應用程式元件之間傳輸的資料

Central Node 和 Endpoint Agent 元件

用作 Endpoint Agent 元件的應用程式向 Central Node 元件傳送以下內容：工作完成報告、安裝了這些應用程式的電腦上發生的事件和警示的資訊、有關終端工作階段的資訊。

如果沒有與 Central Node 元件的連線，所有待定資訊將會累積起來，直到被傳送至 Central Node 元件，或直到被用作 Endpoint Agent 的應用程式被從電腦移除為止，但不會超過 21 天。

所有事件的一般資訊

如果使用者電腦上發生事件，則應用程式會向事件資料庫傳送以下資料：

• 事件類型。
• 事件時間。
• 事件 ID。
• 事件架構的版本。
• 事件被 Central Node 伺服器處理的時間。
• 為其產生事件的使用者帳戶。
• 發生事件的主機的名稱。
• 主機的 IP 位址。
• 主機上安裝的作業系統類型。
• 作業係統系列。
• 作業係統名稱。
• 作業係統版本。
• Endpoint Agent 角色中使用的應用程式用於連接Central Node 或 Sensor 伺服器的網路介面卡的 IP 位址。
• 充當 Endpoint Agent 元件角色的應用程式的版本。
• KBD 資料庫最後更新的日期。
• SW 資料庫最後更新的日期。
• 索引日期。
• 根據 TAA (IOA) 規則標記事件時，將傳輸以下資訊：
  • 觸發的攻擊指標的 ID。
  • 觸發的攻擊指標的決定。
  • 觸發的攻擊指標的來源。
  • 觸發的攻擊指標的版本。
  • MITRE 技術代碼。
  • MITRE 戰術代碼。
  • 警示重要性取決於根據卡巴斯基的經驗此警示對電腦或企業區域網路可能造成的安全影響。
  • 偵測的置信度（取決於規則引起誤報的可能性）：

Central Node 和 Kaspersky Endpoint Security for Windows

如果使用者電腦上發生事件，則應用程式會向事件資料庫傳送以下資料：

1. 檔案修改事件。
   • 有關建立檔案的處理程序的資訊：處理程序檔案名稱、處理程序檔案的 MD5 雜湊和 SHA256 雜湊。
   • 有關建立或修改的檔案的資訊：名稱、路徑、完整名稱、類型、MD5 雜湊、SHA256 雜湊、建立日期、修改日期、屬性、屬性修改日期、大小、區域 ID、檔案的應用程式名稱、供應商、頒發數位憑證的組織名稱、描述、數位簽章驗證結果、數位簽章的時間、原始名稱、修改前的名稱、修改前的路徑、修改前的完整名稱。
   • 有關建立連結的檔案的資訊：MD5 雜湊、SHA256 雜湊、建立日期、修改日期、屬性、屬性修改日期、大小、類型、區域 ID、檔案的應用程式名稱、原始名稱、頒發數位憑證的組織名稱、描述、簽章的主體、數位簽章驗證結果、數位簽章的時間、連結檔案的完整名稱。
2. 登錄檔監控事件。
   • 有關修改了登錄檔的處理程序的資訊：處理程序ID、處理程序檔案名稱、處理程序檔案的 MD5 雜湊和 SHA256 雜湊。
   • 登錄機碼路徑。
   • 登錄檔值名稱。
   • 登錄檔值資料。
   • 登錄檔值類型。
   • 以前的登錄機碼路徑。
   • 以前的登錄檔值資料。
   • 以前的登錄檔值類型。
   • 登錄檔操作的類型。
   • 儲存登錄機碼的檔案的路徑。
3. 驅動程式載入事件。
   • 檔案名稱。
   • 原始檔案名稱。
   • 檔案路徑。
   • 檔案完整名稱。
   • 檔案的 MD5 雜湊和 SHA256 雜湊。
   • 檔案大小。
   • 檔案建立和修改日期。
   • 檔案屬性修改日期。
   • 檔案大小。
   • 檔案類型。
   • 檔案屬性。
   • 檔案區域 ID。
   • 檔案供應商。
   • 檔案描述。
   • 核發數位憑證的組織名稱。
   • 簽章主旨。
   • 數位簽章驗證結果。
   • 數位簽章的時間。
   • 從其檢索檔案的 URL。
   • 從中檢索檔案的訊息的中繼資料。
4. 監聽埠開放事件。
   • 有關開放監聽連接埠的處理程序的詳細資訊：處理程序檔案名稱和處理程序檔案的 MD5 雜湊和 SHA256 雜湊。
   • 連接埠號。
   • 介面卡 IP 位址。
   • 運行狀態。
5. 遠端連線事件。
   • 本機的資訊：IP 位址、連接埠號。
   • 有關遠端電腦的資訊：IP 位址、連接埠號、FQDN。
   • 有關連線的 TLS 加密的資訊：協定版本、SNI、加密的 SNI、憑證檔案的 MD5 雜湊、憑證檔案的 SHA1 雜湊、憑證授權人名稱、憑證序號、憑證驗證結果、憑證到期日、Ja3、Ja3s、Ja3 的 MD5 雜湊、Ja3s 的 MD5 雜湊類型、套接字類型。
   • LANA 號碼。
   • HTTP 方法。
   • 所跟蹤的 URL。
   • 處理程序狀態。
   • 連線方向。
6. DNS 尋找事件。
   • DNS 伺服器的 IPv4 位址。
   • 正在執行的 DNS 查詢的二進位遮罩。
   • DNS 回應錯誤代碼。
   • DNS 查詢類型 ID。
   • 要解析 DNS 記錄的網域名稱。
   • DNS 回應的日期。
7. LDAP 事件。
   • 搜尋範圍。
   • 搜尋查詢篩選器。
   • 查詢中指定為要傳回的屬性。
   • 要搜尋的 LDAP容器的路徑。
8. 處理程序啟動事件。

