应用程序组件之间传输的数据

Central Node 和 Endpoint Agent 组件

用作 Endpoint Agent 组件的应用程序向 Central Node 组件发送以下内容:任务完成报告、安装了这些应用程序的计算机上发生的事件和警报的信息、有关终端会话的信息。

如果没有与 Central Node 组件的连接,所有待定信息将会累积起来,直到被发送至 Central Node 组件,或直到被用作 Endpoint Agent 的应用程序被从计算机移除为止,但不会超过 21 天。

所有事件的一般信息

如果用户计算机上发生事件,则应用程序向事件数据库发送以下数据:

Central Node 和 Kaspersky Endpoint Agent for Windows

如果用户计算机上发生事件,则应用程序向事件数据库发送以下数据:

  1. 文件创建事件。
    • 有关创建文件的进程的信息:进程文件名、进程文件的 MD5 哈希和 SHA256 哈希。
    • 文件名。
    • 文件路径。
    • 文件全名。
    • 文件的 MD5 哈希和 SHA256 哈希。
    • 文件创建和修改日期。
    • 文件大小。
  2. 注册表监控事件。
    • 有关修改了注册表的进程的信息:进程 ID、进程文件名称、进程文件的 MD5 哈希和 SHA256 哈希。
    • 注册表项路径。
    • 注册表值名称。
    • 注册表值数据。
    • 注册表值类型。
    • 以前的注册表项路径。
    • 以前的注册表值数据。
    • 以前的注册表值类型。
  3. 驱动程序加载事件。
    • 文件名。
    • 文件路径。
    • 文件全名。
    • 文件的 MD5 哈希和 SHA256 哈希。
    • 文件大小。
    • 文件创建和修改日期。
  4. 监听端口开放事件。
    • 有关开放监听端口的进程的详细信息:进程文件名和进程文件的 MD5 哈希和 SHA256 哈希。
    • 端口号。
    • 适配器 IP 地址。
  5. 操作系统日志中的事件。
    • 事件时间、发生事件的主机和用户账户名称。
    • 事件 ID。
    • 信道/日志名称。
    • 日志中的事件 ID。
    • 提供商名称。
    • 认证事件子类型。
    • 域名。
    • 远程 IP 地址。
    • 事件标题字段:ProviderName, EventId, Version, Level, Task, Opcode, Keywords, TimeCreatedSystemTime, EventRecordId, CorellationActivityId, ExecutionProcessID, ThreadID, Channel, Computer。
    • 事件主体字段:AccessList, AccessMask, AccountExpires, AllowedToDelegateTo, Application, AuditPolicyChanges, AuthenticationPackageName, CategoryId, CommandLine, DisplayName, Dummy, ElevatedToken, EventCode, EventProcessingFailure, FailureReason, FilterRTID, HandleId, HomeDirectory, HomePath, ImpersonationLevel, IpAddress, IpPort, KeyLength, LayerName, LayerRTID, LmPackageName, LogonGuid, LogonHours, LogonProcessName, LogonType, MandatoryLabel, MemberName, MemberSid, NewProcessId, NewProcessName, NewUacValue, NewValue, NewValueType, ObjectName, ObjectServer, ObjectType, ObjectValueName, OldUacValue, OldValue, OldValueType, OperationType, PackageName, ParentProcessName, PasswordLastSet, PrimaryGroupId, PriviledgeList, ProcessId, ProcessName, ProfileChanged, ProfilePath, Protocol, PublisherId, ResourceAttributes, RestrictedAdminMode, SamAccountName, ScriptPath, ServiceAccount, ServiceFileName, ServiceName, ServiceStartType, ServiceType, SettingType, SettingValue, ShareLocalPath, ShareName, SidHistory, SourceAddress, SourcePort, Status, SubcategoryGuid, SubcategoryId, SubjectDomainName, SubjectLogonId, SubjectUserName, SubjectUserSid, SubStatus, TargetDomainName, TargetLinkedLogonId, TargetLogonId, TargetOutboundDomainName, TargetOutboundUserName, TargetUserName, TargetUserSid, TaskContent, TaskName, TokenElevationType, TransmittedServices, UserAccountControl, UserParameters, UserPrincipalName, UserWorkstations, VirtualAccount, Workstation, WorkstationName。
  6. 进程启动事件。
    • 有关进程文件的信息:文件名、文件路径、文件的 MD5 或 SHA256 哈希、文件大小、创建和修改日期、颁发文件数字证书的组织名称、数字签名验证结果。
    • UniquePID。
    • 进程启动选项。
    • 进程启动时间。
    • 有关父进程的信息:文件路径、进程文件的 UniquePID、MD5 或 SHA256 哈希值、进程启动选项。
  7. 进程停止事件。
    • 有关进程的文件的信息:文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希、文件大小以及进程结束时间。
    • UniquePID。
    • 进程启动选项。
    • 有关父进程的信息:文件路径、进程文件的 UniquePID、MD5 或 SHA256 哈希值、进程启动选项。
  8. 模块加载事件。
    • 有关加载模块的文件的详细信息:UniquePID、文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希以及文件大小。
    • DLL 名称。
    • DLL 的路径。
    • DLL 全名。
    • DLL 的 MD5 哈希或 SHA256 哈希。
    • DLL 大小。
    • DLL 创建和修改日期。
    • 颁发 DLL 数字证书的组织名称。
    • DLL 数字签名验证结果。
  9. 进程启动阻止事件。
    • 有关尝试运行的文件的详细信息:文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希、文件大小以及文件创建和修改日期。
    • 命令行参数。
  10. 文件启动阻止事件。
    • 有关尝试打开的文件的详细信息:文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希、用于文件大小阻止的校验和类型((0 – MD5, !=0 – SHA256,不用于搜索)。
    • 有关可执行文件的详细信息:文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希、文件大小以及文件创建和修改日期。
    • 有关父进程的详细信息:文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希以及 UniquePID。
  11. 检测事件及其处理结果(当 Kaspersky Endpoint Agent for Windows 与 Kaspersky Endpoint Security for Windows 集成时)。
    • 扫描结果。
    • 检测到的对象的名称。
    • 应用程序数据库中记录的 ID。
    • 用于生成检测的应用程序数据库的发布时间。
    • 对象处理模式。
    • 检测到的对象的类别(例如,病毒的名称)。
    • 检测到的对象的 MD5 哈希。
    • 检测到的对象的 SHA256 哈希。
    • 进程的唯一 ID。
    • Windows任务管理器中显示的进程 PID。
    • 进程启动命令行。
    • 处理对象时出错的原因。
    • 使用 AMSI 扫描的脚本内容。
  12. AMSI 扫描事件。
    • 使用 AMSI 扫描的脚本内容。

