Kaspersky Endpoint Detection and Response

Toàn bộ dữ liệu mà ứng dụng lưu trữ cục bộ trên máy tính sẽ bị xóa khỏi máy tính khi gỡ cài đặt Kaspersky Endpoint Security.

Dữ liệu nhận được do kết quả thực thi tác vụ Quét IOC (tác vụ tiêu chuẩn)

Kaspersky Endpoint Security sẽ tự động gửi dữ liệu về kết quả thực thi tác vụ Quét IOC tới Kaspersky Security Center.

Dữ liệu trong kết quả thực hiện tác vụ Quét IOC có thể chứa các thông tin sau:

• Địa chỉ IP từ bảng ARP
• Địa chỉ vật lý từ bảng ARP
• Tên và loại bản ghi DNS
• Địa chỉ IP của máy tính được bảo vệ
• Địa chỉ vật lý (địa chỉ MAC) của máy tính được bảo vệ
• Định danh trong mục nhật ký sự kiện
• Tên nguồn dữ liệu trong nhật ký
• Tên nhật ký
• Thời gian sự kiện
• Giá trị băm MD5 và SHA256 của tập tin
• Tên đầy đủ của tập tin (bao gồm cả đường dẫn)
• Kích thước tập tin
• Địa chỉ IP từ xa và cổng có kết nối được thiết lập trong quá trình quét
• Địa chỉ IP của bộ điều hợp cục bộ
• Cổng mở trên bộ điều hợp cục bộ
• Giao thức dưới dạng số (theo tiêu chuẩn IANA)
• Tên tiến trình
• Đối số của tiến trình
• Đường dẫn đến tập tin của tiến trình
• Định danh Windows (PID) của tiến trình
• Định danh Windows (PID) của tiến trình gốc
• Tài khoản người dùng đã khởi tạo tiến trình
• Ngày và thời gian khởi tạo tiến trình
• Tên dịch vụ
• Mô tả về dịch vụ
• Đường dẫn và tên của dịch vụ DLL (đối với svchost)
• Đường dẫn và tên của tập tin thực thi dịch vụ
• Định danh Windows (PID) của dịch vụ
• Loại dịch vụ (ví dụ: trình điều khiển nhân hoặc bộ điều hợp)
• Trạng thái dịch vụ
• Chế độ khởi chạy dịch vụ
• Tên tài khoản người dùng
• Tên phân vùng
• Chữ cái phân vùng
• Loại phân vùng
• Giá trị registry Windows
• Giá trị thư mục registry
• Đường dẫn khóa registry (không có thư mục và tên giá trị)
• Thiết lập registry
• Hệ thống (môi trường)
• Tên và phiên bản của hệ điều hành được cài đặt trên máy tính
• Tên mạng của máy tính được bảo vệ
• Tên miền hoặc nhóm chứa máy tính được bảo vệ
• Tên trình duyệt
• Phiên bản trình duyệt
• Thời gian khi tài nguyên web được truy cập lần cuối
• URL từ yêu cầu HTTP
• Tên của tài khoản được sử dụng cho yêu cầu HTTP
• Tên tập tin của tiến trình đã thực hiện yêu cầu HTTP
• Đường dẫn đầy đủ đến tập tin của tiến trình đã thực hiện yêu cầu HTTP
• Định danh Windows (PID) của tiến trình đã thực hiện yêu cầu HTTP
• Liên kết giới thiệu HTTP (URL nguồn yêu cầu HTTP)
• URI của tài nguyên được yêu cầu qua HTTP
• Thông tin về tác nhân người dùng HTTP (ứng dụng đã thực hiện yêu cầu HTTP)
• Thời gian thực hiện yêu cầu HTTP
• Định danh duy nhất của tiến trình đã thực hiện yêu cầu HTTP

Dữ liệu để tạo chuỗi phát triển mối đe dọa

Theo mặc định, dữ liệu để tạo chuỗi phát triển mối đe dọa được lưu trữ trong vòng bảy ngày. Dữ liệu được tự động gửi đến Kaspersky Security Center.

