威脅發展鏈圖分析例子

2024年5月17日

ID 213463

本節載有威脅發展鏈圖的例子,以及如何使用它來分析用戶裝置受到的攻擊。

假設我們受到使用電郵附件進行的網絡釣魚攻擊。該電郵的附件是一個可執行檔。

用戶在裝置上儲存並執行該檔案。Kaspersky Endpoint Security for Windows 偵測到惡意物件類型。

Kaspersky Endpoint Security for Windows 的檔案威脅防護視窗。

Kaspersky Endpoint Security for Windows 中的檢測結果

根源分析小工具最多顯示 10 個偵測結果。

根源分析小工具。

根源分析小工具

點擊小工具所需資料行中的「檢視」連結,即可查看威脅發展鏈圖。

根源分析檢測詳情視窗。

威脅發展鏈圖

威脅發展鏈圖將為您提供檢測資料,當中包括檢測期間裝置上的操作、偵測到的威脅類別、檔案來源(在本例中為電郵)、下載檔案的用戶(在本例中為管理員)。此外,鏈圖還會顯示在裝置上建立的其他檔案、網絡連線數量,以及曾變更的登錄機碼。

根據上述資料,您可以執行以下操作:

  • 驗證郵件伺服器設定。
  • 將電郵寄件人新增至拒絕列(如果寄件人內自外部),或直接與對方聯絡(如果寄件人內自內部)。
  • 檢查其他裝置有否連接到相同的 IP 位址。
  • 將涉事 IP 位址新增至到拒絕列表。

點擊檔案詳情中 SHA256、MD5、IP 位址或 URL 欄位的連結後,您將進入 Kaspersky Threat Intelligence Portal 入口網站https://opentip.kaspersky.com/ 。入口網站顯示的已偵測檔案既不是威脅,也不是已知檔案。

Kaspersky Threat Intelligence Portal 視窗。

Kaspersky Threat Intelligence Portal

此例子將顯示根源分析功能的重要性。如果已偵測檔案的父檔案不可信任,但並非惡意檔案,即代表 Kaspersky Endpoint Security for Windows 尚未偵測該檔案,而且該檔案仍然儲存在裝置上和組織內。如果組織的裝置停用了某些防護元件(例如:行為偵測),或者反惡意軟件資料庫未有及時更新,則無法偵測父檔案的惡意活動。犯罪分子有機可乘,入侵貴組織的基礎設施。

此文章對您有幫助嗎?
我們可以如何改善?
感謝您的意見回饋!您正協助我們改善。
感謝您的意見回饋!您正協助我們改善。