Support

Support für Unternehmensanwendungen

Kaspersky Endpoint Security 11 für Windows

Bereitstellung von Daten

Bereitstellung von Daten beim Einsatz der Lösungen von Detection and Response

Kaspersky Endpoint Detection and Response

Kaspersky Endpoint Security 11 für Windows
Нет результатов
Нет результатов
Wissensdatenbank Onlinehilfe
FAQ Systemvoraussetzungen Herunterladen Kaufen Verlängern Forum Support kontaktieren Tools zur Wiederherstellung Produktvideos

Kaspersky Endpoint Detection and Response

14. Februar 2024

ID 249504

Als PDF speichern

Alle Daten, die von der App lokal auf dem Computer gespeichert werden, werden bei der Deinstallation von Kaspersky Endpoint Security vom Computer gelöscht.

Daten, die aufgrund der Ausführung der Aufgabe IOC-Untersuchung (Standardaufgabe) empfangen werden

Kaspersky Endpoint Security übermittelt automatisch Daten über die Ausführungsergebnisse der Aufgabe IOC-Untersuchung an Kaspersky Security Center.

Die Daten in den Ausführungsergebnissen der Aufgabe IOC-Untersuchung können die folgenden Informationen enthalten:

  • IP-Adresse aus der ARP-Tabelle
  • Physikalische Adresse aus der ARP-Tabelle
  • Typ und Name des DNS-Eintrags
  • IP-Adresse des geschützten Computers
  • Physikalische Adresse (MAC-Adresse) des geschützten Computers
  • ID im Ereignisprotokolleintrag
  • Name der Datenquelle im Protokoll
  • Protokollname
  • Ereigniszeitpunkt
  • MD5- und SHA256-Hashwerte der Datei
  • Vollständiger Name der Datei (einschließlich Pfad)
  • Dateigröße
  • Remote-IP-Adresse und Port, mit denen während der Untersuchung eine Verbindung hergestellt wurde
  • Lokale IP-Adresse des Adapters
  • Port, der auf dem lokalen Adapter geöffnet ist
  • Protokoll als Zahl (gemäß IANA-Standard)
  • Prozessname
  • Prozess-Argumente
  • Pfad der Prozessdatei
  • Windows-ID (PID) des Prozesses
  • Windows-ID (PID) des übergeordneten Prozesses
  • Benutzerkonto, das den Prozess gestartet hat
  • Zeitpunkt (Datum und Uhrzeit), zu dem der Prozess gestartet wurde
  • Dienstname
  • Dienstbeschreibung
  • Pfad und Name des DLL-Dienstes (für svchost)
  • Pfad und Name der ausführbaren Dienstdatei
  • Windows-ID (PID) des Dienstes
  • Diensttyp (z. B. ein Kerneltreiber oder Adapter)
  • Dienststatus
  • Startmodus des Dienstes
  • Name des Benutzerkontos
  • Volume-Name
  • Volume-Buchstabe
  • Volume-Typ
  • Windows-Systemregistrierungswert
  • Registrierungstrukturwert
  • Registrierungsschlüsselpfad (ohne Struktur- und Wertname)
  • Registrierungseinstellung
  • System (Umgebung)
  • Name und Version des auf dem Computer installierten Betriebssystems
  • Netzwerkname des geschützten Computers
  • Domäne oder Gruppe, zu welcher der geschützte Computer gehört
  • Browsername
  • Browserversion
  • Zeitpunkt des letzten Zugriffs auf die Webressource
  • URL aus der HTTP-Anforderung
  • Name des Benutzerkontos, das für die HTTP-Anforderung verwendet wurde
  • Dateiname des Prozesses, der die HTTP-Anforderung gestellt hat
  • Vollständiger Pfad der Datei des Prozesses, der die HTTP-Anforderung gestellt hat
  • Windows-ID (PID) des Prozesses, der die HTTP-Anforderung gestellt hat
  • HTTP-Referenz (Quell-URL der HTTP-Anforderung)
  • URI der über HTTP angeforderten Ressource
  • Informationen über den HTTP-Benutzeragenten (die Anwendung, die die HTTP-Anforderung gestellt hat)
  • Ausführungszeit der HTTP-Anforderung
  • Eindeutige ID des Prozesses, der die HTTP-Anforderung gestellt hat

Daten zum Erstellen einer Bedrohungsentwicklungskette

Daten zum Erstellen einer Bedrohungsentwicklungskette werden standardmäßig sieben Tage lang gespeichert. Die Daten werden automatisch an Kaspersky Security Center gesendet.

