Assistenza tecnica

Assistenza tecnica per clienti business

Kaspersky Endpoint Security Cloud

Console di gestione di Kaspersky Endpoint Security Cloud

Root-Cause Analysis

Visualizzazione delle informazioni sui rilevamenti di Root-Cause Analysis

Esempio di analisi di un grafico della catena di sviluppo delle minacce

Kaspersky Endpoint Security Cloud
Guida in linea
Domande frequenti Requisiti di sistema Scarica la versione più recente Prova Acquista Rinnova Forum Contatta l'assistenza Strumenti di ripristino Video dei prodotti

Esempio di analisi di un grafico della catena di sviluppo delle minacce

5 marzo 2024

ID 213463

Questa sezione contiene un esempio di grafico della catena di sviluppo delle minacce e illustra come è possibile utilizzarlo per analizzare un attacco nei dispositivi degli utenti.

Esaminiamo ad esempio un attacco tramite un messaggio e-mail di phishing contenente un allegato. L'allegato è un file eseguibile.

L'utente salva ed esegue il file nel proprio dispositivo. Kaspersky Endpoint Security for Windows rileva il tipo di oggetto dannoso rilevato.

Un rilevamento in Kaspersky Endpoint Security for Windows

Il widget di Root-Cause Analysis mostra fino a 10 rilevamenti.

Widget di Root-Cause Analysis

Facendo clic sul collegamento Esamina nella riga desiderata del widget, è possibile passare a un grafico della catena di sviluppo delle minacce.

Un grafico della catena di sviluppo delle minacce

Il grafico della catena di sviluppo delle minacce fornisce informazioni sul rilevamento, ad esempio: azioni che si sono verificate nel dispositivo durante il rilevamento, categoria della minaccia rilevata, origine del file (in questo esempio, un messaggio e-mail), l'utente che ha scaricato il file (in questo esempio, un amministratore). Il grafico della catena mostra inoltre che nel dispositivo sono stati creati file aggiuntivi, che sono state stabilite diverse connessioni di rete e che alcune chiavi del Registro di sistema sono state modificate.

Sulla base di queste informazioni, è possibile procedere come segue:

  • Verificare le impostazioni del server di posta.
  • Aggiungere il mittente del messaggio e-mail alla lista vietati (se il mittente è esterno) o rivolgersi direttamente al mittente (se è interno).
  • Verificare se altri dispositivi sono collegati agli stessi indirizzi IP.
  • Aggiungere questi indirizzi IP alla lista vietati.

Quando si fa clic su un collegamento nei campi SHA256, MD5, indirizzo IP o URL nelle informazioni dettagliate su un file, si viene indirizzati al Kaspersky Threat Intelligence Portal https://opentip.kaspersky.com/. Il portale mostra che il file rilevato non è né una minaccia né un file noto.

Kaspersky Threat Intelligence Portal

Questo esempio mostra l'importanza della funzionalità Root-Cause Analysis. Il file principale del file rilevato non è attendibile, ma non è dannoso. Questo significa che non è stato rilevato da Kaspersky Endpoint Security for Windows. Questo file è ancora presente nel dispositivo e si trova all'interno dell'organizzazione. Se nell'organizzazione sono presenti dispositivi in cui alcuni componenti della protezione sono disabilitati (ad esempio Rilevamento del Comportamento) o in cui i database anti-malware non sono aggiornati, l'attività dannosa del file principale non verrà rilevata e i criminali potrebbero riuscire a penetrare nell'infrastruttura dell'organizzazione.

Hai trovato utile questo articolo?
Cosa pensi che potremmo migliorare?
Grazie per il feedback! Ci stai aiutando a migliorare.
Grazie per il feedback! Ci stai aiutando a migliorare.