Поддержка

Поддержка приложений для бизнеса

Kaspersky Unified Monitoring and Analysis Platform

Руководство пользователя

Пример расследования инцидента с помощью KUMA

Условия возникновения инцидента

Kaspersky Unified Monitoring and Analysis Platform
Нет результатов
База знаний Онлайн-справка
FAQ Обзор решения Форум Запрос в поддержку Видео

Условия возникновения инцидента

05 апреля 2024

ID 245800

Скачать PDF

Параметры компьютера (далее также "актива"), на котором произошел инцидент:

  • ОС актива – Windows 10.
  • Программное обеспечение актива – Kaspersky Administration Kit, Kaspersky Endpoint Security.

Параметры KUMA:

  • Настроена интеграция с Active Directory, Kaspersky Security Center, Kaspersky Endpoint Detection and Response.
  • Установлены правила корреляции SOC_package из комплекта поставки программы.

Злоумышленник, заметив не заблокированный компьютер администратора, выполнил следующие действия на этом компьютере:

  1. Скачал вредоносный файл со своего сервера.
  2. Выполнил команду для создания ключа реестра в ветви \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
  3. Добавил скачанный на первом шаге файл в автозапуск с помощью реестра.
  4. Очистил журнал событий безопасности Windows.
  5. Завершил сессию.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!