Central Node 和 Kaspersky Endpoint Security for Windows

如果用户计算机上发生事件,则应用程序向事件数据库发送以下数据:

  1. 文件修改事件。
    • 有关创建文件的进程的信息:进程文件名、进程文件的 MD5 哈希和 SHA256 哈希。
    • 有关创建或修改的文件的信息:名称、路径、全名、类型、MD5 哈希、SHA256 哈希、创建日期、修改日期、属性、属性修改日期、大小、区域 ID、文件的应用程序名称、供应商、颁发数字证书的组织名称、描述、数字签名验证结果、数字签名的时间、原始名称、修改前的名称、修改前的路径、修改前的全名。
    • 有关创建链接的文件的信息:MD5 哈希、SHA256 哈希、创建日期、修改日期、属性、属性修改日期、大小、类型、区域 ID、文件的应用程序名称、原始名称、颁发数字证书的组织名称、描述、签名的主题、数字签名验证结果、数字签名的时间、链接文件的全名。
  2. 注册表监控事件。
    • 有关修改了注册表的进程的信息:进程 ID、进程文件名称、进程文件的 MD5 哈希和 SHA256 哈希。
    • 注册表项路径。
    • 注册表值名称。
    • 注册表值数据。
    • 注册表值类型。
    • 以前的注册表项路径。
    • 以前的注册表值数据。
    • 以前的注册表值类型。
    • 注册表操作的类型。
    • 保存注册表项的文件的路径。
  3. 驱动程序加载事件。
    • 文件名。
    • 原始文件名。
    • 文件路径。
    • 文件全名。
    • 文件的 MD5 哈希和 SHA256 哈希。
    • 文件大小。
    • 文件创建和修改日期。
    • 文件属性修改日期。
    • 文件大小。
    • 文件类型。
    • 文件属性。
    • 文件区域 ID。
    • 文件供应商。
    • 文件描述。
    • 颁发数字证书的组织名称。
    • 签名主题。
    • 数字签名验证结果。
    • 数字签名的时间。
    • 从其检索文件的 URL。
    • 从中检索文件的消息的元数据。
  4. 监听端口开放事件。
    • 有关开放监听端口的进程的详细信息:进程文件名和进程文件的 MD5 哈希和 SHA256 哈希。
    • 端口号。
    • 适配器 IP 地址。
    • 运行状态。
  5. 远程连接事件。
    • 本地计算机的信息:IP 地址、端口号。
    • 有关远程计算机的信息:IP 地址、端口号、FQDN。
    • 有关连接的 TLS 加密的信息:协议版本、SNI、加密的 SNI、证书文件的 MD5 哈希、证书文件的 SHA1 哈希、证书颁发者名称、证书序列号、证书验证结果、证书到期日期、Ja3、Ja3s、Ja3 的 MD5 哈希、Ja3s 的 MD5 哈希、套接字类型。
    • LANA 号码。
    • HTTP 方法。
    • 所跟踪的 URL。
    • 进程状态。
    • 连接方向。
  6. DNS 查找事件。
    • DNS 服务器的 IPv4 地址。
    • 正在执行的 DNS 查询的二进制掩码。
    • DNS 响应错误代码。
    • DNS 查询类型 ID。
    • 要解析 DNS 记录的域名。
    • DNS 响应的日期。
  7. LDAP 事件。
    • 搜索范围。
    • 搜索查询过滤器。
    • 查询中指定为要返回的属性。
    • 要搜索的 LDAP容器的路径。
  8. 进程启动事件。