Daten zum Erstellen einer Bedrohungsentwicklungskette können die folgenden Informationen enthalten:

  • Datum und Uhrzeit des Vorfalls
  • Erkennungsname
  • Untersuchungsmodus
  • Status der letzten Aktion im Zusammenhang mit der Erkennung
  • Grund, aus dem die Erkennungsverarbeitung fehlgeschlagen ist
  • Typ des erkannten Objekts
  • Name des erkannten Objekts
  • Bedrohungsstatus, nachdem das Objekt verarbeitet wurde
  • Grund, aus dem die Ausführung von Aktionen für das Objekt fehlgeschlagen ist
  • Aktionen, die ausgeführt wurden, um schädliche Aktionen rückgängig zu machen
  • Informationen zum verarbeiteten Objekt:
    • Eindeutige ID des Prozesses
    • Eindeutige ID des übergeordneten Prozesses
    • Eindeutige ID der Prozessdatei
    • Windows-Prozess-ID (PID)
    • Prozess-Befehlszeile
    • Benutzerkonto, das den Prozess gestartet hat
    • Code der Anmeldesitzung, in der der Prozess ausgeführt wird
    • Typ der Sitzung, in der der Prozess ausgeführt wird
    • Integritätsstufe des zu verarbeitenden Prozesses
    • Mitgliedschaft des Benutzerkontos, das den Prozess gestartet hat, in den privilegierten lokalen und Domänengruppen
    • ID des verarbeiteten Objekts
    • Vollständiger Name des verarbeiteten Objekts
    • ID des geschützten Geräts
    • Vollständiger Name des Objekts (lokaler Dateiname oder Webadresse der heruntergeladenen Datei)
    • MD5- oder SHA256-Hashwerte des verarbeiteten Objekts
    • Typ des verarbeiteten Objekts
    • Erstellungsdatum des verarbeiteten Objekts
    • Datum der letzten Änderung des verarbeiteten Objekts
    • Größe des verarbeiteten Objekts
    • Attribute des verarbeiteten Objekts
    • Unternehmen, das das verarbeitete Objekt signiert hat
    • Ergebnis der Verifizierung des digitalen Zertifikats des verarbeiteten Objekts
    • Sicherheits-ID (SID) des verarbeiteten Objekts
    • Zeitzonen-ID des verarbeiteten Objekts
    • Webadresse des verarbeiteten Objekt-Downloads (nur bei Dateien auf einem Datenträger)
    • Name der Anwendung, die die Datei heruntergeladen hat
    • MD5- und SHA256-Hashwerte der Anwendung, die die Datei heruntergeladen hat
    • Name der Anwendung, die die Datei zuletzt geändert hat
    • MD5- und SHA256-Hashwerte der Anwendung, die die Datei zuletzt geändert hat
    • Anzahl der verarbeiteten Objektstarts
    • Datum und Uhrzeit des ersten Starts des verarbeiteten Objekts
    • Eindeutige IDs der Datei
    • Vollständiger Name der Datei (lokaler Dateiname oder Webadresse der heruntergeladenen Datei)
    • Pfad der verarbeiteten Windows-Registrierungsvariable
    • Name der verarbeiteten Windows-Registrierungsvariable
    • Wert der verarbeiteten Windows-Registrierungsvariable
    • Typ der verarbeiteten Windows-Registrierungsvariable
    • Indikator für die Mitgliedschaft des verarbeiteten Registrierungsschlüssels im AutoAusführen-Punkt
    • Webadresse der verarbeiteten Webanfrage
    • Quelle des Links der verarbeiteten Webanfrage
    • Benutzer-Agent der verarbeiteten Webanfrage
    • Art der verarbeiteten Web-Anfrage (GET oder POST)
    • Lokaler IP-Port der verarbeiteten Webanfrage
    • Remote-IP-Port der verarbeiteten Webanfrage
    • Verbindungsrichtung (eingehend oder ausgehend) der verarbeiteten Webanfrage
    • ID des Prozesses, in den der Schadcode eingebettet war

Kaspersky Endpoint Security für Windows:
Erkennung von hoch entwickelten Cyberbedrohungen
Schützt jeden Endpoint ohne hohe Kosten. Optimiert das zentralisierte Sicherheitsmanagement mit einer Cloud oder Web-Konsole. Kaufen Sie diese Lösung als Teil von Kaspersky Endpoint Security for Business Advanced.
Premium Support (MSA):
Priorisierte Eskalation von Support-Anfragen
Direkte Telefonleitung für Support, dedizierte technische Experten und längere Erreichbarkeit bei geschäftskritischen Problemen. Wählen Sie einen Plan aus, senden Sie eine Anfrage und aktivieren den MSA-Vertrag.
War dieser Artikel hilfreich?
Helfen Sie uns, diesen Artikel zu verbessern. Wählen Sie den Grund für Ihre Bewertung:
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.