Данные, пересылаемые между компонентами программы
Central Node и Kaspersky Endpoint Agent для Windows (ранее Endpoint Sensors)
Программа Kaspersky Endpoint Agent для Windows отправляет на компонент Central Node отчеты о выполнении задач, информацию о событиях и обнаружениях, произошедших на компьютерах с Kaspersky Endpoint Agent для Windows, а также информацию о терминальных сессиях.
Если связь с компонентом Central Node отсутствует, все данные, предназначенные для отправки, накапливаются до тех пор, пока они не будут отправлены на компонент Central Node или программа Kaspersky Endpoint Agent для Windows не будет удалена с компьютера, но не более 21 дня.
Если событие произошло на компьютере пользователя, Kaspersky Endpoint Agent для Windows отправляет следующие данные в базу событий:
- Общие сведения для всех событий:
- Тип события.
- Время события.
- Учетная запись пользователя, от имени которой было совершено событие.
- Имя хоста, на котором произошло событие.
- Тип операционной системы, установленной на хосте.
- Событие создания файла.
- Сведения о процессе, создавшем файл: имя файла процесса, MD5-, SHA256-хеш файла процесса.
- Имя файла.
- Путь к файлу.
- Полное имя файла.
- MD5-, SHA256-хеш файла.
- Дата создания и изменения файла.
- Размер файла.
- Событие мониторинга реестра.
- Сведения о процессе, изменившем реестр: ID процесса, имя файла процесса, MD5-, SHA256-хеш файла процесса.
- Путь к ключу реестра.
- Имя параметра реестра.
- Значение параметра реестра.
- Тип параметра реестра.
- Предыдущий путь к ключу реестра.
- Предыдущее значение параметра реестра.
- Предыдущий тип параметра реестра.
- Событие загрузки драйвера.
- Имя файла.
- Путь к файлу.
- Полное имя файла.
- MD5-, SHA256-хеш файла.
- Размер файла.
- Дата создания и изменения файла.
- Событие открытия порта на прослушивание.
- Сведения о процессе, открывшем порт на прослушивание: имя файла процесса, MD5-, SHA256-хеш файла процесса.
- Номер порта.
- IP-адрес адаптера.
- Событие в журнале ОС.
- Время события, хост, на котором произошло событие, имя учетной записи пользователя.
- ID события.
- Имя журнала/канала.
- ID события в журнале.
- Имя провайдера.
- Подтип события аутентификации.
- Имя домена.
- Удаленный IP-адрес.
- Поля заголовка события: ProviderName, EventId, Version, Level, Task, Opcode, Keywords, TimeCreatedSystemTime, EventRecordId, CorellationActivityId, ExecutionProcessID, ThreadID, Channel, Computer.
- Поля тела события: AccessList, AccessMask, AccountExpires, AllowedToDelegateTo, Application, AuditPolicyChanges, AuthenticationPackageName, CategoryId, CommandLine, DisplayName, Dummy, ElevatedToken, EventCode, EventProcessingFailure, FailureReason, FilterRTID, HandleId, HomeDirectory, HomePath, ImpersonationLevel, IpAddress, IpPort, KeyLength, LayerName, LayerRTID, LmPackageName, LogonGuid, LogonHours, LogonProcessName, LogonType, MandatoryLabel, MemberName, MemberSid, NewProcessId, NewProcessName, NewUacValue, NewValue, NewValueType, ObjectName, ObjectServer, ObjectType, ObjectValueName, OldUacValue, OldValue, OldValueType, OperationType, PackageName, ParentProcessName, PasswordLastSet, PrimaryGroupId, PriviledgeList, ProcessId, ProcessName, ProfileChanged, ProfilePath, Protocol, PublisherId, ResourceAttributes, RestrictedAdminMode, SamAccountName, ScriptPath, ServiceAccount, ServiceFileName, ServiceName, ServiceStartType, ServiceType, SettingType, SettingValue, ShareLocalPath, ShareName, SidHistory, SourceAddress, SourcePort, Status, SubcategoryGuid, SubcategoryId, SubjectDomainName, SubjectLogonId, SubjectUserName, SubjectUserSid, SubStatus, TargetDomainName, TargetLinkedLogonId, TargetLogonId, TargetOutboundDomainName, TargetOutboundUserName, TargetUserName, TargetUserSid, TaskContent, TaskName, TokenElevationType, TransmittedServices, UserAccountControl, UserParameters, UserPrincipalName, UserWorkstations, VirtualAccount, Workstation, WorkstationName.
- Событие запуска процесса.
- Сведения о файле процесса: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла, дата создания и изменения файла, имя организации, выпустившей цифровой сертификат файла, результат проверки цифровой подписи файла.
- UniquePID.
- Параметры запуска процесса.
- Время запуска процесса.
- Время завершения процесса.
- Сведения о родительском процессе: путь к файлу, UniquePID, MD5-, SHA256-хеш файла процесса, параметры запуска процесса.
- Событие загрузки модуля.
- Сведения о файле, загрузившем модуль: UniquePID, имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла.
- Имя DLL.
- Путь к DLL.
- Полное имя DLL.
- MD5-, SHA256-хеш DLL.
- Размер DLL.
- Дата создания и изменения DLL.
