脅威の活動連鎖の図表の分析例

2024年5月17日

ID 213463

このセクションでは、脅威の活動連鎖の図表と、それを使用してユーザーデバイスへの攻撃を分析する方法について説明します。

ここでは、添付ファイルがあるフィッシングメールを使用した攻撃を例にします。添付ファイルは実行ファイルです。

ユーザーが、ファイルをデバイスで保存し実行します。Kaspersky Endpoint Security for Windows により、種別が[悪意のあるオブジェクトが検知されました]である検知が実行されます。

Kaspersky Endpoint Security for Windows による検知

Root-Cause Analysis のウィジェットに表示される脅威の数は 10 個までです。

Root-Cause Analysis のウィジェット

ウィジェットの行で[調査]をクリックすると、 脅威の活動連鎖の図表へ移動できます。

脅威の活動連鎖の図表

脅威の活動連鎖の図表により、脅威の情報を知ることができます。例:検知中にデバイスで発生した動作、検知した脅威のカテゴリ、発生源のファイル(この例では、メール)、ファイルをダウンロードしたユーザー(この例では、管理者)。また、追加のファイルがデバイスで作成されたこと、複数のネットワーク接続が確立されていること、一部のレジストリキーが変更されていることが、活動連鎖の図表に表示されます。

この情報に基づき、次を実行できます:

  • メールサーバーの設定を確認します。
  • メールメッセージの送信者を拒否リストに追加します(外部の送信者の場合)。または、送信者に直接知らせます(内部の送信者の場合)。
  • 他のデバイスが、同一の IP アドレスに接続しているかどうかをチェックします。
  • これらの IP アドレスを拒否リストに追加します。

ファイルの詳細情報にある SHA-256、MD5、IP アドレス、URL のフィールドのリンクをクリックすると、Kaspersky Threat Intelligence Portal(https://opentip.kaspersky.com/)へ遷移します。ポータルの情報を参照すると、検知されたファイルが脅威でも既知のファイルでもないことがわかります。

Kaspersky Threat Intelligence Portal

この例で、Root-Cause Analysis 機能の重要性を説明します。検知したファイルの親ファイルは信頼されていませんが、悪意はありません。つまり、Kaspersky Endpoint Security for Windows では検知されていません。このファイルは、デバイス上と組織内にまだ存在します。組織内に、一部の保護機能(例:ふるまい検知)が無効化されたデバイスや、定義データベースが最新ではないデバイスがある場合、親ファイルによる悪意のある活動が検知されず、組織内のインフラストラクチャに犯罪者が侵入できる可能性があります。

この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。