    有关父进程和祖进程、加载器进程、创建者进程、正在运行的进程的文件的信息:名称、路径、全名、MD5 哈希、SHA256 哈希、创建日期和时间、修改日期和时间、属性、属性修改日期和时间、大小、区域 ID、供应商、颁发数字证书的组织名称、描述、原始名称、数字签名主题、数字签名验证结果、数字签名的日期和时间、文件版本、登录类型、登录会话 ID、用户账户类型、用户名、用户账户 ID、登录计算机的 IP 地址、完整性级别、进程 ID、当前目录。

  9. 进程停止事件。
    • 有关进程的文件的信息:文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希、文件大小以及进程结束时间。
    • 进程的唯一 ID。
    • 进程启动选项。
    • 有关父进程的信息:文件路径、UniquePID、MD5 和 SHA256 哈希、命令行选项。
  10. 进程访问事件。
    • 操作类型。
    • 进程访问权限。
    • 调用堆栈。
    • 有关接收方进程的文件以及复制句柄的进程的文件的信息:名称、路径、完整路径、MD5 和 SHA256 哈希、创建日期和时间、修改日期和时间、属性修改日期和时间、大小、唯一 ID、系统 ID、命令行选项、从中检索文件的 URL、从中检索文件的消息的元数据。
  11. 模块加载事件。
    • 有关加载模块的文件的详细信息:UniquePID、文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希以及文件大小。
    • DLL 名称。
    • DLL 的路径。
    • DLL 全名。
    • DLL 的 MD5 哈希或 SHA256 哈希。
    • DLL 大小。
    • DLL 属性。
    • DLL 区域 ID。
    • DLL 应用程序名称。
    • 原始 DLL 名称。
    • DLL 创建和修改日期。
    • 颁发 DLL 数字证书的组织名称。
    • DLL 数字签名验证结果。
    • DLL 数字签名日期。
    • 替换 DLL 的路径。
    • DLL 文件类型。
    • 从其检索文件的 URL。
    • 从中检索文件的消息的元数据。
    • .NET 程序集名称。
    • .NET 程序集标志。
    • .NET 模块标志。
  12. 进程启动阻止事件。
    • 有关尝试运行的文件的详细信息:文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希、文件大小以及文件创建和修改日期。
    • 命令行参数。
  13. 文件启动阻止事件。
    • 有关正在打开的文件的信息:文件名、文件路径、完整文件名、MD5 哈希、SHA256 哈希、触发阻止的校验和类型(MD5 为 0,SHA256 为 !=0,不用于搜索)、下载可执行文件的网站 URL、附加下载的文件的消息的元数据。
    • 有关可执行文件的详细信息:文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希、文件大小以及文件创建和修改日期。
    • 有关父进程的详细信息:文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希以及 UniquePID。
  14. 命名管道打开并连接的事件。
    • 创建或连接到命名管道的进程的文件名。
    • 管道操作类型。
  15. 威胁检测事件和检测处理结果。
    • 检测到的对象的名称。
    • 检测到的对象的 MD5 哈希。
    • 检测到的对象的 SHA256 哈希。
    • 检测对象的类型。
    • 扫描结果。
    • 应用程序数据库中记录的 ID。
    • 用于生成检测的应用程序数据库的版本。
    • 对象处理模式。
    • 检测到的对象的类别(例如,病毒的名称)。
    • 协议。
    • 本地计算机的 IPv4 或 IPv6 地址。
    • 本地端口号。
    • 远程计算机的 IPv4 或 IPv6 地址。
    • 远程端口号。
    • 从其检索文件的 URL。
    • 发件人的电子邮件地址(如果文件是从电子邮件中获取的)。
    • 文件加载器的全名、MD5 哈希、SHA256 哈希。
    • 进程的唯一 ID。
    • Windows任务管理器中显示的进程 PID。
    • 进程启动命令行。
    • 处理对象时出错的原因。
    • 使用 AMSI 扫描的脚本内容和类型。
  16. WMI 服务启动事件。
    • 操作类型。
    • WMI 服务的远程启动标志。
    • 启动 WMI 服务的计算机的名称。
    • 启动 WMI 服务的用户的名称。
    • WMI 命名空间。
    • 事件消费者过滤器名称。
    • 创建的事件消费者的名称。
    • 事件消费者源代码。
  17. AMSI 扫描事件。
    • 使用 AMSI 扫描的脚本内容。
    • 发送扫描的脚本的内容类型。
    • 发送扫描的脚本的名称。
    • 脚本文件的 MD5 哈希。
    • 脚本文件的 SHA256 哈希。
  18. 代码注入事件。
    • 有关接收方进程的信息:应用程序名称、应用程序完整名称、应用程序路径、文件的 MD5 哈希值、文件的 SHA256 哈希值、下载文件的 URL、附加下载的文件的消息的元数据、应用程序的唯一 ID、应用程序的系统 ID、命令行、进程 DLL 的名称、进程 DLL 的路径、进程在地址空间中的地址。
    • 注入方法。
    • 修改的进程的命令行。
    • 系统调用参数。
    • 拦截注入相关函数时的 API 调用堆栈。
  19. 解释文件运行事件。