   有關父處理程序和祖處理程序、載入器處理程序、建立者處理程序、正在運行的處理程序的檔案的資訊：名稱、路徑、完整名稱、MD5 雜湊、SHA256 雜湊、建立日期和時間、修改日期和時間、屬性、屬性修改日期和時間、大小、區域 ID、供應商、頒發數位憑證的組織名稱、描述、原始名稱、數位簽章主旨、數位簽章驗證結果、數位簽章的日期和時間、檔案版本、登入類型、登入工作階段 ID、使用者帳戶類型、使用者名稱、使用者帳戶 ID、登入電腦的 IP 位址、完整性等級、處理程序 ID、目前目錄。

9. 處理程序停止事件。
   • 有關處理程序的檔案的資訊：檔案名稱、檔案路徑、檔案完整名稱、檔案的 MD5 雜湊和 SHA256 雜湊、檔案大小以及處理程序結束時間。
   • 處理程序的唯一 ID。
   • 處理程序啟動選項。
   • 有關父處理程序的資訊：檔案路徑、UniquePID、MD5 和 SHA256 雜湊、命令列選項。
10. 處理程序存取事件。
    • 操作類型。
    • 處理程序存取權限。
    • 呼叫堆疊。
    • 有關接收方處理程序的檔案以及複製句柄的處理程序的檔案的資訊：名稱、路徑、完整路徑、MD5 和 SHA256 雜湊、建立日期和時間、修改日期和時間、屬性修改日期和時間、大小、唯一 ID、系統 ID、命令列選項、從中擷取檔案的網址、從中擷取檔案的訊息的中繼資料。
11. 模組載入事件。
    • 有關載入模組的檔案的詳細資訊：UniquePID、檔案名稱、檔案路徑、檔案完整名稱、檔案的 MD5 雜湊和 SHA256 雜湊以及檔案大小。
    • DLL 名稱。
    • DLL 的路徑。
    • DLL 完整名稱。
    • DLL 的 MD5 雜湊或 SHA256 雜湊。
    • DLL 大小。
    • DLL 屬性。
    • DLL 區域 ID。
    • DLL 應用程式名稱。
    • 原始 DLL 名稱。
    • DLL 建立和修改日期。
    • 頒發 DLL 數位憑證的組織名稱。
    • DLL 數位簽章驗證結果。
    • DLL 數位簽章日期。
    • 替換 DLL 的路徑。
    • DLL 檔案類型。
    • 從其檢索檔案的 URL。
    • 從中檢索檔案的訊息的中繼資料。
    • .NET 組合語言名稱。
    • .NET 組合語言標誌。
    • .NET 模組標誌。
12. 處理程序啟動阻止事件。
    • 有關嘗試運行的檔案的詳細資訊：檔案名稱、檔案路徑、檔案完整名稱、檔案的 MD5 雜湊和 SHA256 雜湊、檔案大小以及檔案建立和修改日期。
    • 命令列參數。
13. 檔案啟動阻止事件。
    • 有關正在開啟的檔案的資訊：檔案名稱、檔案路徑、完整檔案名稱、MD5 雜湊、SHA256 雜湊、觸發封鎖的總和檢查碼類型（MD5 為0，SHA256 為!=0，不用於搜尋）、下載執行檔的網站 URL、附加下載的檔案的訊息的中繼資料。
    • 有關可執行檔案的詳細資訊：檔案名稱、檔案路徑、檔案完整名稱、檔案的 MD5 雜湊和 SHA256 雜湊、檔案大小以及檔案建立和修改日期。
