Данные, пересылаемые между компонентами программы

Central Node и Kaspersky Endpoint Agent (ранее Endpoint Sensors)

Программа Kaspersky Endpoint Agent отправляет на компонент Central Node отчеты о выполнении задач, информацию о событиях и обнаружениях, произошедших на компьютерах с программой Kaspersky Endpoint Agent, а также информацию о терминальных сессиях.

Если связь с компонентом Central Node отсутствует, все данные, предназначенные для отправки, накапливаются до тех пор, пока они не будут отправлены на компонент Central Node или программа Kaspersky Endpoint Agent не будет удалена с компьютера, но не более 21 дня.

Если событие произошло на компьютере пользователя, программа Kaspersky Endpoint Agent отправляет следующие данные в базу событий:

1. Событие создания файла.
   • Сведения о процессе, создавшем файл: имя файла процесса, MD5-, SHA256-хеш файла процесса.
   • Имя файла.
   • Путь к файлу.
   • Полное имя файла.
   • MD5-, SHA256-хеш файла.
   • Дата создания и изменения файла.
   • Размер файла.
   • Поля заголовка события: ProviderName, EventId, Version, Level, Task, Opcode, Keywords, TimeCreatedSystemTime, EventRecordId, CorellationActivityId, ExecutionProcessID, ThreadID, Channel, Computer.
   • Поля тела события: AccessList, AccessMask, AccountExpires, AllowedToDelegateTo, Application, AuditPolicyChanges, AuthenticationPackageName, CategoryId, CommandLine, DisplayName, Dummy, ElevatedToken, EventCode, EventProcessingFailure, FailureReason, FilterRTID, HandleId, HomeDirectory, HomePath, ImpersonationLevel, IpAddress, IpPort, KeyLength, LayerName, LayerRTID, LmPackageName, LogonGuid, LogonHours, LogonProcessName, LogonType, MandatoryLabel, MemberName, MemberSid, NewProcessId, NewProcessName, NewUacValue, NewValue, NewValueType, ObjectName, ObjectServer, ObjectType, ObjectValueName, OldUacValue, OldValue, OldValueType, OperationType, PackageName, ParentProcessName, PasswordLastSet, PrimaryGroupId, PriviledgeList, ProcessId, ProcessName, ProfileChanged, ProfilePath, Protocol, PublisherId, ResourceAttributes, RestrictedAdminMode, SamAccountName, ScriptPath, ServiceAccount, ServiceFileName, ServiceName, ServiceStartType, ServiceType, SettingType, SettingValue, ShareLocalPath, ShareName, SidHistory, SourceAddress, SourcePort, Status, SubcategoryGuid, SubcategoryId, SubjectDomainName, SubjectLogonId, SubjectUserName, SubjectUserSid, SubStatus, TargetDomainName, TargetLinkedLogonId, TargetLogonId, TargetOutboundDomainName, TargetOutboundUserName, TargetUserName, TargetUserSid, TaskContent, TaskName, TokenElevationType, TransmittedServices, UserAccountControl, UserParameters, UserPrincipalName, UserWorkstations, VirtualAccount, Workstation, WorkstationName.
2. Событие мониторинга реестра.
   • Сведения о процессе, изменившем реестр: ID процесса, имя файла процесса, MD5-, SHA256-хеш файла процесса.
   • Путь к ключу в реестре.
   • Имя переменной реестра.
   • Данные переменной реестра.
3. Событие загрузки драйвера.
   • Имя файла.
   • Путь к файлу.
   • Полное имя файла.
   • MD5-, SHA256-хеш файла.
   • Размер файла.
   • Дата создания и изменения файла.
4. Событие открытия порта на прослушивание.
   • Сведения о процессе, открывшем порт на прослушивание: имя файла процесса, MD5-, SHA256-хеш файла процесса.
   • Номер порта.
   • IP-адрес адаптера.
5. Событие в журнале Windows.
   • Время события, хост, на котором произошло событие, имя учетной записи пользователя.
   • ID события.
   • Имя журнала/канала.
   • ID события в журнале.
   • Имя провайдера.
   • Подтип события аутентификации.
   • Имя домена.
   • Удаленный IP-адрес.
6. Событие запуска процесса.
   • Сведения о файле, запустившем процесс: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла, дата создания и изменения файла.
   • UniquePID.
   • Параметры командной строки.
   • Сведения о родительском процессе: UniquePID, Windows ID процесса, MD5-, SHA256-хеш файла процесса.
   • Время окончания работы процесса.
7. Событие загрузки модуля.
   • Сведения о файле, загрузившем модуль: UniquePID, имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла.
   • Имя файла DLL.
   • Путь к файлу DLL.
   • Полное имя файла DLL.
   • MD5-, SHA256-хеш файла DLL.
   • Размер файла DLL.
   • Дата создания и изменения файла DLL.
8. Событие блокирования запуска процесса.
   • Сведения о файле, который пытались выполнить: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла, дата создания и изменения файла.
   • Параметры командной строки.
9. Событие блокирования запуска файла.
   • Сведения о файле, который пытались открыть: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, тип контрольной суммы, по которой произведена блокировка, размер файла (0 – MD5, !=0 – SHA256, для поиска не используется).
   • Сведения об исполняемом файле: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла, дата создания и изменения файла.
   • Сведения о родительском процессе: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, PID, UniquePID.
10. Событие смены имени хоста.
    • Время события.
    • Старое имя хоста.
    • Новое имя хоста.
11. Событие изменения содержимого файла hosts.
    • Содержимое файла hosts.
12. Событие программы Kaspersky Endpoint Security для Windows, сохраняемое в базах программы.
    • Информация об обнаружении Kaspersky Endpoint Security для Windows.
13. Событие программы Kaspersky Endpoint Security для Windows, отображаемое пользователю.
    • Результат проверки.
    • Название обнаруженного объекта.
    • Идентификатор записи в базах программы.
    • Время выпуска баз программы, с помощью которых было выполнено обнаружение.
    • Режим обработки объекта.
    • Категория обнаруженного объекта (например, название вируса).
    • MD5-хеш обнаруженного объекта.
    • SHA256-хеш обнаруженного объекта.
    • Уникальный идентификатор процесса.
    • PID процесса, отображаемый в диспетчере задач Windows.
    • Командная срока запуска процесса.
    • Причина ошибки при обработке объекта.
14. Событие изменения организационного подразделения (OU) Active Directory.
    • Информация об организационных подразделениях (OU) Active Directory.