    有关解释文件的信息:名称、路径、全名、MD5、SHA256、文件创建日期和时间、文件修改日期和时间、大小、类型、属性、属性修改日期和时间、原始名称、描述、区域 ID、颁发数字证书的组织名称、数字签名验证的结果、数字签名的日期和时间、数字签名的主题、获取文件的 URL、附加下载的文件的消息的元数据。

  20. 操作系统日志中的事件。
    • 事件时间、发生事件的主机和用户账户名称。
    • 事件 ID。
    • 信道/日志名称。
    • 日志中的事件 ID。
    • 提供商名称。
    • 认证事件子类型。
    • 域名。
    • 远程 IP 地址。
    • 事件标题字段:ProviderName, EventId, Version, Level, Task, Opcode, Keywords, TimeCreatedSystemTime, EventRecordId, CorellationActivityId, ExecutionProcessID, ThreadID, Channel, Computer。
    • 事件正文字段:AccessList、AccessFiles mask、AccountExpires、AllowedToDelegateTo、Application、AuditPolicyChanges、AuthenticationPackageName、CategoryId、CommandLine、DisplayName、Dummy、ElevatedToken、EventCode、EventProcessingFailure、FailureReason、FilterRTID、HandleId、HomeDirectory、HomePath、ImpersonationLevel、IpAddress、IpPort、KeyLength、LayerName、LayerRTID、LmPackageName、LogonGuid、LogonHours、LogonProcessName、LogonType、MandatoryLabel、MemberName、MemberSid、NewProcessId、NewProcessName、NewUacValue、NewValue、NewValueType、ObjectName、ObjectServer、ObjectType、ObjectValueName、OldUacValue、OldValue、OldValueType、OperationType、PackageName、ParentProcessName、PasswordLastSet、PrimaryGroupId、PriviledgeList、ProcessId、ProcessName、ProfileChanged、ProfilePath、Protocol、PublisherId、ResourceAttributes、RestrictedAdminMode、SamAccountName、ScriptPath、ServiceAccount、ServiceFileName、ServiceName、ServiceStartType、ServiceType、SettingType、SettingValue、ShareLocalPath、ShareName、SidHistory、SourceAddress、SourcePort、Status、SubcategoryGuid、SubcategoryId、SubjectDomainName、SubjectLogonId、SubjectUserName、SubjectUserSid、SubStatus、TargetDomainName、TargetLinkedLogonId、TargetLogonId、TargetOutboundDomainName、TargetOutboundUserName、TargetUserName、TargetUserSid、TaskContent、TaskName、TokenElevationType、TransmittedServices、UserAccountControl、UserParameters、UserPrincipalName、UserWorkstations、VirtualAccount、Workstation、WorkstationName、System、SystemProvider、SystemProviderName、SystemProviderGuid、SystemProviderEventSourceName、SystemEventID、SystemEventIDQualifiers、SystemEventRecordID、SystemChannel、SystemTask、SystemOpcode、SystemVersion、SystemLevel、SystemKeywords、SystemTimeCreated、SystemTimeCreatedSystemTime、SystemCorrelation、SystemCorrelationActivityID、SystemExecution、SystemExecutionProcessID、SystemExecutionThreadID、SystemComputer、SystemSecurity、SystemSecurityUserID、UserData、UserDataEventProcessingFailure、UserDataEventProcessingFailureError、UserDataEventProcessingFailureErrorCode、UserDataEventProcessingFailureEventID、UserDataEventProcessingFailurePublisherID、UserDataLogFileCleared、UserDataLogFileClearedSubjectUserSid、UserDataLogFileClearedSubjectUserName、UserDataLogFileClearedSubjectDomainName、UserDataLogFileClearedSubjectLogonId、UserDataFileIsFull、UserDataOperationStartedOperationalProviderName、UserDataOperationStartedOperationalCode、UserDataOperationStartedOperationalHostProcess、UserDataOperationStartedOperationalProcessID、UserDataOperationStartedOperationalProviderPath、UserDataServiceShutdown、UserDataOperationClientFailure、UserDataOperationClientFailureId、UserDataOperationClientFailureClientMachine、UserDataOperationClientFailureUser、UserDataOperationClientFailureClientProcessId、UserDataOperationClientFailureComponent、UserDataOperationClientFailureOperation、UserDataOperationClientFailureResultCode、UserDataOperationClientFailurePossibleCause、EventData、EventDataData、EventDataDataTaskName、EventDataDataPrivilegeList、EventDataDataAttributeLDAPDisplayName、EventDataDataOperationType、EventDataDataObjectClass、EventDataDataAttributeValue、EventDataDataObjectDN、EventDataDataRelativeTargetName、EventDataDataWorkstationName、EventDataDataServiceName、EventDataDataAllowedToDelegateTo、EventDataDataUserAccountControl、EventDataDataProfileChanged、EventDataDataRuleId、EventDataDataRuleName、EventDataDataSubjectUserSid、EventDataDataSubjectUserName、EventDataDataSubjectDomainName、EventDataDataSubjectLogonId、EventDataDataPreviousTime、EventDataDataNewTime、EventDataDataProcessId、EventDataDataProcessName、EventDataDataObjectType、EventDataDataObjectName、EventDataDataAccessList、EventDataDataAccessMask、EventDataDataServiceFileName、EventDataDataServiceType、EventDataDataServiceStartType、EventDataDataServiceAccount、EventDataDataDomainName、EventDataDataDomainSid、EventDataDataTdoType、EventDataDataTdoDirection、EventDataDataTdoAttributes、EventDataDataSidFilteringEnabled、EventDataDataTargetSid、EventDataDataAccessGranted、EventDataDataTargetUserName、EventDataDataTargetDomainName、EventDataDataSamAccountName、EventDataDataSidHistory、EventDataDataDomainPolicyChanged、EventDataDataMinPasswordAge、EventDataDataMaxPasswordAge、EventDataDataForceLogoff、EventDataDataLockoutThreshold、EventDataDataLockoutObservationWindow、EventDataDataLockoutDuration、EventDataDataProperties、EventDataDataPasswordProperties、EventDataDataMinPasswordLength、EventDataDataPasswordHistoryLength、EventDataDataMachineAccountQuota、EventDataDataMixedDomainMode、EventDataDataDomainBehaviorVersion、EventDataDataOemInformation、EventDataDataGroupTypeChange、EventDataDataLogonGuid、EventDataDataTargetUserSid、EventDataDataTargetLogonId、EventDataDataTargetLogonGuid、EventDataDataSidList、EventDataDataWorkstation、EventDataDataStatus、EventDataDataCallerProcessId、EventDataDataCallerProcessName、EventDataDataForestRoot、EventDataDataForestRootSid、EventDataDataOperationId、EventDataDataEntryType、EventDataDataFlags、EventDataDataTopLevelName、EventDataDataDnsName、EventDataDataNetbiosName、EventDataDataAuditSourceName、EventDataDataEventSourceId、EventDataDataErrorCode、EventDataDataGPOList、EventDataDataDestinationDRA、EventDataDataSourceDRA、EventDataDataSourceAddr、EventDataDataNamingContext、EventDataDataOptions、EventDataDataStatusCode、EventDataDataSessionID、EventDataDataStartUSN、EventDataDataPackageName、EventDataDataAuthenticationPackageName、EventDataDataFailureReason、EventDataDataSubStatus、EventDataDataCategoryId、EventDataDataSubcategoryGuid、EventDataDataAuditPolicyChanges、EventDataDataUserPrincipalName、EventDataDataHomeDirectory、EventDataDataHomePath、EventDataDataScriptPath、EventDataDataProfilePath、EventDataDataUserWorkstations、EventDataDataPasswordLastSet、EventDataDataAccountExpires、EventDataDataPrimaryGroupId、EventDataDataOldUacValue、EventDataDataNewUacValue、EventDataDataUserParameters、EventDataDataLogonHours、EventDataDataMemberName、EventDataDataMemberSid、EventDataDataServiceSid、EventDataDataTicketOptions、EventDataDataTicketEncryptionType、EventDataDataPreAuthType、EventDataDataCertIssuerName、EventDataDataCertSerialNumber、EventDataDataCertThumbprint、EventDataDataSettingType、EventDataDataSettingValue、EventDataDataShareName、EventDataDataShareLocalPath、EventDataDataApplication、EventDataDataSourceAddress、EventDataDataSourcePort、EventDataDataProtocol、EventDataDataFilterRTID、EventDataDataLayerName、EventDataDataLayerRTID、EventDataDataLogonType、EventDataDataLogonProcessName、EventDataDataTransmittedServices、EventDataDataLmPackageName、EventDataDataKeyLength、EventDataDataIpAddress、EventDataDataIpPort、EventDataDataImpersonationLevel、EventDataDataRestrictedAdminMode、EventDataDataTargetOutboundUserName、EventDataDataTargetOutboundDomainName、EventDataDataVirtualAccount、EventDataDataTargetLinkedLogonId、EventDataDataElevatedToken、EventDataDataTaskContentNew、EventDataDataTaskContentNewTask、EventDataDataTaskContentNewTaskRegistrationInfo、EventDataDataTaskContentNewTaskRegistrationInfoDate、EventDataDataTaskContentNewTaskRegistrationInfoAuthor、EventDataDataTaskContentNewTaskTriggers、EventDataDataTaskContentNewTaskPrincipals、EventDataDataTaskContentNewTaskPrincipalsPrincipal、EventDataDataTaskContentNewTaskPrincipalsPrincipalid、EventDataDataTaskContentNewTaskPrincipalsPrincipalRunLevel、EventDataDataTaskContentNewTaskPrincipalsPrincipalUserId、EventDataDataTaskContentNewTaskPrincipalsPrincipalLogonType、EventDataDataTaskContentNewTaskSettings、EventDataDataTaskContentNewTaskSettingsMultipleInstancesPolicy、EventDataDataTaskContentNewTaskSettingsDisallowStartIfOnBatteries、EventDataDataTaskContentNewTaskSettingsStopIfGoingOnBatteries、EventDataDataTaskContentNewTaskSettingsAllowHardTerminate、EventDataDataTaskContentNewTaskSettingsStartWhenAvailable、EventDataDataTaskContentNewTaskSettingsRunOnlyIfNetworkAvailable、EventDataDataTaskContentNewTaskSettingsIdleSettings、EventDataDataTaskContentNewTaskSettingsIdleSettingsStopOnIdleEnd、EventDataDataTaskContentNewTaskSettingsIdleSettingsRestartOnIdle、EventDataDataTaskContentNewTaskSettingsAllowStartOnDemand、EventDataDataTaskContentNewTaskSettingsEnabled、EventDataDataTaskContentNewTaskSettingsHidden、EventDataDataTaskContentNewTaskSettingsRunOnlyIfIdle、EventDataDataTaskContentNewTaskSettingsWakeToRun、EventDataDataTaskContentNewTaskSettingsExecutionTimeLimit、EventDataDataTaskContentNewTaskSettingsPriority、EventDataDataTaskContentNewTaskActions、EventDataDataTaskContentNewTaskActionsContext、EventDataDataTaskContentNewTaskActionsExec、EventDataDataTaskContentNewTaskActionsExecCommand、EventDataDataOldSd、EventDataDataNewSd