Kaspersky Sandbox

Alle Daten, die von der App lokal auf dem Computer gespeichert werden, werden bei der Deinstallation von Kaspersky Endpoint Security vom Computer gelöscht.

Dienstdaten

Kaspersky Endpoint Security speichert die folgenden Daten, die im Rahmen der automatischen Antwort verarbeitet werden:

• Verarbeitete Dateien und Daten, die vom Benutzer während der Konfiguration des integrierten Agenten von Kaspersky Endpoint Security eingegeben wurden:
  • Dateien in Quarantäne
  • Öffentlicher Schlüssel des Zertifikats, das für die Integration mit Kaspersky Sandbox verwendet wird
• Cache des integrierten Agenten von Kaspersky Endpoint Security:
  • Zeitpunkt, zu dem Untersuchungsergebnisse in den Cache geschrieben wurden
  • MD5-Hash der Untersuchungsaufgabe
  • ID der Untersuchungsaufgabe
  • Untersuchungsergebnis für das Objekt
• Warteschlange der Anfragen zur Objektuntersuchung:
  • ID des Objekts in der Warteschlange
  • Zeitpunkt, zu dem das Objekt in die Warteschlange gestellt wurde
  • Verarbeitungsstatus des Objekts in der Warteschlange
  • ID der Benutzersitzung im Betriebssystem, in der die Objektuntersuchungsaufgabe erstellt wurde
  • System-ID (SID) des Betriebssystembenutzers, dessen Benutzerkonto zum Erstellen der Aufgabe verwendet wurde
  • MD5-Hash der Objektuntersuchungsaufgabe
• Informationen zu den Aufgaben, für die der integrierte Agent von Kaspersky Endpoint Security auf Untersuchungsergebnisse von Kaspersky Sandbox wartet:
  • Zeitpunkt, zu dem die Objektuntersuchungsaufgabe empfangen wurde
  • Status der Objektverarbeitung
  • ID der Benutzersitzung im Betriebssystem, in der die Objektuntersuchungsaufgabe erstellt wurde
  • ID der Objektuntersuchungsaufgabe
  • MD5-Hash der Objektuntersuchungsaufgabe
  • System-ID (SID) des Betriebssystembenutzers, dessen Benutzerkonto zum Erstellen der Aufgabe verwendet wurde
  • XML-Schema des automatisch erstellten IOC
  • MD5- oder SHA256-Hash des untersuchten Objekts
  • Verarbeitungsfehler
  • Namen der Objekte, für welche die Aufgabe erstellt wurde
  • Untersuchungsergebnis für das Objekt

Daten in Anfragen an Kaspersky Sandbox

Die folgenden Daten aus Anfragen des integrierten Agenten von Kaspersky Endpoint Security an Kaspersky Sandbox werden lokal auf dem Computer gespeichert:

• MD5-Hash der Untersuchungsaufgabe
• ID der Untersuchungsaufgabe
• Untersuchtes Objekt und alle zugehörigen Dateien

Daten, die aufgrund der Ausführung der Aufgabe IOC-Untersuchung (eigenständige Aufgabe) empfangen werden

Kaspersky Endpoint Security übermittelt automatisch Daten über die Ausführungsergebnisse der Aufgabe IOC-Untersuchung an Kaspersky Security Center.

Die Daten in den Ausführungsergebnissen der Aufgabe IOC-Untersuchung können die folgenden Informationen enthalten:

• IP-Adresse aus der ARP-Tabelle
• Physikalische Adresse aus der ARP-Tabelle
• Typ und Name des DNS-Eintrags
• IP-Adresse des geschützten Computers
• Physikalische Adresse (MAC-Adresse) des geschützten Computers
• ID im Ereignisprotokolleintrag
• Name der Datenquelle im Protokoll
• Protokollname
• Ereigniszeitpunkt
• MD5- und SHA256-Hashwerte der Datei
• Vollständiger Name der Datei (einschließlich Pfad)
• Dateigröße
• Remote-IP-Adresse und Port, mit denen während der Untersuchung eine Verbindung hergestellt wurde
• Lokale IP-Adresse des Adapters
• Port, der auf dem lokalen Adapter geöffnet ist
• Protokoll als Zahl (gemäß IANA-Standard)
• Prozessname
• Prozess-Argumente
• Pfad der Prozessdatei
• Windows-ID (PID) des Prozesses
• Windows-ID (PID) des übergeordneten Prozesses
• Benutzerkonto, das den Prozess gestartet hat
• Zeitpunkt (Datum und Uhrzeit), zu dem der Prozess gestartet wurde
• Dienstname
• Dienstbeschreibung
• Pfad und Name des DLL-Dienstes (für svchost)
• Pfad und Name der ausführbaren Dienstdatei
• Windows-ID (PID) des Dienstes
• Diensttyp (z. B. ein Kerneltreiber oder Adapter)
• Dienststatus
• Startmodus des Dienstes
• Name des Benutzerkontos
• Volume-Name
• Volume-Buchstabe
• Volume-Typ
• Windows-Systemregistrierungswert
• Registrierungstrukturwert
• Registrierungsschlüsselpfad (ohne Struktur- und Wertname)
• Registrierungseinstellung
• System (Umgebung)
• Name und Version des auf dem Computer installierten Betriebssystems
• Netzwerkname des geschützten Computers
• Domäne oder Gruppe, zu welcher der geschützte Computer gehört
• Browsername
• Browserversion
• Zeitpunkt des letzten Zugriffs auf die Webressource
• URL aus der HTTP-Anforderung
• Name des Benutzerkontos, das für die HTTP-Anforderung verwendet wurde
• Dateiname des Prozesses, der die HTTP-Anforderung gestellt hat
• Vollständiger Pfad der Datei des Prozesses, der die HTTP-Anforderung gestellt hat
• Windows-ID (PID) des Prozesses, der die HTTP-Anforderung gestellt hat
• HTTP-Referenz (Quell-URL der HTTP-Anforderung)
• URI der über HTTP angeforderten Ressource
• Informationen über den HTTP-Benutzeragenten (die Anwendung, die die HTTP-Anforderung gestellt hat)
• Ausführungszeit der HTTP-Anforderung
• Eindeutige ID des Prozesses, der die HTTP-Anforderung gestellt hat