Pomoc techniczna

Pomoc dla biznesu

Kaspersky Endpoint Security Cloud

Konsola zarządzająca Kaspersky Endpoint Security Cloud

Endpoint Detection and Response

Przeglądanie informacji o alertach Endpoint Detection and Response

Przeglądanie wykresu łańcucha rozprzestrzeniania się zagrożeń

Kaspersky Endpoint Security Cloud
Pomoc online
Często zadawane pytania Wymagania systemowe Pobierz najnowszą wersję Wypróbuj Kup Odnów Forum Skontaktuj się z zespołem wsparcia Narzędzia odzyskiwania Filmy o produktach

Przeglądanie wykresu łańcucha rozprzestrzeniania się zagrożeń

24 maja 2023

ID 231766

Dla każdego alertu wykrytego przez funkcję Endpoint Detection and Response przy użyciu technologii Endpoint Protection Platform (EPP) i wyświetlanego w widżecie lub w tabeli można wyświetlić wykres łańcucha rozprzestrzeniania się zagrożeń.

Wykres łańcucha rozprzestrzenia się zagrożeń jest narzędziem do analizy pierwotnej przyczyny ataku. Wykres zawiera wizualne informacje o obiektach biorących udział w ataku, na przykład o procesach na zarządzanym urządzeniu, połączeniach sieciowych lub kluczach rejestru.

Analizując wykres łańcucha rozprzestrzeniania się zagrożeń, możesz chcieć ręcznie wykonać działanie lub dostroić funkcję wykrywania i reagowania w funkcji Endpoint Detection and Response.

Aby wyświetlić wykres łańcucha rozprzestrzeniania się zagrożeń:

  1. Przejdź do tabeli lub widżetu Endpoint Detection and Response.
  2. W wymaganym wierszu, w którym wartość kolumny Technologia to EPP, kliknij Sprawdź.

Zostanie otwarte okno Łańcuch rozprzestrzeniania się zagrożeń. Okno zawiera wykres łańcucha rozprzestrzeniania się zagrożeń i szczegółowe informacje o alertach.

Wykres łańcucha rozprzestrzeniania się zagrożeń przedstawia następujące typy obiektów:

  • Proces
  • Plik
  • Połączenie sieciowe
  • Klucz rejestru

Wykres jest generowany zgodnie z następującymi regułami:

  1. Centralnym punktem wykresu jest proces, który spełnia jedną z następujących reguł:
    • Jeśli zagrożenie zostało wykryte w procesie, to właśnie jest to ten proces.
    • Jeśli zagrożenie zostało wykryte w pliku, jest to proces, który utworzył ten plik.
  2. W przypadku procesu, o którym mowa w regule 1, wykres przedstawia maksymalnie dwa procesy nadrzędne. Proces nadrzędny to taki, który wygenerował lub zmodyfikował proces potomny.
  3. W przypadku procesu, o którym mowa w regule 1, wykres przedstawia wszystkie inne powiązane obiekty: utworzone pliki, utworzone i zmodyfikowane procesy potomne, zorganizowane połączenia sieciowe i zmodyfikowane klucze rejestru.

Po kliknięciu dowolnego obiektu na wykresie poniższy obszar pokazuje szczegółowe informacje o wybranym obiekcie.

Po kliknięciu odnośnika w polach SHA-256, MD5, Adres IP lub URL w szczegółowych informacjach o pliku nastąpi przekierowanie do portalu Kaspersky Threat Intelligence https://opentip.kaspersky.com/. Portal łączy całą wiedzę zdobytą przez Kaspersky na temat cyberzagrożeń w jednej usłudze internetowej. Umożliwia sprawdzenie każdego podejrzanego wskaźnika zagrożenia, czy jest to plik, skrót pliku, adres IP czy adres internetowy.

Czy ten artykuł był pomocny?
Co możemy zrobić lepiej?
Dziękujemy za opinię! Dzięki niej możemy stawać się lepsi.
Dziękujemy za opinię! Dzięki niej możemy stawać się lepsi.