、EventDataDataNotificationPackageName、EventDataDataSecurityPackageName、EventDataDataStopTime、EventDataDataContextInfo、EventDataDataUserData、EventDataDataPayload、EventDataDataOpCorrelationID、EventDataDataAppCorrelationID、EventDataDataDSName、EventDataDataDSType、EventDataDataObjectGUID、EventDataDataFileName、EventDataDataLinkName、EventDataDataTransactionId、EventDataDataOldObjectDN、EventDataDataNewObjectDN、EventDataDatabcdCCID、EventDataDatabMaxSlotIndex、EventDataDatabVoltageSupport、EventDataDatadwProtocols、EventDataDatadwDefaultClock、EventDataDatadwMaximumClock、EventDataDatabNumClockSupported、EventDataDatadwDataRate、EventDataDatadwMaxDataRate、EventDataDatabNumDataRateSupported、EventDataDatadwMaxIFSD、EventDataDatadwSyncProtocols、EventDataDatadwMechanical、EventDataDatadwFeatures、EventDataDataObjectValueName、EventDataDataHandleId、EventDataDataOldValueType、EventDataDataOldValue、EventDataDataNewValueType、EventDataDataNewValue、EventDataDataSubjectUserDomainName、EventDataDataObjectCollectionName、EventDataDataObjectIdentifyingProperties、EventDataDataObjectProperties、EventDataDataparam、EventDataDataCVEID、EventDataDataAdditionalDetails、EventDataDataObjectServer、EventDataDataTaskContent、EventDataDataTaskContentTask、EventDataDataTaskContentTaskRegistrationInfo、EventDataDataTaskContentTaskRegistrationInfoDate、EventDataDataTaskContentTaskRegistrationInfoAuthor、EventDataDataTaskContentTaskTriggers、EventDataDataTaskContentTaskPrincipals、EventDataDataTaskContentTaskPrincipalsPrincipal、EventDataDataTaskContentTaskPrincipalsPrincipalid、EventDataDataTaskContentTaskPrincipalsPrincipalRunLevel、EventDataDataTaskContentTaskPrincipalsPrincipalUserId、EventDataDataTaskContentTaskPrincipalsPrincipalLogonType、EventDataDataTaskContentTaskSettings、EventDataDataTaskContentTaskSettingsMultipleInstancesPolicy、EventDataDataTaskContentTaskSettingsDisallowStartIfOnBatteries、EventDataDataTaskContentTaskSettingsStopIfGoingOnBatteries、EventDataDataTaskContentTaskSettingsAllowHardTerminate、EventDataDataTaskContentTaskSettingsStartWhenAvailable、EventDataDataTaskContentTaskSettingsRunOnlyIfNetworkAvailable、EventDataDataTaskContentTaskSettingsIdleSettings、EventDataDataTaskContentTaskSettingsIdleSettingsStopOnIdleEnd、EventDataDataTaskContentTaskSettingsIdleSettingsRestartOnIdle、EventDataDataTaskContentTaskSettingsAllowStartOnDemand、EventDataDataTaskContentTaskSettingsEnabled、EventDataDataTaskContentTaskSettingsHidden、EventDataDataTaskContentTaskSettingsRunOnlyIfIdle、EventDataDataTaskContentTaskSettingsWakeToRun、EventDataDataTaskContentTaskSettingsExecutionTimeLimit、EventDataDataTaskContentTaskSettingsPriority、EventDataDataTaskContentTaskActions、EventDataDataTaskContentTaskActionsContext、EventDataDataTaskContentTaskActionsExec、EventDataDataTaskContentTaskActionsExecCommand、EventDataDataOldTargetUserName、EventDataDataNewTargetUserName、EventDataDataDeviceId、EventDataDataDeviceDescription、EventDataDataClassId、EventDataDataClassName、EventDataDataVendorIds、EventDataDataCompatibleIds、EventDataDataLocationInformation、EventDataDataAccountName、EventDataDataAccountDomain、EventDataDataLogonID、EventDataDataSessionName、EventDataDataClientName、EventDataDataClientAddress、EventDataDataMajorVersion、EventDataDataMinorVersion、EventDataDataBuildVersion、EventDataDataQfeVersion、EventDataDataServiceVersion、EventDataDataBootMode、EventDataDataStartTime、EventDataDataOldRemark、EventDataDataNewRemark、EventDataDataOldMaxUsers、EventDataDataNewMaxUsers、EventDataDataOldShareFlags、EventDataDataNewShareFlags、EventDataDataOldSD、EventDataDataNewSD、EventDataDataTreeDelete、EventDataDataPuaCount、EventDataDataPuaPolicyId、EventDataDataResourceAttributes、EventDataDataModifiedObjectProperties、EventDataDataDisplayName、EventDataDataDnsHostName、EventDataDataServicePrincipalNames、EventDataDataAttributeSyntaxOID、EventDataDataDummy、EventDataDataComputerAccountChange、EventDataDataMessageNumber、EventDataDataMessageTotal、EventDataDataScriptBlockText、EventDataDataScriptBlockId、EventDataDataPath、EventDataDataImagePath、EventDataDataStartType、EventDataDataAppName、EventDataDataAppVersion、EventDataDataTerminationTime、EventDataDataExeFileName、EventDataDataReportId、EventDataDataPackageFullName、EventDataDataPackageRelativeAppId、EventDataDataHangType、EventDataDataAccessReason、EventDataDataTargetServerName、EventDataDataTargetInfo、EventDataDataTargetProcessId、EventDataDataTargetProcessName、EventDataDataKerberosPolicyChange、EventDataDataSubcategoryId、EventDataBinary。