- Имя организации, выпустившей цифровой сертификат DLL.
- Результат проверки цифровой подписи DLL.
- Событие блокирования запуска процесса.
- Сведения о файле, который пытались выполнить: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла, дата создания и изменения файла.
- Параметры командной строки.
- Событие блокирования запуска файла.
- Сведения о файле, который пытались открыть: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, тип контрольной суммы, по которой произведена блокировка, размер файла (0 – MD5, !=0 – SHA256, для поиска не используется).
- Сведения об исполняемом файле: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла, дата создания и изменения файла.
- Сведения о родительском процессе: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, PID, UniquePID.
- Событие программы Kaspersky Endpoint Security для Windows.
- Результат проверки.
- Название обнаруженного объекта.
- Идентификатор записи в базах программы.
- Время выпуска баз программы, с помощью которых было выполнено обнаружение.
- Режим обработки объекта.
- Категория обнаруженного объекта (например, название вируса).
- MD5-хеш обнаруженного объекта.
- SHA256-хеш обнаруженного объекта.
- Уникальный идентификатор процесса.
- PID процесса, отображаемый в диспетчере задач Windows.
- Командная срока запуска процесса.
- Причина ошибки при обработке объекта.
- Содержание скрипта, проверенного с помощью AMSI.
- Событие AMSI-проверки.
- Содержание скрипта, проверенного с помощью AMSI.
Central Node и Kaspersky Endpoint Agent для Linux
Программа Kaspersky Endpoint Agent для Linux отправляет на компонент Central Node отчеты о выполнении задач, информацию о событиях и обнаружениях, произошедших на компьютерах с Kaspersky Endpoint Agent для Linux, а также информацию о терминальных сессиях.
Если связь с компонентом Central Node отсутствует, все данные, предназначенные для отправки, накапливаются до тех пор, пока они не будут отправлены на компонент Central Node или программа Kaspersky Endpoint Agent для Linux не будет удалена с компьютера, но не более 21 дня.
Если событие произошло на компьютере пользователя, Kaspersky Endpoint Agent для Linux отправляет следующие данные в базу событий:
- Общие сведения для всех событий:
- Тип события.
- Время события.
- Учетная запись пользователя, от имени которой было совершено событие.
- Имя хоста, на котором произошло событие.
- Тип и версия операционной системы, установленной на хосте.
- Имя хоста, с которого был совершен удаленный вход в систему.
- Имя пользователя, назначенное при регистрации в системе.
- Группа, к которой принадлежит пользователь.
- Имя пользователя, которое использовалось для входа в систему.
- Группа, к которой принадлежит пользователь, чье имя использовалось для входа в систему.
- Имя пользователя, создавшего файл.
- Название группы, пользователи которой могут изменить или удалить файл.
- Разрешения, которые могут использоваться для доступа к файлу.
- Наследуемые привилегии файла.
- Событие запуска процесса.
- Сведения о файле процесса: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла.
- UniquePID.
- Команда, с помощью которой был запущен процесс.
- Тип процесса.
- Переменные окружения процесса.
- Время запуска процесса.
- Время завершения процесса.
- Сведения о родительском процессе: путь к файлу, UniquePID, MD5-, SHA256-хеш файла процесса, команда, с помощью которой был запущен процесс.
- Событие создания файла.
- Сведения о процессе, создавшем файл: имя файла процесса, MD5-, SHA256-хеш файла процесса.
- Имя файла.
- Путь к файлу.
- Полное имя файла.
- Тип файла.
- MD5-, SHA256-хеш файла.
- Дата создания и изменения файла.
- Размер файла.
- Событие в журнале ОС.
- Время события.
- Тип события.
- Результат операции.
- Сведения о родительском процессе: путь к файлу, UniquePID, MD5-, SHA256-хеш файла процесса, команда, с помощью которой был запущен процесс.
Central Node и Sandbox
Компонент Central Node отправляет на компонент Sandbox файлы и URL-адреса, выделенные из сетевого или почтового трафика. Перед передачей файлы никак не изменяются. Компонент Sandbox отправляет компоненту Central Node результаты проверки.
Central Node и Sensor
Программа может пересылать между компонентами Central Node и Sensor следующие данные:
- Файлы и сообщения электронной почты.
- Данные об обнаружениях, выполненных технологиями Intrusion Detection System и URL Reputation.
- Информацию о лицензии.
- Список данных, исключенных из проверки.
- Данные программы Endpoint Sensors, если настроена интеграция с прокси-сервером.
- Базы программы, если настроено получение обновления баз от компонента Central Node.
Серверы с ролями PCN и SCN
Если программа работает в режиме распределенного решения, то между PCN и подключенными SCN передаются следующие данные:
- Об обнаружениях.
- О событиях.
- О задачах.
- О политиках.
- О проверке по пользовательским правилам IOC, TAA (IOA), IDS, YARA.
- О файлах в Хранилище.
- Об учетных записях пользователей.
- О лицензии.
- Список компьютеров с Kaspersky Endpoint Agent.
- Объекты, помещенные в Хранилище.
- Объекты, помещенные на карантин на компьютерах с Kaspersky Endpoint Agent.
- Файлы, прикрепленные к обнаружениям.
- IOC- и YARA-файлы.
В начало