Просмотр сведений об инцидентах EDR

02 февраля 2024

ID 264579

События по технологии EPP могут содержать сведения о цепочках развития угроз, полученные от Kaspersky Endpoint Agent. Если для события построена цепочка развития угрозы, в Kaspersky Industrial CyberSecurity for Networks такое событие считается инцидентом Endpoint Detection and Response (далее также "инцидент EDR").

Цепочка развития угрозы представляет собой последовательность событий активности на устройстве, имеющих отношение к обнаруженной угрозе. Ключевым событием активности в цепочке развития угрозы является событие активности с объектом обнаружения угрозы. Все остальные события активности в цепочке (предшествующие и последующие по отношению к ключевому событию активности) сохраняются для дальнейшего анализа развития угрозы.

Сведения о построенной цепочке развития угрозы могут добавляться в событие не одновременно с регистрацией этого события. Максимальное время, через которое программа может добавить эти сведения в событие после его регистрации – 10 часов. Сведения не добавляются, если событию присвоен статус Обработано.

События, являющиеся инцидентами EDR, отмечены в таблице событий значком EDR. Для каждого инцидента EDR вы можете просмотреть сведения о построенной цепочке развития угрозы в области деталей. Сведения отображаются на следующих вкладках области деталей:

  • Граф событий активности – предоставляет визуальную информацию об объектах, задействованных в цепочке развития угрозы. События активности на графе представлены в виде узлов. Узлы располагаются на разных уровнях в соответствии с выявленным процессом развития угрозы. Ключевое событие активности располагается на нижнем уровне графа. На этом уровне также могут отображаться узлы, в которых сгруппированы другие события активности по их типам. Выше этого уровня программа может отображать до четырех уровней с узлами событий активности.
  • Все события активности – отображает в табличном виде сведения о всех событиях активности, входящих в цепочку развития угрозы и представленных в виде узлов на графе событий активности.

При просмотре сведений об инциденте EDR вы можете определить состояние возможной угрозы по статусу обработки обнаружения. Программа отображает этот статус для цепочки развития угрозы. Цвет фона для статуса зависит от результата обработки объекта обнаружения угрозы:

  • если в результате обработки обнаруженная угроза считается устраненной (например, зараженный объект был вылечен EPP-приложением), программа отображает статус обработки обнаружения на зеленом фоне;
  • во всех остальных случаях статус обработки обнаружения отображается на красном фоне.

Ключевое событие активности в графе событий активности окрашено тем же цветом, что и статус обработки обнаружения.

Если статус обработки обнаружения отображается на красном фоне, для предотвращения дальнейшего развития возможной угрозы вы можете, например, запустить действие по реагированию в Kaspersky Industrial CyberSecurity for Networks.

При любых обстоятельствах и независимо от отображаемого статуса обработки обнаружения вам нужно провести расследование причин и возможных последствий возникшего инцидента EDR.

Вы можете просматривать подробные сведения о событиях активности в окнах деталей, которые открываются при выборе событий активности. При просмотре сведений вы можете использовать ссылки с хешами файлов и URL-адресов для получения информации о репутации этих объектов на веб-портале Kaspersky Threat Intelligence Portal.

Если в цепочке развития угрозы присутствуют события активности, возникновение которых вы хотите обнаруживать при следующих проверках EPP-приложений, вы можете экспортировать данные об этих событиях активности в IOC-файл (файл индикаторов компрометации).

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!