Central Node 和 Kaspersky Endpoint Security for Linux

如果用户计算机上发生事件,则应用程序向事件数据库发送以下数据:

  1. 文件修改事件。
    • 有关创建文件的进程的信息:进程文件名、进程文件的 MD5 哈希和 SHA256 哈希。
    • 有关创建或修改的文件的信息:名称、路径、全名、类型、MD5 哈希、SHA256 哈希、创建日期、修改日期、属性、属性修改日期、大小、区域 ID、文件的应用程序名称、供应商、颁发数字证书的组织名称、描述、数字签名验证结果、数字签名的时间、原始名称、修改前的名称、修改前的路径、修改前的全名。
    • 有关创建链接的文件的信息:MD5 哈希、SHA256 哈希、创建日期、修改日期、属性、属性修改日期、大小、类型、区域 ID、文件的应用程序名称、原始名称、颁发数字证书的组织名称、描述、签名的主题、数字签名验证结果、数字签名的时间、链接文件的全名。
    • 文件类型。
    • 所有者 ID。
    • 所有者组 ID。
    • 所有者用户名。
    • 所有者组名称。
    • 从其检索文件的 URL。
    • 从中检索文件的消息的元数据。
    • 请求的访问标志。
    • 重启后文件删除的指示。
    • 文件访问标志。
  2. 操作系统日志中的事件。
    • 事件时间。
    • 事件类型。
    • 活动名称。
    • 操作结果。
    • 有关父进程的信息:文件路径、进程文件的 UniquePID、MD5 或 SHA256 哈希、用于启动进程的命令。
  3. 进程启动事件。

    有关父进程和祖进程、加载器进程、创建者进程、正在运行的进程的文件的信息:名称、路径、全名、MD5 哈希、SHA256 哈希、创建日期和时间、修改日期和时间、属性、属性修改日期和时间、大小、区域 ID、供应商、颁发数字证书的组织名称、描述、原始名称、数字签名主题、数字签名验证结果、数字签名的日期和时间、文件版本、登录类型、登录会话 ID、用户账户类型、用户名、用户账户 ID、登录计算机的 IP 地址、完整性级别、进程 ID、当前目录、所有者 ID、所有者组 ID、所有者用户名、所有者组名称、真实用户名、真实组名称、有效组名称、有效用户名、文件访问权限标志、下载文件的 URL、获取文件的消息的元数据、进程环境变量、命令行选项、进程类型。

