Root-Cause Analysis

В этом разделе приведена информация о функции Root-Cause Analysis.

Функция Root-Cause Analysis позволяет обнаруживать и ликвидировать расширенные атаки, выполнять анализ их причин с помощью наглядной схемы цепочки развития угрозы и переходить к детализированным данным для дальнейшего анализа.

Эта функция доступна, только если программа Kaspersky Endpoint Security Cloud активирована в рамках лицензии Kaspersky Endpoint Security Cloud Plus.
Если программа Kaspersky Endpoint Security Cloud активирована в рамках лицензии Kaspersky Endpoint Security Cloud Pro, будет доступно полноценное решение Endpoint Detection and Response.

Для использования этой функции требуется Kaspersky Endpoint Security 11.8 для Windows и выше.

О Root-Cause Analysis

Kaspersky Endpoint Security Cloud позволяет обнаруживать и ликвидировать расширенные атаки, выполнять анализ их причин с помощью наглядной схемы цепочки развития угрозы и переходить к детализированным данным для дальнейшего анализа.

Эта функция доступна, только если программа Kaspersky Endpoint Security Cloud активирована в рамках лицензии Kaspersky Endpoint Security Cloud Plus.
Если программа Kaspersky Endpoint Security Cloud активирована в рамках лицензии Kaspersky Endpoint Security Cloud Pro, будет доступно полноценное решение Endpoint Detection and Response.

Для использования этой функции требуется Kaspersky Endpoint Security 11.8 для Windows и выше.

Root-Cause Analysis обнаруживает угрозы в следующих типах объектов:

• Процесс
• Файл
• Ключ реестра
• Сетевое подключение

Приступить к использованию функции Root-Cause Analysis можно при первом запуске Консоли управления Kaspersky Endpoint Security Cloud или после обновления Kaspersky Endpoint Security Cloud до новой версии. Если вы не включили использование Root-Cause Analysis во время первоначальной или дополнительной настройки Kaspersky Endpoint Security Cloud, можно включить его позже.

В виджете и таблице Root-Cause Analysis отображаются обнаружения, происходящие на устройствах пользователей, и можно также исследовать схему цепочки развития угрозы для каждого обнаружения. Виджет показывает до 10 обнаружений, а таблица – до 1000 обнаружений.

Из таблицы Root-Cause Analysis можно экспортировать информацию обо всех текущих обнаружениях в файл CSV.

Если вы хотите прекратить использование этой функции, вы можете отключить ее, а затем снова включить.

Начало использования Root-Cause Analysis

Приступить к использованию функции Root-Cause Analysis можно при первом запуске Консоли управления Kaspersky Endpoint Security Cloud или после обновления Kaspersky Endpoint Security Cloud до новой версии. Если вы не включили использование Root-Cause Analysis во время первоначальной или дополнительной настройки Kaspersky Endpoint Security Cloud, можно включить его, как описано в этом разделе.

После начала использования функции выполняется автоматическая подготовка дистрибутива Kaspersky Endpoint Security для Windows (версия 11.8 и выше). Затем Kaspersky Endpoint Security для Windows автоматически обновляется на управляемых устройствах с операционной системой Windows.

Чтобы начать использовать Root-Cause Analysis:

1. Запустите Консоль Управления Kaspersky Endpoint Security Cloud.
2. Выполните любое из следующих действий:
   • В разделе Панель информации перейдите на закладку Начало работы.
   • В разделе Панель информации перейдите на закладку Мониторинг.
   • В разделе Параметры, в подразделе Использование Root-Cause Analysis нажмите на ссылку Параметры.

     Откроется страница Root-Cause Analysis.

3. Нажмите Включить Root-Cause Analysis.

   Откроется окно мастера включения Root-Cause Analysis.

   Некоторые шаги мастера могут отсутствовать, если вы выполняли соответствующие действия при первоначальной или дополнительной настройке Kaspersky Endpoint Security Cloud.

   Откроется окно Соглашения для Kaspersky Endpoint Security для Windows.

   В этом окне отображаются тексты Лицензионных соглашений для Kaspersky Endpoint Security для Windows и Агента администрирования Kaspersky Security Center, Дополнительных положений об обработке данных для Kaspersky Endpoint Security для Windows и Агента администрирования, а также ссылка на Политику конфиденциальности для продуктов и сервисов "Лаборатории Касперского".

4. Ознакомьтесь с текстом каждого документа.