Dữ liệu để tạo chuỗi phát triển mối đe dọa có thể chứa các thông tin sau:

• Ngày và giờ xảy ra sự cố
• Tên phát hiện
• Chế độ quét
• Trạng thái của hành động gần đây nhất liên quan đến sự phát hiện
• Lý do không thể xử lý phát hiện
• Loại đối tượng được phát hiện
• Tên đối tượng được phát hiện
• Trạng thái đe dọa sau khi đối tượng được xử lý
• Lý do không thể thực thi các hành động trên đối tượng
• Các hành động được thực hiện để hoàn tác các hành động độc hại
• Thông tin về đối tượng được xử lý:
  • Định danh duy nhất của tiến trình
  • Định danh duy nhất của tiến trình gốc
  • Định danh duy nhất của tập tin tiến trình
  • Định danh tiến trình Windows (PID)
  • Xử lý dòng lệnh
  • Tài khoản người dùng đã khởi tạo tiến trình
  • Mã của phiên đăng nhập trong đó tiến trình đang chạy
  • Loại phiên mà tiến trình đang chạy
  • Mức độ toàn vẹn của tiến trình đang được xử lý
  • Quyền thành viên của tài khoản người dùng đã khởi chạy tiến trình trong các nhóm miền và nhóm cục bộ đặc quyền
  • Định danh của đối tượng được xử lý
  • Tên đầy đủ của đối tượng được xử lý
  • Định danh của thiết bị được bảo vệ
  • Tên đầy đủ của đối tượng (tên tập tin cục bộ hoặc địa chỉ web của tập tin được tải xuống)
  • Giá trị băm MD5 hoặc SHA256 của đối tượng được xử lý
  • Loại đối tượng được xử lý
  • Ngày tạo đối tượng được xử lý
  • Ngày khi đối tượng được xử lý được sửa đổi lần cuối
  • Kích thước của đối tượng được xử lý
  • Thuộc tính của đối tượng được xử lý
  • Tổ chức đã ký đối tượng được xử lý
  • Kết quả xác minh chứng chỉ số của đối tượng được xử lý
  • Định danh bảo mật (SID) của đối tượng được xử lý
  • Định danh múi giờ của đối tượng được xử lý
  • Địa chỉ web tải xuống đối tượng được xử lý (chỉ dành cho các tập tin trên đĩa)
  • Tên của ứng dụng đã tải xuống tập tin
  • Giá trị băm MD5 và SHA256 của ứng dụng đã tải xuống tập tin
  • Tên của ứng dụng đã sửa đổi tập tin lần cuối
  • Giá trị băm MD5 và SHA256 của ứng dụng đã sửa đổi tập tin lần cuối
  • Số lần khởi chạy đối tượng được xử lý
  • Ngày và giờ khi đối tượng được xử lý được khởi chạy lần đầu
  • Định danh duy nhất của tập tin
  • Tên đầy đủ của tập tin (tên tập tin cục bộ hoặc địa chỉ web của tập tin đã tải xuống)
  • Đường dẫn đến biến registry Windows được xử lý
  • Tên của biến registry Windows được xử lý
  • Giá trị của biến registry Windows được xử lý
  • Loại biến registry Windows được xử lý
  • Chỉ báo về quyền thành viên khóa registry được xử lý trong mục tự động chạy
  • Địa chỉ web của yêu cầu web được xử lý
  • Nguồn liên kết của yêu cầu web được xử lý
  • Tác nhân người dùng của yêu cầu web được xử lý
  • Loại yêu cầu web được xử lý (GET hoặc POST)
  • Cổng IP cục bộ của yêu cầu web được xử lý
  • Cổng IP từ xa của yêu cầu web được xử lý
  • Hướng kết nối (vào hoặc ra) của yêu cầu web được xử lý
  • Định danh của tiến trình mã độc được nhúng vào