożeń:
- Przejdź do tabeli lub widżetu Endpoint Detection and Response.
- W wymaganym wierszu, w którym wartość kolumny Technologia to EPP, kliknij Sprawdź.
Zostanie otwarte okno Łańcuch rozprzestrzeniania się zagrożeń. Okno zawiera wykres łańcucha rozprzestrzeniania się zagrożeń i szczegółowe informacje o alertach.
Wykres łańcucha rozprzestrzeniania się zagrożeń przedstawia następujące typy obiektów:
- Proces
- Plik
- Połączenie sieciowe
- Klucz rejestru
Wykres jest generowany zgodnie z następującymi regułami:
- Centralnym punktem wykresu jest proces, który spełnia jedną z następujących reguł:
- Jeśli zagrożenie zostało wykryte w procesie, to właśnie jest to ten proces.
- Jeśli zagrożenie zostało wykryte w pliku, jest to proces, który utworzył ten plik.
- W przypadku procesu, o którym mowa w regule 1, wykres przedstawia maksymalnie dwa procesy nadrzędne. Proces nadrzędny to taki, który wygenerował lub zmodyfikował proces potomny.
- W przypadku procesu, o którym mowa w regule 1, wykres przedstawia wszystkie inne powiązane obiekty: utworzone pliki, utworzone i zmodyfikowane procesy potomne, zorganizowane połączenia sieciowe i zmodyfikowane klucze rejestru.
Po kliknięciu dowolnego obiektu na wykresie poniższy obszar pokazuje szczegółowe informacje o wybranym obiekcie.
Po kliknięciu odnośnika w polach SHA-256, MD5, Adres IP lub URL w szczegółowych informacjach o pliku nastąpi przekierowanie do portalu Kaspersky Threat Intelligence https://opentip.kaspersky.com/. Portal łączy całą wiedzę zdobytą przez Kaspersky na temat cyberzagrożeń w jednej usłudze internetowej. Umożliwia sprawdzenie każdego podejrzanego wskaźnika zagrożenia, czy jest to plik, skrót pliku, adres IP czy adres internetowy.