    • 有關父處理程序的詳細資訊：檔案名稱、檔案路徑、檔案完整名稱、檔案的 MD5 雜湊和 SHA256 雜湊以及 UniquePID。
14. 命名管道開啟並連線的事件。
    • 建立或連線到命名管道的程序的檔案名稱。
    • 管道操作類型。
15. 威脅偵測事件和偵測處理結果。
    • 偵測到的物件的名稱。
    • 偵測到的物件的 MD5 雜湊。
    • 偵測到的物件的 SHA256 雜湊。
    • 偵測物件的類型。
    • 掃描結果。
    • 應用程式資料庫中記錄的 ID。
    • 用於產生偵測的應用程式資料庫的版本。
    • 物件處理模式。
    • 偵測到的物件的類別（例如，病毒的名稱）。
    • 協議。
    • 本機的 IPv4 或 IPv6 位址。
    • 本機連接埠號。
    • 遠端電腦的 IPv4 或 IPv6 位址。
    • 遠端連接埠號。
    • 從其檢索檔案的 URL。
    • 寄件者的電子郵件信箱（如果檔案是從電子郵件中取得的）。
    • 檔案載入器的完整名稱、MD5 雜湊、SHA256 雜湊。
    • 處理程序的唯一 ID。
    • Windows工作管理員中顯示的處理程序 PID。
    • 處理程序啟動命令列。
    • 處理物件時出錯的原因。
    • 使用 AMSI 掃描的指令碼內容和類型。
16. USB 裝置操作事件：
    • 裝置操作類型。
    • 所連線裝置的類型。
    • 已連線裝置的 ID。
    • 所連線裝置的名稱。
    • 已連線裝置的路徑。
    • 已連線裝置是否為系統碟。
17. WMI 服務啟動事件。
    • 操作類型。
    • WMI 服務的遠端啟動標誌。
    • 啟動 WMI 服務的電腦的名稱。
    • 啟動 WMI 服務的使用者的名稱。
    • WMI 命名空間。
    • 事件消費者篩選器名稱。
    • 建立的事件消費者的名稱。
    • 事件消費者原始碼。
18. AMSI 掃描事件。
    • 使用 AMSI 掃描的指令碼內容。
    • 傳送掃描的指令碼的內容類型。
    • 傳送掃描的指令碼的名稱。
    • 指令碼檔案的 MD5 雜湊。
    • 指令碼檔案的 SHA256 雜湊。
19. 代碼注入事件。
    • 有關接收方程序的資訊：應用程式名稱、應用程式完整名稱、應用程式路徑、檔案的 MD5 雜湊值、檔案的 SHA256 雜湊值、下載檔案的 URL、附加下載的檔案的訊息的中繼資料、應用程式的唯一 ID、應用程式的系統 ID、命令列、處理程序 DLL 的名稱、處理程序 DLL 的路徑、處理程序在位址空間中的位址。
    • 注入方法。
    • 修改的處理程序的命令列。
    • 系統調用參數。
    • 攔截注入相關函數時的 API 呼叫堆疊。
20. 解釋檔案運行事件。

    有關解釋檔案的資訊：名稱、路徑、完整名稱、MD5、SHA256、檔案建立日期和時間、檔案修改日期和時間、大小、類型、屬性、屬性修改日期和時間、原始名稱、描述、區域 ID、頒發數位憑證的組織名稱、數位簽章驗證的結果、數位簽章的日期和時間、數位簽章的主旨、獲取檔案的 URL、附加下載的檔案的訊息的中繼資訊。

