应用程序组件之间传输的数据
Central Node 和 Endpoint Agent 组件
用作 Endpoint Agent 组件的应用程序向 Central Node 组件发送以下内容:任务完成报告、安装了这些应用程序的计算机上发生的事件和警报的信息、有关终端会话的信息。
如果没有与 Central Node 组件的连接,所有待定信息将会累积起来,直到被发送至 Central Node 组件,或直到被用作 Endpoint Agent 的应用程序被从计算机移除为止,但不会超过 21 天。
所有事件的一般信息
如果用户计算机上发生事件,则应用程序向事件数据库发送以下数据:
- 事件类型。
- 事件时间。
- 事件 ID。
- 事件架构的版本。
- 事件被 Central Node 服务器处理的时间。
- 为其生成事件的用户账户。
- 发生事件的主机的名称。
- 主机的 IP 地址。
- 主机上安装的操作系统类型。
- 操作系统系列。
- 操作系统名称。
- 操作系统版本。
- Endpoint Agent 角色中使用的应用程序用于连接 Central Node 或 Sensor 服务器的网络适配器的 IP 地址。
- 充当 Endpoint Agent 组件角色的应用程序的版本。
- KBD 数据库最后更新的日期。
- SW 数据库最后更新的日期。
- 索引日期。
- 根据 TAA (IOA) 规则标记事件时,将传输以下信息:
- 触发的攻击指标的 ID。
- 触发的攻击指标的决定。
- 触发的攻击指标的来源。
- 触发的攻击指标的版本。
- MITRE 技术代码。
- MITRE 战术代码。
- 警报重要性取决于根据卡巴斯基的经验此警报对计算机或企业局域网可能造成的安全影响。
- 检测的置信度(取决于规则引起误报的可能性):
Central Node 和 Kaspersky Endpoint Agent for Windows
如果用户计算机上发生事件,则应用程序向事件数据库发送以下数据:
- 文件创建事件。
- 有关创建文件的进程的信息:进程文件名、进程文件的 MD5 哈希和 SHA256 哈希。
- 文件名。
- 文件路径。
- 文件全名。
- 文件的 MD5 哈希和 SHA256 哈希。
- 文件创建和修改日期。
- 文件大小。
- 注册表监控事件。
- 有关修改了注册表的进程的信息:进程 ID、进程文件名称、进程文件的 MD5 哈希和 SHA256 哈希。
- 注册表项路径。
- 注册表值名称。
- 注册表值数据。
- 注册表值类型。
- 以前的注册表项路径。
- 以前的注册表值数据。
- 以前的注册表值类型。
- 驱动程序加载事件。
- 文件名。
- 文件路径。
- 文件全名。
- 文件的 MD5 哈希和 SHA256 哈希。
- 文件大小。
- 文件创建和修改日期。
- 监听端口开放事件。
- 有关开放监听端口的进程的详细信息:进程文件名和进程文件的 MD5 哈希和 SHA256 哈希。
- 端口号。
- 适配器 IP 地址。
- 操作系统日志中的事件。
- 事件时间、发生事件的主机和用户账户名称。
- 事件 ID。
- 信道/日志名称。
- 日志中的事件 ID。
- 提供商名称。
- 认证事件子类型。
- 域名。
- 远程 IP 地址。
- 事件标题字段:ProviderName, EventId, Version, Level, Task, Opcode, Keywords, TimeCreatedSystemTime, EventRecordId, CorellationActivityId, ExecutionProcessID, ThreadID, Channel, Computer。
- 事件主体字段:AccessList, AccessMask, AccountExpires, AllowedToDelegateTo, Application, AuditPolicyChanges, AuthenticationPackageName, CategoryId, CommandLine, DisplayName, Dummy, ElevatedToken, EventCode, EventProcessingFailure, FailureReason, FilterRTID, HandleId, HomeDirectory, HomePath, ImpersonationLevel, IpAddress, IpPort, KeyLength, LayerName, LayerRTID, LmPackageName, LogonGuid, LogonHours, LogonProcessName, LogonType, MandatoryLabel, MemberName, MemberSid, NewProcessId, NewProcessName, NewUacValue, NewValue, NewValueType, ObjectName, ObjectServer, ObjectType, ObjectValueName, OldUacValue, OldValue, OldValueType, OperationType, PackageName, ParentProcessName, PasswordLastSet, PrimaryGroupId, PriviledgeList, ProcessId, ProcessName, ProfileChanged, ProfilePath, Protocol, PublisherId, ResourceAttributes, RestrictedAdminMode, SamAccountName, ScriptPath, ServiceAccount, ServiceFileName, ServiceName, ServiceStartType, ServiceType, SettingType, SettingValue, ShareLocalPath, ShareName, SidHistory, SourceAddress, SourcePort, Status, SubcategoryGuid, SubcategoryId, SubjectDomainName, SubjectLogonId, SubjectUserName, SubjectUserSid, SubStatus, TargetDomainName, TargetLinkedLogonId, TargetLogonId, TargetOutboundDomainName, TargetOutboundUserName, TargetUserName, TargetUserSid, TaskContent, TaskName, TokenElevationType, TransmittedServices, UserAccountControl, UserParameters, UserPrincipalName, UserWorkstations, VirtualAccount, Workstation, WorkstationName。
