Просмотр информации об обнаружениях Endpoint Detection and Response

Информация об обнаружениях Endpoint Detection and Response доступна для просмотра в виджете и в таблице. В виджете отображается до 10 обнаружений, а в таблице – до 1000.

Если вы включили уведомления о событиях Обнаружен IOC, в некоторых случаях вы будете получать уведомление об обнаружении IoC прежде, чем соответствующее оповещение появится в окне Kaspersky Endpoint Security Cloud. Это связано с тем, что события происходят во время поиска IoC, а обнаружения появляются только после завершения проверки.

Виджет Endpoint Detection and Response

Чтобы просмотреть виджет Endpoint Detection and Response, выполните следующие действия:

1. Запустите Консоль Управления Kaspersky Endpoint Security Cloud.
2. В разделе Панель информации перейдите на закладку Мониторинг.
3. Если функция Endpoint Detection and Response выключена, включите ее.

В виджете отображаются запрашиваемые данные.

Из отображаемого виджета можно перейти к следующим данным:

• Свойства устройства, на котором произошло обнаружение.
• Сведения об обнаружениях, в зависимости от используемой технологии:
  • Если обнаружение выполнено Endpoint Protection Platform (EPP) – схема цепочки развития угрозы для анализа первопричин атаки и выполнения действий по реагированию.
  • Если обнаружение выполнено в процессе поиска индикаторов компрометации (Поиск IOC) – объекты, обнаруженные с помощью индикаторов компрометации и автоматически выполняемые действия по реагированию.
• Таблица с обнаружениями Endpoint Detection and Response.

Таблица Endpoint Detection and Response

Чтобы просмотреть данные в таблице с обнаружениями Endpoint Detection and Response, выполните следующие действия:

1. Запустите Консоль Управления Kaspersky Endpoint Security Cloud.
2. Откройте окно Обнаружения Endpoint Detection and Response одним из следующих способов:
   • В разделе Панель информации откройте закладку Мониторинг, а затем перейдите по ссылке Перейти к списку обнаружений в виджете Endpoint Detection and Response.
   • Выберите раздел Управление безопасностью → Endpoint Detection and Response.
3. Если функция Endpoint Detection and Response выключена, включите ее.

   В таблице отображаются запрашиваемые данные.

4. Отфильтруйте отображаемые записи, выбрав требуемые значения в раскрывающихся списках:
   • Дата обнаружения

     Период, в течение которого происходили обнаружения.

   • Статус

     Статус обнаружений, в зависимости от используемой технологии:

     • Если обнаружение выполнено EPP – были ли обнаруженные объекты вылечены или удалены (не вылечены).
     • Если обнаружение выполнено в процессе Поиска IOC – были ли индикаторы компрометации только обнаружены или также были автоматически выполнены действия по реагированию.
   • Технология

     Технология, выполнившая обнаружение: EPP или Поиск IOC.

Из отображаемой таблицы можно перейти к следующим данным:

• Свойства устройства, на котором произошло обнаружение.
• Параметры профиля безопасности, назначенного пользователю, которому принадлежит затронутое устройство.
• Сведения об обнаружениях, в зависимости от используемой технологии:
  • Если обнаружение выполнено Endpoint Protection Platform (EPP) – схема цепочки развития угрозы для анализа первопричин атаки и выполнения действий по реагированию.
  • Если обнаружение выполнено в процессе поиска индикаторов компрометации (Поиск IOC) – объекты, обнаруженные с помощью индикаторов компрометации и автоматически выполняемые действия по реагированию.

Кроме того, можно экспортировать информацию обо всех текущих обнаружениях в файл CSV.

Просмотр схемы цепочки развития угрозы

Для каждого обнаружения, выполненного Endpoint Detection and Response с использованием технологии Endpoint Protection Platform (EPP) и отображаемого в виджете или в таблице, можно просмотреть схему цепочки развития угрозы.

Схема цепочки развития угрозы – это инструмент для анализа первопричины атак. Схема предоставляет визуальную информацию об объектах, участвующих в атаке, таких как процессы на управляемом устройстве, сетевые подключения или ключи реестра.

При анализе схемы цепочки развития угрозы можно вручную выполнять действия по реагированию или настроить функцию Endpoint Detection and Response.

Чтобы просмотреть схему цепочки развития угрозы, выполните следующие действия:

1. Перейдите к виджету или таблице Endpoint Detection and Response.
2. В строке, для которой в столбце Технология указано значение EPP, нажмите на кнопку Просмотр.

Откроется окно Схема цепочки развития угрозы. В окне отображается схема цепочки развития угрозы и подробная информация об обнаружении.