   Если вы согласны с условиями и положениями этих соглашений и если вы понимаете и соглашаетесь, что ваши данные будут обрабатываться и пересылаться (в том числе в третьи страны) согласно условиям Политики конфиденциальности, и вы подтверждаете, что полностью прочитали и поняли Политику конфиденциальности, установите флажки напротив перечисленных документов и нажмите на кнопку Я принимаю условия.

   Если вы не принимаете условия и положения, не используйте программы безопасности. Если установлены не все, а отдельные флажки, использовать Root-Cause Analysis не удастся. Окно Соглашения для Kaspersky Endpoint Security для Windows закроется.

   Откроется окно Параметры прокси-сервера.

5. При необходимости настройте параметры прокси-сервера и нажмите на кнопку Следующее.

Root-Cause Analysis включен.

Позже вы можете отключить эту функцию, если не захотите ее использовать.

Просмотр информации об обнаружениях Root-Cause Analysis

Вы можете просмотреть информацию об обнаружениях Root-Cause Analysis в виджете и в таблице. Виджет показывает до 10 обнаружений, а таблица – до 1000 обнаружений.

Виджет Root-Cause Analysis

Чтобы просмотреть виджет Root-Cause Analysis, выполните следующие действия:

1. Запустите Консоль Управления Kaspersky Endpoint Security Cloud.
2. В разделе Панель информации перейдите на закладку Мониторинг.
3. Если функция Root-Cause Analysis выключена, включите ее.

В виджете отображаются запрашиваемые данные.

Из отображаемого виджета можно перейти к следующим данным:

• Свойства устройства, на котором произошло обнаружение.
• Схема цепочки развития угрозы для анализа первопричин атаки.
• Таблица с обнаружениями Root-Cause Analysis.

Таблица Root-Cause Analysis

Чтобы просмотреть таблицу с обнаружениями Root-Cause Analysis, выполните следующие действия:

1. Запустите Консоль Управления Kaspersky Endpoint Security Cloud.
2. Откройте окно Обнаружения Root-Cause Analysis одним из следующих способов:
   • В разделе Панель информации откройте закладку Мониторинг, а затем перейдите по ссылке Перейти к списку обнаружений в виджете Root-Cause Analysis.
   • Выберите раздел Управление безопасностью → Root-Cause Analysis.
3. Если функция Root-Cause Analysis выключена, включите ее.

   В таблице отображаются запрашиваемые данные.

4. Отфильтруйте отображаемые записи, выбрав требуемые значения в раскрывающихся списках:
   • Дата обнаружения

     Период, в течение которого происходили обнаружения.

   • Статус

     Обработаны или не обработаны (удалены) обнаруженные объекты.

Из отображаемой таблицы можно перейти к следующим данным:

• Свойства устройства, на котором произошло обнаружение.
• Параметры профиля безопасности, назначенного пользователю, которому принадлежит затронутое устройство.
• Схема цепочки развития угрозы для анализа первопричин атаки.

Кроме того, можно экспортировать информацию обо всех текущих обнаружениях в файл CSV.

Просмотр схемы цепочки развития угрозы

Для каждого обнаружения функции Root-Cause Analysis, отображаемого в виджете или в таблице, можно просмотреть схему цепочки развития угрозы.

Схема цепочки развития угрозы – это инструмент для анализа первопричины атак. Схема предоставляет визуальную информацию об объектах, участвующих в атаке, таких как процессы на управляемом устройстве, сетевые подключения или ключи реестра.

Чтобы просмотреть схему цепочки развития угрозы, выполните следующие действия:

1. Перейдите к виджету или таблице Root-Cause Analysis.
2. В требуемой строке нажмите Просмотр.

Откроется окно Информация об обнаружениях Root-Cause Analysis. В окне отображается схема цепочки развития угрозы и подробная информация об обнаружении.

На схеме цепочки развития угрозы показаны следующие типы объектов:

• Процесс
• Файл
• Сетевое подключение
• Ключ реестра

Схема формируется по следующим правилам:

1. Центральная точка схемы – это процесс, соответствующий любому из следующих правил:
   • Если угроза была обнаружена внутри процесса, это сам процесс.
   • Если угроза была обнаружена в файле, это процесс, создавший этот файл.
2. Для процесса, упомянутого в правиле 1, на схеме отображается до двух родительских процессов. Родительский процесс – это процесс, сформировавший или изменивший дочерний процесс.
3. Для процесса, упомянутого в правиле 1, на графике показаны все прочие связанные объекты: созданные файлы, созданные и измененные дочерние процессы, организованные сетевые соединения и измененные ключи реестра.

При выборе любого объекта на схеме, в области ниже отображается подробная информация о выбранном объекте.

