Visualización de un gráfico de la cadena de desarrollo de la amenaza

Puede ver un gráfico de la cadena de desarrollo de la amenaza para cada alerta que Endpoint Detection and Response detectó mediante el uso de la tecnología Endpoint Protection Platform (EPP), que se muestra en un widget o en una tabla.

Un gráfico de cadena de desarrollo de la amenaza es una herramienta para analizar la causa raíz de un ataque. El gráfico proporciona información visual sobre los objetos involucrados en el ataque, por ejemplo, procesos en un dispositivo administrado, conexiones de red o claves de registro.

Cuando analice el gráfico de la cadena de desarrollo de la amenaza, es posible que desee tomar medidas de respuesta manual o ajustar la función de Endpoint Detection and Response.

Para ver un gráfico de la cadena de desarrollo de la amenaza:

  1. Diríjase al widget o a la tabla de Endpoint Detection and Response.
  2. En la línea requerida donde el valor de la columna Tecnología es EPP, haga clic en Examinar.

Se abre la ventana Gráfico de la cadena de desarrollo de la amenaza. La ventana contiene un gráfico de la cadena de desarrollo de la amenaza e información detallada sobre la alerta.

Un gráfico de la cadena de desarrollo de la amenaza muestra los siguientes tipos de objetos:

Se genera un gráfico de acuerdo con las siguientes reglas:

  1. El punto central de un gráfico es un proceso que cumple con cualquiera de las siguientes reglas:
    • Si la amenaza se detectó en un proceso, es este.
    • Si la amenaza se detectó en un archivo, es el proceso que creó este archivo.
  2. Para el proceso que se menciona en la regla 1, el gráfico muestra hasta dos procesos principales. Un proceso principal es el que generó o modificó un proceso secundario.
  3. Para el proceso que se menciona en la regla 1, el gráfico muestra todos los demás objetos relacionados: archivos creados, procesos secundarios creados y modificados, conexiones de red organizadas y claves de registro modificadas.

Cuando hace clic en cualquier objeto de un gráfico, el área a continuación muestra información detallada sobre el objeto seleccionado.

Si hace clic en un vínculo en los campos SHA256, MD5, Dirección IP o URL en la información detallada sobre un archivo, se lo dirige a Kaspersky Threat Intelligence Portal https://opentip.kaspersky.com/. El portal reúne todo el conocimiento que Kaspersky ha adquirido sobre ciberamenazas en un único servicio web. Le permite verificar cualquier indicador de amenaza sospechosa, ya sea un archivo, hash de archivo, dirección IP o dirección web.

Principio de página