Visualizzazione di un grafico della catena di sviluppo delle minacce

17 maggio 2024

ID 212965

Per ogni rilevamento effettuato da Root-Cause Analysis e visualizzato in un widget o in una tabella, è possibile visualizzare un grafico della catena di sviluppo delle minacce.

Un grafico della catena di sviluppo delle minacce è uno strumento per l'analisi della causa principale di un attacco. Il grafico fornisce informazioni visive sugli oggetti coinvolti nell'attacco, ad esempio i processi in un dispositivo gestito, le connessioni di rete o le chiavi del Registro di sistema.

Per visualizzare un grafico della catena di sviluppo delle minacce:

  1. Procedere al widget o alla tabella di Root-Cause Analysis.
  2. Nella riga desiderata fare clic su Esamina.

Verrà visualizzata la finestra Dettagli di rilevamento di Root-Cause Analysis. La finestra contiene un grafico della catena di sviluppo delle minacce e informazioni dettagliate sul rilevamento.

Un grafico della catena di sviluppo delle minacce mostra i seguenti tipi di oggetti:

  • Processo
  • File
  • Connessione di rete
  • Chiave del Registro di sistema

Viene generato un grafico in base alle seguenti regole:

  1. Il punto centrale di un grafico è un processo che soddisfa una delle seguenti regole:
    • Se la minaccia è stata rilevata in un processo, si tratta di questo processo.
    • Se la minaccia è stata rilevata in un file, si tratta del processo che ha creato questo file.
  2. Per il processo menzionato nella regola 1, il grafico visualizza fino a due processi principali. Un processo padre è quello che ha generato o modificato un processo figlio.
  3. Per il processo menzionato nella regola 1, il grafico mostra tutti gli altri oggetti correlati: file creati, processi figlio creati e modificati, connessioni di rete organizzate e chiavi del Registro di sistema modificate.

Quando si fa clic su un oggetto presente in un grafico, l'area sottostante mostra informazioni dettagliate sull'oggetto selezionato.

Quando si fa clic su un collegamento nei campi SHA256, MD5, indirizzo IP o URL nelle informazioni dettagliate su un file, si viene indirizzati al Kaspersky Threat Intelligence Portal https://opentip.kaspersky.com/. Il portale riunisce tutte le competenze acquisite da Kaspersky sulle minacce informatiche in un unico servizio Web. Consente di controllare qualsiasi indicatore di minaccia sospetta, che si tratti di un file, di un hash di file, di un indirizzo IP o di un indirizzo web.

Hai trovato utile questo articolo?
Cosa pensi che potremmo migliorare?
Grazie per il feedback! Ci stai aiutando a migliorare.
Grazie per il feedback! Ci stai aiutando a migliorare.