- 进程启动事件。
- 有关进程文件的信息:文件名、文件路径、文件的 MD5 或 SHA256 哈希、文件大小、创建和修改日期、颁发文件数字证书的组织名称、数字签名验证结果。
- UniquePID。
- 进程启动选项。
- 进程启动时间。
- 有关父进程的信息:文件路径、进程文件的 UniquePID、MD5 或 SHA256 哈希值、进程启动选项。
- 进程停止事件。
- 有关进程的文件的信息:文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希、文件大小以及进程结束时间。
- UniquePID。
- 进程启动选项。
- 有关父进程的信息:文件路径、进程文件的 UniquePID、MD5 或 SHA256 哈希值、进程启动选项。
- 模块加载事件。
- 有关加载模块的文件的详细信息:UniquePID、文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希以及文件大小。
- DLL 名称。
- DLL 的路径。
- DLL 全名。
- DLL 的 MD5 哈希或 SHA256 哈希。
- DLL 大小。
- DLL 创建和修改日期。
- 颁发 DLL 数字证书的组织名称。
- DLL 数字签名验证结果。
- 进程启动阻止事件。
- 有关尝试运行的文件的详细信息:文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希、文件大小以及文件创建和修改日期。
- 命令行参数。
- 文件启动阻止事件。
- 有关尝试打开的文件的详细信息:文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希、用于文件大小阻止的校验和类型((0 – MD5, !=0 – SHA256,不用于搜索)。
- 有关可执行文件的详细信息:文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希、文件大小以及文件创建和修改日期。
- 有关父进程的详细信息:文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希以及 UniquePID。
- 检测事件及其处理结果(当 Kaspersky Endpoint Agent for Windows 与 Kaspersky Endpoint Security for Windows 集成时)。
- 扫描结果。
- 检测到的对象的名称。
- 应用程序数据库中记录的 ID。
- 用于生成检测的应用程序数据库的发布时间。
- 对象处理模式。
- 检测到的对象的类别(例如,病毒的名称)。
- 检测到的对象的 MD5 哈希。
- 检测到的对象的 SHA256 哈希。
- 进程的唯一 ID。
- Windows任务管理器中显示的进程 PID。
- 进程启动命令行。
- 处理对象时出错的原因。
- 使用 AMSI 扫描的脚本内容。
- AMSI 扫描事件。
Central Node 和 Kaspersky Endpoint Security for Windows
如果用户计算机上发生事件,则应用程序向事件数据库发送以下数据:
- 文件修改事件。
- 有关创建文件的进程的信息:进程文件名、进程文件的 MD5 哈希和 SHA256 哈希。
- 有关创建或修改的文件的信息:名称、路径、全名、类型、MD5 哈希、SHA256 哈希、创建日期、修改日期、属性、属性修改日期、大小、区域 ID、文件的应用程序名称、供应商、颁发数字证书的组织名称、描述、数字签名验证结果、数字签名的时间、原始名称、修改前的名称、修改前的路径、修改前的全名。
- 有关创建链接的文件的信息:MD5 哈希、SHA256 哈希、创建日期、修改日期、属性、属性修改日期、大小、类型、区域 ID、文件的应用程序名称、原始名称、颁发数字证书的组织名称、描述、签名的主题、数字签名验证结果、数字签名的时间、链接文件的全名。
- 注册表监控事件。
- 有关修改了注册表的进程的信息:进程 ID、进程文件名称、进程文件的 MD5 哈希和 SHA256 哈希。
- 注册表项路径。
- 注册表值名称。
- 注册表值数据。
- 注册表值类型。
- 以前的注册表项路径。
- 以前的注册表值数据。
- 以前的注册表值类型。
- 注册表操作的类型。
- 保存注册表项的文件的路径。
- 驱动程序加载事件。
- 文件名。
- 原始文件名。
- 文件路径。
- 文件全名。
- 文件的 MD5 哈希和 SHA256 哈希。
- 文件大小。
- 文件创建和修改日期。
- 文件属性修改日期。
- 文件大小。
- 文件类型。
- 文件属性。
- 文件区域 ID。
- 文件供应商。
- 文件描述。
- 颁发数字证书的组织名称。
- 签名主题。
- 数字签名验证结果。
- 数字签名的时间。
- 从其检索文件的 URL。
- 从中检索文件的消息的元数据。
- 监听端口开放事件。
- 有关开放监听端口的进程的详细信息:进程文件名和进程文件的 MD5 哈希和 SHA256 哈希。
- 端口号。
- 适配器 IP 地址。
- 运行状态。
- 远程连接事件。
- 本地计算机的信息:IP 地址、端口号。
- 有关远程计算机的信息:IP 地址、端口号、FQDN。
- 有关连接的 TLS 加密的信息:协议版本、SNI、加密的 SNI、证书文件的 MD5 哈希、证书文件的 SHA1 哈希、证书颁发者名称、证书序列号、证书验证结果、证书到期日期、Ja3、Ja3s、Ja3 的 MD5 哈希、Ja3s 的 MD5 哈希、套接字类型。
- LANA 号码。
- HTTP 方法。
- 所跟踪的 URL。
- 进程状态。
- 连接方向。
- DNS 查找事件。
- DNS 服务器的 IPv4 地址。
- 正在执行的 DNS 查询的二进制掩码。
- DNS 响应错误代码。
- DNS 查询类型 ID。
- 要解析 DNS 记录的域名。
- DNS 响应的日期。
- LDAP 事件。
- 搜索范围。
- 搜索查询过滤器。
- 查询中指定为要返回的属性。
- 要搜索的 LDAP容器的路径。
- 进程启动事件。
有关父进程和祖进程、加载器进程、创建者进程、正在运行的进程的文件的信息:名称、路径、全名、MD5 哈希、SHA256 哈希、创建日期和时间、修改日期和时间、属性、属性修改日期和时间、大小、区域 ID、供应商、颁发数字证书的组织名称、描述、原始名称、数字签名主题、数字签名验证结果、数字签名的日期和时间、文件版本、登录类型、登录会话 ID、用户账户类型、用户名、用户账户 ID、登录计算机的 IP 地址、完整性级别、进程 ID、当前目录。
- 进程停止事件。
- 有关进程的文件的信息:文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希、文件大小以及进程结束时间。
- 进程的唯一 ID。
- 进程启动选项。
- 有关父进程的信息:文件路径、UniquePID、MD5 和 SHA256 哈希、命令行选项。
