威脅發展鏈圖分析例子

本節載有威脅發展鏈圖的例子，以及如何使用它來分析用戶裝置受到的攻擊。

假設我們受到使用電郵附件進行的網絡釣魚攻擊。該電郵的附件是一個可執行檔。

用戶在裝置上儲存並執行該檔案。Kaspersky Endpoint Security for Windows 偵測到惡意物件類型。

Kaspersky Endpoint Security for Windows 中的檢測結果

根源分析小工具最多顯示 10 個偵測結果。

根源分析小工具

點擊小工具所需資料行中的「檢視」連結，即可查看威脅發展鏈圖。

威脅發展鏈圖

威脅發展鏈圖將為您提供檢測資料，當中包括檢測期間裝置上的操作、偵測到的威脅類別、檔案來源（在本例中為電郵）、下載檔案的用戶（在本例中為管理員）。此外，鏈圖還會顯示在裝置上建立的其他檔案、網絡連線數量，以及曾變更的登錄機碼。

根據上述資料，您可以執行以下操作：

• 驗證郵件伺服器設定。
• 將電郵寄件人新增至拒絕列（如果寄件人內自外部），或直接與對方聯絡（如果寄件人內自內部）。
• 檢查其他裝置有否連接到相同的 IP 位址。
• 將涉事 IP 位址新增至到拒絕列表。

點擊檔案詳情中 SHA256、MD5、IP 位址或 URL 欄位的連結後，您將進入 Kaspersky Threat Intelligence Portal 入口網站https://opentip.kaspersky.com/ 。入口網站顯示的已偵測檔案既不是威脅，也不是已知檔案。

Kaspersky Threat Intelligence Portal

此例子將顯示根源分析功能的重要性。如果已偵測檔案的父檔案不可信任，但並非惡意檔案，即代表 Kaspersky Endpoint Security for Windows 尚未偵測該檔案，而且該檔案仍然儲存在裝置上和組織內。如果組織的裝置停用了某些防護元件（例如：行為偵測），或者反惡意軟件資料庫未有及時更新，則無法偵測父檔案的惡意活動。犯罪分子有機可乘，入侵貴組織的基礎設施。