  4. 进程停止事件。
    • 有关进程的文件的信息:文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希、文件大小以及进程结束时间。
    • UniquePID。
    • 进程启动选项。
    • 有关父进程的信息:文件路径、进程文件的 UniquePID、MD5 或 SHA256 哈希值、进程启动选项。
  5. 检测事件及其处理结果。
    • 扫描结果。
    • 检测到的对象的名称。
    • 应用程序数据库中记录的 ID。
    • 用于生成检测的应用程序数据库的发布时间。
    • 对象处理模式。
    • 检测到的对象的类别(例如,病毒的名称)。
    • 检测到的对象的 MD5 哈希。
    • 检测到的对象的 SHA256 哈希。
    • 进程的唯一 ID。
    • 进程的 PID。
    • 进程启动命令行。
    • 处理对象时出错的原因。
  6. DNS 查找事件。
    • DNS 服务器的 IPv4 地址。
    • 正在执行的 DNS 查询的二进制掩码。
    • DNS 响应错误代码。
    • DNS 查询类型 ID。
    • 要解析 DNS 记录的域名。
    • DNS 响应的日期。
  7. 代码注入事件。
    • 有关接收方进程的信息:应用程序名称、应用程序完整名称、应用程序路径、文件的 MD5 哈希值、文件的 SHA256 哈希值、下载文件的 URL、附加下载的文件的消息的元数据、应用程序的唯一 ID、应用程序的系统 ID、命令行、进程 DLL 的名称、进程 DLL 的路径、进程在地址空间中的地址。
    • 注入方法。
    • 修改的进程的命令行。
    • 系统调用参数。
    • 拦截注入相关函数时的 API 调用堆栈。

Central Node 和 Kaspersky Endpoint Security for Mac

如果用户计算机上发生事件,则应用程序向事件数据库发送以下数据:

  1. 文件创建事件。
    • 有关创建文件的进程的信息:进程文件名、进程文件的 MD5 哈希和 SHA256 哈希。
    • 文件名。
    • 文件路径。
    • 文件全名。
    • 文件类型。
    • 文件的 MD5 哈希和 SHA256 哈希。
    • 文件创建和修改日期。
    • 文件大小。
  2. 进程启动事件。

    有关父进程和祖进程、加载器进程、创建者进程、正在运行的进程的文件的信息:名称、路径、全名、MD5 哈希、SHA256 哈希、创建日期和时间、修改日期和时间、属性、属性修改日期和时间、大小、区域 ID、供应商、颁发数字证书的组织名称、描述、原始名称、数字签名主题、数字签名验证结果、数字签名的日期和时间、文件版本、登录类型、登录会话 ID、用户账户类型、用户名、用户账户 ID、登录计算机的 IP 地址、完整性级别、进程 ID、当前目录、所有者 ID、所有者组 ID、所有者用户名、所有者组名称、真实用户名、真实组名称、有效组名称、有效用户名、文件访问权限标志、下载文件的 URL、获取文件的消息的元数据、进程环境变量、命令行选项、进程类型。

  3. 进程停止事件。
    • 有关进程的文件的信息:文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希、文件大小以及进程结束时间。
    • UniquePID。
    • 进程启动选项。
    • 有关父进程的信息:文件路径、进程文件的 UniquePID、MD5 或 SHA256 哈希值、进程启动选项。
  4. 威胁检测事件和检测处理结果。
    • 扫描结果。
    • 检测到的对象的名称。
    • 应用程序数据库中记录的 ID。
    • 用于生成检测的应用程序数据库的发布时间。
    • 对象处理模式。
    • 检测到的对象的类别(例如,病毒的名称)。
    • 检测到的对象的 MD5 哈希。
    • 检测到的对象的 SHA256 哈希。
    • 进程的唯一 ID。
    • 进程的 PID。
    • 进程启动命令行。
    • 处理对象时出错的原因。

Central Node 和 Sandbox

Central Node 组件向 Sandbox 组件发送文件以及从网络和邮件流量中提取的 URL。在发送前,文件不会做任何形式的改动。Sandbox 组件将扫描结果发送至 Central Node 组件。

Central Node 和 Sensor

该应用程序可以在 Central Node 和 Sensor 组件之间传输以下数据:

具有 PCN 和 SCN 角色的服务器

如果应用程序在分布式解决方案模式下运行,则在 PCN 和连接的 SCN 之间传输以下相关数据:

另请参阅

应用程序的服务数据

Central Node 和 Sensor 组件的数据

Sandbox 组件数据

应用程序跟踪文件中包含的数据

Kaspersky Endpoint Agent for Windows 的数据

Kaspersky Endpoint Security for Windows 的数据

Kaspersky Endpoint Security for Linux 的数据

Kaspersky Endpoint Security for Mac 的数据

页面顶部