- 进程访问事件。
- 操作类型。
- 进程访问权限。
- 调用堆栈。
- 有关接收方进程的文件以及复制句柄的进程的文件的信息:名称、路径、完整路径、MD5 和 SHA256 哈希、创建日期和时间、修改日期和时间、属性修改日期和时间、大小、唯一 ID、系统 ID、命令行选项、从中检索文件的 URL、从中检索文件的消息的元数据。
- 模块加载事件。
- 有关加载模块的文件的详细信息:UniquePID、文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希以及文件大小。
- DLL 名称。
- DLL 的路径。
- DLL 全名。
- DLL 的 MD5 哈希或 SHA256 哈希。
- DLL 大小。
- DLL 属性。
- DLL 区域 ID。
- DLL 应用程序名称。
- 原始 DLL 名称。
- DLL 创建和修改日期。
- 颁发 DLL 数字证书的组织名称。
- DLL 数字签名验证结果。
- DLL 数字签名日期。
- 替换 DLL 的路径。
- DLL 文件类型。
- 从其检索文件的 URL。
- 从中检索文件的消息的元数据。
- .NET 程序集名称。
- .NET 程序集标志。
- .NET 模块标志。
- 进程启动阻止事件。
- 有关尝试运行的文件的详细信息:文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希、文件大小以及文件创建和修改日期。
- 命令行参数。
- 文件启动阻止事件。
- 有关正在打开的文件的信息:文件名、文件路径、完整文件名、MD5 哈希、SHA256 哈希、触发阻止的校验和类型(MD5 为 0,SHA256 为 !=0,不用于搜索)、下载可执行文件的网站 URL、附加下载的文件的消息的元数据。
- 有关可执行文件的详细信息:文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希、文件大小以及文件创建和修改日期。
- 有关父进程的详细信息:文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希以及 UniquePID。
- 命名管道打开并连接的事件。
- 创建或连接到命名管道的进程的文件名。
- 管道操作类型。
- 威胁检测事件和检测处理结果。
- 检测到的对象的名称。
- 检测到的对象的 MD5 哈希。
- 检测到的对象的 SHA256 哈希。
- 检测对象的类型。
- 扫描结果。
- 应用程序数据库中记录的 ID。
- 用于生成检测的应用程序数据库的版本。
- 对象处理模式。
- 检测到的对象的类别(例如,病毒的名称)。
- 协议。
- 本地计算机的 IPv4 或 IPv6 地址。
- 本地端口号。
- 远程计算机的 IPv4 或 IPv6 地址。
- 远程端口号。
- 从其检索文件的 URL。
- 发件人的电子邮件地址(如果文件是从电子邮件中获取的)。
- 文件加载器的全名、MD5 哈希、SHA256 哈希。
- 进程的唯一 ID。
- Windows任务管理器中显示的进程 PID。
- 进程启动命令行。
- 处理对象时出错的原因。
- 使用 AMSI 扫描的脚本内容和类型。
- WMI 服务启动事件。
- 操作类型。
- WMI 服务的远程启动标志。
- 启动 WMI 服务的计算机的名称。
- 启动 WMI 服务的用户的名称。
- WMI 命名空间。
- 事件消费者过滤器名称。
- 创建的事件消费者的名称。
- 事件消费者源代码。
- AMSI 扫描事件。
- 使用 AMSI 扫描的脚本内容。
- 发送扫描的脚本的内容类型。
- 发送扫描的脚本的名称。
- 脚本文件的 MD5 哈希。
- 脚本文件的 SHA256 哈希。
- 代码注入事件。
- 有关接收方进程的信息:应用程序名称、应用程序完整名称、应用程序路径、文件的 MD5 哈希值、文件的 SHA256 哈希值、下载文件的 URL、附加下载的文件的消息的元数据、应用程序的唯一 ID、应用程序的系统 ID、命令行、进程 DLL 的名称、进程 DLL 的路径、进程在地址空间中的地址。
- 注入方法。
- 修改的进程的命令行。
- 系统调用参数。
- 拦截注入相关函数时的 API 调用堆栈。
- 解释文件运行事件。
有关解释文件的信息:名称、路径、全名、MD5、SHA256、文件创建日期和时间、文件修改日期和时间、大小、类型、属性、属性修改日期和时间、原始名称、描述、区域 ID、颁发数字证书的组织名称、数字签名验证的结果、数字签名的日期和时间、数字签名的主题、获取文件的 URL、附加下载的文件的消息的元数据。
- 操作系统日志中的事件。
- 事件时间、发生事件的主机和用户账户名称。
- 事件 ID。
- 信道/日志名称。
- 日志中的事件 ID。
- 提供商名称。
- 认证事件子类型。
- 域名。
- 远程 IP 地址。
- 事件标题字段:ProviderName, EventId, Version, Level, Task, Opcode, Keywords, TimeCreatedSystemTime, EventRecordId, CorellationActivityId, ExecutionProcessID, ThreadID, Channel, Computer。
- 事件正文字段:AccessList、AccessFiles mask、AccountExpires、AllowedToDelegateTo、Application、AuditPolicyChanges、AuthenticationPackageName、CategoryId、CommandLine、DisplayName、Dummy、ElevatedToken、EventCode、EventProcessingFailure、FailureReason、FilterRTID、HandleId、HomeDirectory、HomePath、ImpersonationLevel、IpAddress、IpPort、KeyLength、LayerName、LayerRTID、LmPackageName、LogonGuid、LogonHours、LogonProcessName、LogonType、MandatoryLabel、MemberName、MemberSid、NewProcessId、NewProcessName、NewUacValue、NewValue、NewValueType、ObjectName、ObjectServer、ObjectType、ObjectValueName、OldUacValue、OldValue、OldValueType、OperationType、PackageName、ParentProcessName、PasswordLastSet、PrimaryGroupId、PriviledgeList、ProcessId、ProcessName、ProfileChanged、ProfilePath、Protocol、PublisherId、ResourceAttributes