Просмотр графика цепочки развития угроз

Для каждого обнаружения, выполненного Endpoint Detection and Response с использованием технологии Endpoint Protection Platform (EPP) и отображаемого в виджете или в таблице, можно просмотреть график цепочки развития угроз.

График цепочки развития угроз – это инструмент для анализа первопричины атак. График предоставляет визуальную информацию об объектах, участвующих в атаке, таких как процессы на управляемом устройстве, сетевые подключения или ключи реестра.

При анализе графика цепочки развития угроз можно вручную выполнять действия по реагированию или настроить функцию Endpoint Detection and Response.

Чтобы просмотреть график цепочки развития угроз, выполните следующие действия:

1. Перейдите к виджету или таблице Endpoint Detection and Response.
2. В строке, для которой в столбце Технология указано значение EPP, нажмите на кнопку Просмотр.

Откроется окно Визуальное представление цепочки развития угроз. В окне отображается график цепочки развития угроз и подробная информация об обнаружении.

На графике цепочки развития угроз показаны следующие типы объектов:

• Процесс
• Файл
• Сетевое подключение
• Ключ реестра

График формируется по следующим правилам:

1. Центральная точка графика – это процесс, соответствующий любому из следующих правил:
   • Если угроза была обнаружена внутри процесса, это сам процесс.
   • Если угроза была обнаружена в файле, это процесс, создавший этот файл.
2. Для процесса, упомянутого в правиле 1, на графике отображается до двух родительских процессов. Родительский процесс – это процесс, сформировавший или изменивший дочерний процесс.
3. Для процесса, упомянутого в правиле 1, на графике показаны все прочие связанные объекты: созданные файлы, созданные и измененные дочерние процессы, организованные сетевые соединения и измененные ключи реестра.

При выборе любого объекта на графике, в области ниже отображается подробная информация о выбранном объекте.

Ссылки в полях SHA256, MD5, IP-адреса и веб-адреса в разделе с подробной информацией о файле ведут на портал Kaspersky Threat Intelligence Portal https://opentip.kaspersky.com/. На портале вся доступная информация "Лаборатории Касперского" о киберугрозах объединена в единый веб-сервис, позволяющий проверять все подозрительные индикаторы угроз: файлы, хеши файлов, IP-адреса и веб-адреса.

В начало