Central Node и Sandbox

Компонент Central Node отправляет на компонент Sandbox файлы и URL-адреса, выделенные из сетевого или почтового трафика. Перед передачей файлы никак не изменяются. Компонент Sandbox отправляет компоненту Central Node результаты проверки.

Central Node и Sensor

Программа может пересылать между компонентами Central Node и Sensor следующие данные:

• Файлы и сообщения электронной почты.
• Данные об обнаружениях, выполненных технологиями Intrusion Detection System и URL Reputation.
• Информацию о лицензии.
• Белые списки.
• Данные программы Endpoint Sensors, если настроена интеграция с прокси-сервером.
• Базы программы, если настроено получение обновления баз от компонента Central Node.

Серверы с ролями PCN и SCN

Если программа работает в режиме распределенного решения, то между PCN и подключенными SCN передаются следующие данные:

• Об обнаружениях.
• О событиях.
• О задачах.
• О политиках.
• О проверке по пользовательским правилам IOC, TAA (IOA), IDS, YARA.
• О файлах в Хранилище.
• Об учетных записях пользователей.
• О лицензии.
• Список компьютеров с установленной программой Kaspersky Endpoint Agent.
• Объекты, помещенные в Хранилище.
• Объекты, помещенные на карантин на компьютерах с программой Kaspersky Endpoint Agent.
• Файлы, прикрепленные к обнаружениям.
• IOC-файлы.

См. также Данные компонентов Central Node и Sensor Данные компонента Sandbox Данные программы Kaspersky Endpoint Agent

В начало