、RestrictedAdminMode、SamAccountName、ScriptPath、ServiceAccount、ServiceFileName、ServiceName、ServiceStartType、ServiceType、SettingType、SettingValue、ShareLocalPath、ShareName、SidHistory、SourceAddress、SourcePort、Status、SubcategoryGuid、SubcategoryId、SubjectDomainName、SubjectLogonId、SubjectUserName、SubjectUserSid、SubStatus、TargetDomainName、TargetLinkedLogonId、TargetLogonId、TargetOutboundDomainName、TargetOutboundUserName、TargetUserName、TargetUserSid、TaskContent、TaskName、TokenElevationType、TransmittedServices、UserAccountControl、UserParameters、UserPrincipalName、UserWorkstations、VirtualAccount、Workstation、WorkstationName、System、SystemProvider、SystemProviderName、SystemProviderGuid、SystemProviderEventSourceName、SystemEventID、SystemEventIDQualifiers、SystemEventRecordID、SystemChannel、SystemTask、SystemOpcode、SystemVersion、SystemLevel、SystemKeywords、SystemTimeCreated、SystemTimeCreatedSystemTime、SystemCorrelation、SystemCorrelationActivityID、SystemExecution、SystemExecutionProcessID、SystemExecutionThreadID、SystemComputer、SystemSecurity、SystemSecurityUserID、UserData、UserDataEventProcessingFailure、UserDataEventProcessingFailureError、UserDataEventProcessingFailureErrorCode、UserDataEventProcessingFailureEventID、UserDataEventProcessingFailurePublisherID、UserDataLogFileCleared、UserDataLogFileClearedSubjectUserSid、UserDataLogFileClearedSubjectUserName、UserDataLogFileClearedSubjectDomainName、UserDataLogFileClearedSubjectLogonId、UserDataFileIsFull、UserDataOperationStartedOperationalProviderName、UserDataOperationStartedOperationalCode、UserDataOperationStartedOperationalHostProcess、UserDataOperationStartedOperationalProcessID、UserDataOperationStartedOperationalProviderPath、UserDataServiceShutdown、UserDataOperationClientFailure、UserDataOperationClientFailureId、UserDataOperationClientFailureClientMachine、UserDataOperationClientFailureUser、UserDataOperationClientFailureClientProcessId、UserDataOperationClientFailureComponent、UserDataOperationClientFailureOperation、UserDataOperationClientFailureResultCode、UserDataOperationClientFailurePossibleCause、EventData、EventDataData、EventDataDataTaskName、EventDataDataPrivilegeList、EventDataDataAttributeLDAPDisplayName、EventDataDataOperationType、EventDataDataObjectClass、EventDataDataAttributeValue、EventDataDataObjectDN、EventDataDataRelativeTargetName、EventDataDataWorkstationName、EventDataDataServiceName、EventDataDataAllowedToDelegateTo、EventDataDataUserAccountControl、EventDataDataProfileChanged、EventDataDataRuleId、EventDataDataRuleName、EventDataDataSubjectUserSid、EventDataDataSubjectUserName、EventDataDataSubjectDomainName、EventDataDataSubjectLogonId、EventDataDataPreviousTime、EventDataDataNewTime、EventDataDataProcessId、EventDataDataProcessName、EventDataDataObjectType、EventDataDataObjectName、EventDataDataAccessList、EventDataDataAccessMask、EventDataDataServiceFileName、EventDataDataServiceType、EventDataDataServiceStartType、EventDataDataServiceAccount、EventDataDataDomainName、EventDataDataDomainSid、EventDataDataTdoType、EventDataDataTdoDirection、EventDataDataTdoAttributes、EventDataDataSidFilteringEnabled、EventDataDataTargetSid、EventDataDataAccessGranted、EventDataDataTargetUserName、EventDataDataTargetDomainName、EventDataDataSamAccountName、EventDataDataSidHistory、EventDataDataDomainPolicyChanged、EventDataDataMinPasswordAge、EventDataDataMaxPasswordAge、EventDataDataForceLogoff、EventDataDataLockoutThreshold、EventDataDataLockoutObservationWindow、EventDataDataLockoutDuration、EventDataDataProperties、EventDataDataPasswordProperties、EventDataDataMinPasswordLength、EventDataDataPasswordHistoryLength、EventDataDataMachineAccountQuota、EventDataDataMixedDomainMode、EventDataDataDomainBehaviorVersion、EventDataDataOemInformation、EventDataDataGroupTypeChange、EventDataDataLogonGuid、EventDataDataTargetUserSid、EventDataDataTargetLogonId、EventDataDataTargetLogonGuid、EventDataDataSidList、EventDataDataWorkstation、EventDataDataStatus、EventDataDataCallerProcessId、EventDataDataCallerProcessName、EventDataDataForestRoot、EventDataDataForestRootSid、EventDataDataOperationId、EventDataDataEntryType、EventDataDataFlags、EventDataDataTopLevelName、EventDataDataDnsName、EventDataDataNetbiosName、EventDataDataAuditSourceName、EventDataDataEventSourceId、EventDataDataErrorCode、EventDataDataGPOList、EventDataDataDestinationDRA、EventDataDataSourceDRA、EventDataDataSourceAddr、EventDataDataNamingContext、EventDataDataOptions、EventDataDataStatusCode、EventDataDataSessionID、EventDataDataStartUSN、EventDataDataPackageName、EventDataDataAuthenticationPackageName、EventDataDataFailureReason、EventDataDataSubStatus、EventDataDataCategoryId、EventDataDataSubcategoryGuid、EventDataDataAuditPolicyChanges、EventDataDataUserPrincipalName、EventDataDataHomeDirectory、EventDataDataHomePath、EventDataDataScriptPath、EventDataDataProfilePath、EventDataDataUserWorkstations、EventDataDataPasswordLastSet、EventDataDataAccountExpires、EventDataDataPrimaryGroupId、EventDataDataOldUacValue、EventDataDataNewUacValue、EventDataDataUserParameters、EventDataDataLogonHours、EventDataDataMemberName、EventDataDataMemberSid、EventDataDataServiceSid、EventDataDataTicketOptions、EventDataDataTicketEncryptionType、EventDataDataPreAuthType、EventDataDataCertIssuerName、EventDataDataCertSerialNumber、EventDataDataCertThumbprint、EventDataDataSettingType、EventDataDataSettingValue、EventDataDataShareName、EventDataDataShareLocalPath、EventDataDataApplication、EventDataDataSourceAddress、EventDataDataSourcePort、EventDataDataProtocol、EventDataDataFilterRTID、EventDataDataLayerName、EventDataDataLayerRTID、EventDataDataLogonType、EventDataDataLogonProcessName、EventDataDataTransmittedServices、EventDataDataLmPackageName、EventDataDataKeyLength、EventDataDataIpAddress、EventDataDataIpPort、EventDataDataImpersonationLevel、EventDataDataRestrictedAdminMode、EventDataDataTargetOutboundUserName、EventDataDataTargetOutboundDomainName、EventDataDataVirtualAccount、EventDataDataTargetLinkedLogonId、EventDataDataElevatedToken、EventDataDataTaskContentNew、EventDataDataTaskContentNewTask、EventDataDataTaskContentNewTaskRegistrationInfo、EventDataDataTaskContentNewTaskRegistrationInfoDate、EventDataDataTaskContentNewTaskRegistrationInfoAuthor、EventDataDataTaskContentNewTaskTriggers、EventDataDataTaskContentNewTaskPrincipals、EventDataDataTaskContentNewTaskPrincipalsPrincipal、EventDataDataTaskContentNewTaskPrincipalsPrincipalid、EventDataDataTaskContentNewTaskPrincipalsPrincipalRunLevel、EventDataDataTaskContentNewTaskPrincipalsPrincipalUserId、EventDataDataTaskContentNewTaskPrincipalsPrincipalLogonType、EventDataDataTaskContentNewTaskSettings、EventDataDataTaskContentNewTaskSettingsMultipleInstancesPolicy、EventDataDataTaskContentNewTaskSettingsDisallowStartIfOnBatteries、EventDataDataTaskContentNewTaskSettingsStopIfGoingOnBatteries、EventDataDataTaskContentNewTaskSettingsAllowHardTerminate、EventDataDataTaskContentNewTaskSettingsStartWhenAvailable、EventDataDataTaskContentNewTaskSettingsRunOnlyIfNetworkAvailable、EventDataDataTaskContentNewTaskSettingsIdleSettings、EventDataDataTaskContentNewTaskSettingsIdleSettingsStopOnIdleEnd、EventDataDataTaskContentNewTaskSettingsIdleSettingsRestartOnIdle、EventDataDataTaskContentNewTaskSettingsAllowStartOnDemand、EventDataDataTaskContentNewTaskSettingsEnabled、EventDataDataTaskContentNewTaskSettingsHidden、EventDataDataTaskContentNewTaskSettingsRunOnlyIfIdle、EventDataDataTaskContentNewTaskSettingsWakeToRun、EventDataDataTaskContentNewTaskSettingsExecutionTimeLimit、EventDataDataTaskContentNewTaskSettingsPriority、EventDataDataTaskContentNewTaskActions、EventDataDataTaskContentNewTaskActionsContext、EventDataDataTaskContentNewTaskActionsExec、EventDataDataTaskContentNewTaskActionsExecCommand、EventDataDataOldSd、EventDataDataNewSd、EventDataDataNotificationPackageName、EventDataDataSecurityPackageName、EventDataDataStopTime、EventDataDataContextInfo、EventDataDataUserData、EventDataDataPayload、EventDataDataOpCorrelationID、EventDataDataAppCorrelationID、EventDataDataDSName、EventDataDataDSType、EventDataDataObjectGUID、EventDataDataFileName、EventDataDataLinkName、EventDataDataTransactionId、EventDataDataOldObjectDN、EventDataDataNewObjectDN、EventDataDatabcdCCID、EventDataDatabMaxSlotIndex、EventDataDatabVoltageSupport、EventDataDatadwProtocols、EventDataDatadwDefaultClock、EventDataDatadwMaximumClock、EventDataDatabNumClockSupported、EventDataDatadwDataRate、EventDataDatadwMaxDataRate、EventDataDatabNumDataRateSupported、EventDataDatadwMaxIFSD、EventDataDatadwSyncProtocols、EventDataDatadwMechanical、EventDataDatadwFeatures、EventDataDataObjectValueName、EventDataDataHandleId、EventDataDataOldValueType、EventDataDataOldValue、EventDataDataNewValueType、EventDataDataNewValue、EventDataDataSubjectUserDomainName、EventDataDataObjectCollectionName、EventDataDataObjectIdentifyingProperties、EventDataDataObjectProperties、EventDataDataparam、EventDataDataCVEID、EventDataDataAdditionalDetails、EventDataDataObjectServer、EventDataDataTaskContent、EventDataDataTaskContentTask、EventDataDataTaskContentTaskRegistrationInfo、EventDataDataTaskContentTaskRegistrationInfoDate、EventDataDataTaskContentTaskRegistrationInfoAuthor、EventDataDataTaskContentTaskTriggers、EventDataDataTaskContentTaskPrincipals、EventDataDataTaskContentTaskPrincipalsPrincipal、EventDataDataTaskContentTaskPrincipalsPrincipalid、EventDataDataTaskContentTaskPrincipalsPrincipalRunLevel、EventDataDataTaskContentTaskPrincipalsPrincipalUserId、EventDataDataTaskContentTaskPrincipalsPrincipalLogonType、EventDataDataTaskContentTaskSettings、EventDataDataTaskContentTaskSettingsMultipleInstancesPolicy、EventDataDataTaskContentTaskSettingsDisallowStartIfOnBatteries、EventDataDataTaskContentTaskSettingsStopIfGoingOnBatteries、EventDataDataTaskContentTaskSettingsAllowHardTerminate、EventDataDataTaskContentTaskSettingsStartWhenAvailable、EventDataDataTaskContentTaskSettingsRunOnlyIfNetworkAvailable、EventDataDataTaskContentTaskSettingsIdleSettings、EventDataDataTaskContentTaskSettingsIdleSettingsStopOnIdleEnd、EventDataDataTaskContentTaskSettingsIdleSettingsRestartOnIdle、EventDataDataTaskContentTaskSettingsAllowStartOnDemand、EventDataDataTaskContentTaskSettingsEnabled、EventDataDataTaskContentTaskSettingsHidden、EventDataDataTaskContentTaskSettingsRunOnlyIfIdle、EventDataDataTaskContentTaskSettingsWakeToRun、EventDataDataTaskContentTaskSettingsExecutionTimeLimit、EventDataDataTaskContentTaskSettingsPriority、EventDataDataTaskContentTaskActions、EventDataDataTaskContentTaskActionsContext、EventDataDataTaskContentTaskActionsExec、EventDataDataTaskContentTaskActionsExecCommand、EventDataDataOldTargetUserName、EventDataDataNewTargetUserName、EventDataDataDeviceId、EventDataDataDeviceDescription、EventDataDataClassId、EventDataDataClassName、EventDataDataVendorIds、EventDataDataCompatibleIds、EventDataDataLocationInformation、EventDataDataAccountName、EventDataDataAccountDomain、EventDataDataLogonID、EventDataDataSessionName、EventDataDataClientName、EventDataDataClientAddress、EventDataDataMajorVersion、EventDataDataMinorVersion、EventDataDataBuildVersion、EventDataDataQfeVersion、EventDataDataServiceVersion、EventDataDataBootMode、EventDataDataStartTime、EventDataDataOldRemark、EventDataDataNewRemark、EventDataDataOldMaxUsers、EventDataDataNewMaxUsers、EventDataDataOldShareFlags、EventDataDataNewShareFlags、EventDataDataOldSD、EventDataDataNewSD、EventDataDataTreeDelete、EventDataDataPuaCount、EventDataDataPuaPolicyId、EventDataDataResourceAttributes、EventDataDataModifiedObjectProperties、EventDataDataDisplayName、EventDataDataDnsHostName、EventDataDataServicePrincipalNames、EventDataDataAttributeSyntaxOID、EventDataDataDummy、EventDataDataComputerAccountChange、EventDataDataMessageNumber、EventDataDataMessageTotal、EventDataDataScriptBlockText、EventDataDataScriptBlockId、EventDataDataPath、EventDataDataImagePath、EventDataDataStartType、EventDataDataAppName、EventDataDataAppVersion、EventDataDataTerminationTime、EventDataDataExeFileName、EventDataDataReportId、EventDataDataPackageFullName、EventDataDataPackageRelativeAppId、EventDataDataHangType、EventDataDataAccessReason、EventDataDataTargetServerName、EventDataDataTargetInfo、EventDataDataTargetProcessId、EventDataDataTargetProcessName、EventDataDataKerberosPolicyChange、EventDataDataSubcategoryId、EventDataBinary。
Central Node 和 Kaspersky Endpoint Security for Linux
如果用户计算机上发生事件,则应用程序向事件数据库发送以下数据:
- 文件修改事件。
- 有关创建文件的进程的信息:进程文件名、进程文件的 MD5 哈希和 SHA256 哈希。