Ссылки в полях SHA256, MD5, IP-адреса и веб-адреса в разделе с подробной информацией о файле ведут на портал Kaspersky Threat Intelligence Portal https://opentip.kaspersky.com/. На портале вся доступная информация "Лаборатории Касперского" о киберугрозах объединена в единый веб-сервис, позволяющий проверять все подозрительные индикаторы угроз: файлы, хеши файлов, IP-адреса и веб-адреса.

В начало

Пример анализа схемы цепочки развития угрозы

В этом разделе приведен пример схемы цепочки развития угрозы и описано его применение для анализа атак на устройства пользователей.

Рассмотрим атаку с использованием фишингового сообщения электронной почты, содержащего вложение. Вложение представляет собой исполняемый файл.

Пользователь сохраняет и запускает файл на своем устройстве. Kaspersky Endpoint Security для Windows фиксирует угрозу типа Обнаружен вредоносный объект.

Обнаружение в Kaspersky Endpoint Security для Windows

Виджет Root-Cause Analysis показывает до 10 обнаружений.

Виджет Root-Cause Analysis

По ссылке Просмотр в нужной строке виджета можно перейти к схеме цепочки развития угрозы.

Схема цепочки развития угрозы

Схема цепочки развития угрозы предоставляет информацию об обнаружении: действия, произошедшие на устройстве во время обнаружения, категория обнаруженной угрозы, происхождение файла (в этом примере – электронная почта), пользователь, загрузивший файл (в этом примере – администратор). Кроме того, схема показывает, что на устройстве были созданы дополнительные файлы, установлено несколько сетевых подключений и изменены некоторые ключи реестра.

На основании этой информации можно выполнить следующие действия:

• Проверить параметры почтового сервера.
• Добавить отправителя сообщения электронной почты в список запрещенных (если отправитель внешний) или обратиться к нему напрямую (если отправитель внутренний).
• Проверить, подключены ли другие устройства к этим IP-адресам.
• Добавить эти IP-адреса в список запрещенных.

Ссылки в полях SHA256, MD5, IP-адреса и веб-адреса в разделе с подробной информацией о файле ведут на портал Kaspersky Threat Intelligence Portal https://opentip.kaspersky.com/. На портале можно увидеть, что обнаруженный файл не является ни угрозой, ни известным файлом.

Kaspersky Threat Intelligence Portal

Этот пример показывает важность функции Root-Cause Analysis. Родительский файл обнаруженного файла является недоверенным, но не является вредоносным. Это означает, что он не был обнаружен программой Kaspersky Endpoint Security для Windows. Этот файл все еще присутствует на устройстве и в организации. Если на некоторых устройствах организации отключены отдельные компоненты защиты (например, Анализ поведения) или не обновлены базы вредоносного ПО, то обнаружить вредоносную активность родительского файла не удастся, и злоумышленники смогут проникнуть в инфраструктуру организации.

Экспорт информации об обнаружениях Root-Cause Analysis

Из таблицы обнаружений Root-Cause Analysis можно экспортировать информацию обо всех текущих обнаружениях в файл CSV. Например, файл с обнаружениями можно использовать для подготовки отчета для руководства.

Чтобы экспортировать информацию об обнаружениях Root-Cause Analysis, выполните следующие действия:

1. Перейдите к таблице с обнаружениями Root-Cause Analysis.
2. Нажмите на кнопку Экспорт обнаружений.

   Откроется окно Экспорт обнаружений Root-Cause Analysis.

3. Нажмите на кнопку Экспорт для подтверждения.

Файл с обнаружениями Root-Cause Analysis будет создан и автоматически загружен. Файл содержит те же столбцы, что и таблица с обнаружениями.

В начало

Отключение Root-Cause Analysis

Если вы хотите прекратить использование функции Root-Cause Analysis, вы можете отключить ее, как описано в этом разделе.

Чтобы отключить Root-Cause Analysis, выполните следующие действия:

1. Запустите Консоль Управления Kaspersky Endpoint Security Cloud.
2. Выберите раздел Параметры.

   Отобразится страница Общие параметры Kaspersky Endpoint Security Cloud.

3. Перейдите по ссылке Параметры в разделе Использование Root-Cause Analysis.

   Откроется страница Root-Cause Analysis.

4. Нажмите на кнопку Отключить Root-Cause Analysis.
5. В открывшемся окне подтверждения нажмите на кнопку Отключить.

Root-Cause Analysis отключен.

В дальнейшем можно снова включить этот компонент.