На схеме цепочки развития угрозы показаны следующие типы объектов:

• Процесс
• Файл
• Сетевое подключение
• Ключ реестра

Схема формируется по следующим правилам:

1. Центральная точка схемы – это процесс, соответствующий любому из следующих правил:
   • Если угроза была обнаружена внутри процесса, это сам процесс.
   • Если угроза была обнаружена в файле, это процесс, создавший этот файл.
2. Для процесса, упомянутого в правиле 1, на схеме отображается до двух родительских процессов. Родительский процесс – это процесс, сформировавший или изменивший дочерний процесс.
3. Для процесса, упомянутого в правиле 1, на графике показаны все прочие связанные объекты: созданные файлы, созданные и измененные дочерние процессы, организованные сетевые соединения и измененные ключи реестра.

При выборе любого объекта на схеме, в области ниже отображается подробная информация о выбранном объекте.

Ссылки в полях SHA256, MD5, IP-адреса и веб-адреса в разделе с подробной информацией о файле ведут на портал Kaspersky Threat Intelligence Portal https://opentip.kaspersky.com/. На портале вся доступная информация "Лаборатории Касперского" о киберугрозах объединена в единый веб-сервис, позволяющий проверять все подозрительные индикаторы угроз: файлы, хеши файлов, IP-адреса и веб-адреса.

В начало

Пример анализа схемы цепочки развития угрозы

В этом разделе приведен пример схемы цепочки развития угрозы и описано его применение для анализа атак на устройства пользователей.

Рассмотрим атаку с использованием фишингового сообщения электронной почты, содержащего вложение. Вложение представляет собой исполняемый файл.

Пользователь сохраняет и запускает файл на своем устройстве. Kaspersky Endpoint Security для Windows фиксирует угрозу типа Обнаружен вредоносный объект.

Обнаружение в Kaspersky Endpoint Security для Windows

В виджете Endpoint Detection and Response отображается до 10 обнаружений.

Виджет Endpoint Detection and Response

По ссылке Просмотр в нужной строке виджета можно перейти к схеме цепочки развития угрозы.

Схема цепочки развития угрозы

Схема цепочки развития угрозы предоставляет информацию об обнаружении: действия, произошедшие на устройстве во время обнаружения, категория обнаруженной угрозы, происхождение файла (в этом примере – электронная почта), пользователь, загрузивший файл (в этом примере – администратор). Кроме того, схема показывает, что на устройстве были созданы дополнительные файлы, установлено несколько сетевых подключений и изменены некоторые ключи реестра.

На основании этой информации можно выполнить следующие действия:

• Проверить параметры почтового сервера.
• Добавить отправителя сообщения электронной почты в список запрещенных (если отправитель внешний) или обратиться к нему напрямую (если отправитель внутренний).
• Проверить, подключены ли другие устройства к этим IP-адресам.
• Добавить эти IP-адреса в список запрещенных.

Ссылки в полях SHA256, MD5, IP-адреса и веб-адреса в разделе с подробной информацией о файле ведут на портал Kaspersky Threat Intelligence Portal https://opentip.kaspersky.com/. На портале можно увидеть, что обнаруженный файл не является ни угрозой, ни известным файлом.

Kaspersky Threat Intelligence Portal

Этот пример показывает важность функции Endpoint Detection and Response. Родительский файл обнаруженного файла является недоверенным, но не является вредоносным. Это означает, что он не был обнаружен программой Kaspersky Endpoint Security для Windows. Этот файл все еще присутствует на устройстве и в организации. Если на некоторых устройствах организации отключены отдельные компоненты защиты (например, Анализ поведения) или не обновлены базы вредоносного ПО, то обнаружить вредоносную активность родительского файла не удастся, и злоумышленники смогут проникнуть в инфраструктуру организации.

Просмотр результатов выполнения Поиска IOC

Для каждого обнаружения, выполненного Endpoint Detection and Response с использованием технологии поиска индикаторов компрометации (Поиск IOC) и отображаемого в виджете или в таблице, можно просмотреть информацию об объектах, обнаруженных с помощью индикаторов компрометации, и автоматически выполненных действиях по реагированию.

При анализе результатов поиска IOC можно вручную выполнять действия по реагированию или настроить функцию Endpoint Detection and Response.

Чтобы просмотреть результаты Поиска IOC, выполните следующие действия:

1. Перейдите к виджету или таблице Endpoint Detection and Response.
2. В строке, для которой в столбце Технология указано значение IOC, нажмите на кнопку Просмотр.

Откроется окно Результаты Поиска IOC. Окно содержит подробную информацию об обнаруженных индикаторах компрометации и автоматически выполненных действиях по реагированию.