- 有关创建或修改的文件的信息:名称、路径、全名、类型、MD5 哈希、SHA256 哈希、创建日期、修改日期、属性、属性修改日期、大小、区域 ID、文件的应用程序名称、供应商、颁发数字证书的组织名称、描述、数字签名验证结果、数字签名的时间、原始名称、修改前的名称、修改前的路径、修改前的全名。
- 有关创建链接的文件的信息:MD5 哈希、SHA256 哈希、创建日期、修改日期、属性、属性修改日期、大小、类型、区域 ID、文件的应用程序名称、原始名称、颁发数字证书的组织名称、描述、签名的主题、数字签名验证结果、数字签名的时间、链接文件的全名。
- 文件类型。
- 所有者 ID。
- 所有者组 ID。
- 所有者用户名。
- 所有者组名称。
- 从其检索文件的 URL。
- 从中检索文件的消息的元数据。
- 请求的访问标志。
- 重启后文件删除的指示。
- 文件访问标志。
- 操作系统日志中的事件。
- 事件时间。
- 事件类型。
- 活动名称。
- 操作结果。
- 有关父进程的信息:文件路径、进程文件的 UniquePID、MD5 或 SHA256 哈希、用于启动进程的命令。
- 进程启动事件。
有关父进程和祖进程、加载器进程、创建者进程、正在运行的进程的文件的信息:名称、路径、全名、MD5 哈希、SHA256 哈希、创建日期和时间、修改日期和时间、属性、属性修改日期和时间、大小、区域 ID、供应商、颁发数字证书的组织名称、描述、原始名称、数字签名主题、数字签名验证结果、数字签名的日期和时间、文件版本、登录类型、登录会话 ID、用户账户类型、用户名、用户账户 ID、登录计算机的 IP 地址、完整性级别、进程 ID、当前目录、所有者 ID、所有者组 ID、所有者用户名、所有者组名称、真实用户名、真实组名称、有效组名称、有效用户名、文件访问权限标志、下载文件的 URL、获取文件的消息的元数据、进程环境变量、命令行选项、进程类型。
- 进程停止事件。
- 有关进程的文件的信息:文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希、文件大小以及进程结束时间。
- UniquePID。
- 进程启动选项。
- 有关父进程的信息:文件路径、进程文件的 UniquePID、MD5 或 SHA256 哈希值、进程启动选项。
- 检测事件及其处理结果。
- 扫描结果。
- 检测到的对象的名称。
- 应用程序数据库中记录的 ID。
- 用于生成检测的应用程序数据库的发布时间。
- 对象处理模式。
- 检测到的对象的类别(例如,病毒的名称)。
- 检测到的对象的 MD5 哈希。
- 检测到的对象的 SHA256 哈希。
- 进程的唯一 ID。
- 进程的 PID。
- 进程启动命令行。
- 处理对象时出错的原因。
- DNS 查找事件。
- DNS 服务器的 IPv4 地址。
- 正在执行的 DNS 查询的二进制掩码。
- DNS 响应错误代码。
- DNS 查询类型 ID。
- 要解析 DNS 记录的域名。
- DNS 响应的日期。
- 代码注入事件。
- 有关接收方进程的信息:应用程序名称、应用程序完整名称、应用程序路径、文件的 MD5 哈希值、文件的 SHA256 哈希值、下载文件的 URL、附加下载的文件的消息的元数据、应用程序的唯一 ID、应用程序的系统 ID、命令行、进程 DLL 的名称、进程 DLL 的路径、进程在地址空间中的地址。
- 注入方法。
- 修改的进程的命令行。
- 系统调用参数。
- 拦截注入相关函数时的 API 调用堆栈。
Central Node 和 Kaspersky Endpoint Security for Mac
如果用户计算机上发生事件,则应用程序向事件数据库发送以下数据:
- 文件创建事件。
- 有关创建文件的进程的信息:进程文件名、进程文件的 MD5 哈希和 SHA256 哈希。
- 文件名。
- 文件路径。
- 文件全名。
- 文件类型。
- 文件的 MD5 哈希和 SHA256 哈希。
- 文件创建和修改日期。
- 文件大小。
- 进程启动事件。
有关父进程和祖进程、加载器进程、创建者进程、正在运行的进程的文件的信息:名称、路径、全名、MD5 哈希、SHA256 哈希、创建日期和时间、修改日期和时间、属性、属性修改日期和时间、大小、区域 ID、供应商、颁发数字证书的组织名称、描述、原始名称、数字签名主题、数字签名验证结果、数字签名的日期和时间、文件版本、登录类型、登录会话 ID、用户账户类型、用户名、用户账户 ID、登录计算机的 IP 地址、完整性级别、进程 ID、当前目录、所有者 ID、所有者组 ID、所有者用户名、所有者组名称、真实用户名、真实组名称、有效组名称、有效用户名、文件访问权限标志、下载文件的 URL、获取文件的消息的元数据、进程环境变量、命令行选项、进程类型。
- 进程停止事件。
- 有关进程的文件的信息:文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希、文件大小以及进程结束时间。
- UniquePID。
- 进程启动选项。
- 有关父进程的信息:文件路径、进程文件的 UniquePID、MD5 或 SHA256 哈希值、进程启动选项。
- 威胁检测事件和检测处理结果。
- 扫描结果。
- 检测到的对象的名称。
- 应用程序数据库中记录的 ID。
- 用于生成检测的应用程序数据库的发布时间。
- 对象处理模式。
- 检测到的对象的类别(例如,病毒的名称)。
- 检测到的对象的 MD5 哈希。
- 检测到的对象的 SHA256 哈希。
- 进程的唯一 ID。
- 进程的 PID。
- 进程启动命令行。
- 处理对象时出错的原因。
Central Node 和 Sandbox
Central Node 组件向 Sandbox 组件发送文件以及从网络和邮件流量中提取的 URL。在发送前,文件不会做任何形式的改动。Sandbox 组件将扫描结果发送至 Central Node 组件。
Central Node 和 Sensor
该应用程序可以在 Central Node 和 Sensor 组件之间传输以下数据:
- 文件和电子邮件。
- 入侵检测系统和URL信誉技术生成的警报数据。
- 授权许可信息。
- 被从扫描中排除的数据列表。
- 如果已配置与代理服务器的集成,则端点 Sensor 应用程序的数据。
- 如果已配置从 Central Node 组件接收数据库更新,则为应用程序数据库。
具有 PCN 和 SCN 角色的服务器
如果应用程序在分布式解决方案模式下运行,则在 PCN 和连接的 SCN 之间传输以下相关数据:
- 警报。
- 事件。
- Tasks。
- 策略。
- 使用 IOC、TAA (IOA)、IDS、YARA 用户规则进行的扫描。
- 存储中的文件。
- 用户账户。
- 授权许可。
- 具有 Endpoint Agent 组件的计算机列表。
- 放在存储中的对象。
- 在具有 Endpoint Agent 组件的计算机上被隔离的对象。
- 附加到检测的文件。
- IOC 和 YARA 文件。
页面顶部