21. 作業系統日誌中的事件。
    • 事件時間、發生事件的主機和使用者帳戶名稱。
    • 事件 ID。
    • 通道/日誌名稱。
    • 日誌中的事件 ID。
    • 提供者名稱。
    • 認證事件子類型。
    • 網域名稱。
    • 遠端 IP 位址。
    • 事件標題欄位：ProviderName, EventId, Version, Level, Task, Opcode, Keywords, TimeCreatedSystemTime, EventRecordId, CorellationActivityId, ExecutionProcessID, ThreadID, Channel, Computer。
    • 事件主體欄位：AccessList、AccessFiles mask、AccountExpires、AllowedToDelegateTo、Application、AuditPolicyChanges、AuthenticationPackageName、CategoryId、CommandLine、DisplayName、Dummy、ElevatedToken、EventCode、EventProcessingFailure、FailureReason、FilterRTID、HandleId、HomeDirectory、HomePath、ImpersonationLevel、IpAddress、IpPort、KeyLength、LayerName、LayerRTID、LmPackageName、LogonGuid、LogonHours、LogonProcessName、LogonType、MandatoryLabel、MemberName、MemberSid、NewProcessId、NewProcessName、NewUacValue、NewValue、NewValueType、ObjectName、ObjectServer、ObjectType、ObjectValueName、OldUacValue、OldValue、OldValueType、OperationType、PackageName、ParentProcessName、PasswordLastSet、PrimaryGroupId、PriviledgeList、ProcessId、ProcessName、ProfileChanged、ProfilePath、Protocol、PublisherId、ResourceAttributes、RestrictedAdminMode、SamAccountName、ScriptPath、ServiceAccount、ServiceFileName、ServiceName、ServiceStartType、ServiceType、SettingType、SettingValue、ShareLocalPath、ShareName、SidHistory、SourceAddress、SourcePort、Status、SubcategoryGuid、SubcategoryId、SubjectDomainName、SubjectLogonId、SubjectUserName、SubjectUserSid、SubStatus、TargetDomainName、TargetLinkedLogonId、TargetLogonId、TargetOutboundDomainName、TargetOutboundUserName、TargetUserName、TargetUserSid、TaskContent、TaskName、TokenElevationType、TransmittedServices、UserAccountControl、UserParameters、UserPrincipalName、UserWorkstations、VirtualAccount、Workstation、WorkstationName、System、SystemProvider、SystemProviderName、SystemProviderGuid、SystemProviderEventSourceName、SystemEventID、SystemEventIDQualifiers、SystemEventRecordID、SystemChannel、SystemTask、SystemOpcode、SystemVersion、SystemLevel、SystemKeywords、SystemTimeCreated、SystemTimeCreatedSystemTime、SystemCorrelation、SystemCorrelationActivityID、SystemExecution、SystemExecutionProcessID、SystemExecutionThreadID、SystemComputer、SystemSecurity、SystemSecurityUserID、UserData、UserDataEventProcessingFailure、UserDataEventProcessingFailureError、UserDataEventProcessingFailureErrorCode、UserDataEventProcessingFailureEventID、UserDataEventProcessingFailurePublisherID、UserDataLogFileCleared、UserDataLogFileClearedSubjectUserSid、UserDataLogFileClearedSubjectUserName、UserDataLogFileClearedSubjectDomainName、UserDataLogFileClearedSubjectLogonId、UserDataFileIsFull、UserDataOperationStartedOperationalProviderName、UserDataOperationStartedOperationalCode、UserDataOperationStartedOperationalHostProcess、UserDataOperationStartedOperationalProcessID、UserDataOperationStartedOperationalProviderPath、UserDataServiceShutdown、UserDataOperationClientFailure、UserDataOperationClientFailureId、UserDataOperationClientFailureClientMachine、UserDataOperationClientFailureUser、UserDataOperationClientFailureClientProcessId、UserDataOperationClientFailureComponent、UserDataOperationClientFailureOperation、UserDataOperationClientFailureResultCode、UserDataOperationClientFailurePossibleCause、EventData、EventDataData、EventDataDataTaskName、EventDataDataPrivilegeList、EventDataDataAttributeLDAPDisplayName、EventDataDataOperationType、EventDataDataObjectClass、EventDataDataAttributeValue、EventDataDataObjectDN、EventDataDataRelativeTargetName、EventDataDataWorkstationName、EventDataDataServiceName、EventDataDataAllowedToDelegateTo、EventDataDataUserAccountControl、EventDataDataProfileChanged、EventDataDataRuleId、EventDataDataRuleName、EventDataDataSubjectUserSid、EventDataDataSubjectUserName、EventDataDataSubjectDomainName、EventDataDataSubjectLogonId、EventDataDataPreviousTime、EventDataDataNewTime、EventDataDataProcessId、EventDataDataProcessName、EventDataDataObjectType、EventDataDataObjectName、EventDataDataAccessList、EventDataDataAccessMask、EventDataDataServiceFileName、EventDataDataServiceType、EventDataDataServiceStartType、EventDataDataServiceAccount、EventDataDataDomainName、EventDataDataDomainSid、EventDataDataTdoType、EventDataDataTdoDirection、EventDataDataTdoAttributes、EventDataDataSidFilteringEnabled、EventDataDataTargetSid、EventDataDataAccessGranted、EventDataDataTargetUserName、EventDataDataTargetDomainName、EventDataDataSamAccountName、EventDataDataSidHistory、EventDataDataDomainPolicyChanged、EventDataDataMinPasswordAge、EventDataDataMaxPasswordAge、EventDataDataForceLogoff、EventDataDataLockoutThreshold、EventDataDataLockoutObservationWindow、EventDataDataLockoutDuration、EventDataDataProperties、EventDataDataPasswordProperties、EventDataDataMinPasswordLength、EventDataDataPasswordHistoryLength、EventDataDataMachineAccountQuota、EventDataDataMixedDomainMode、EventDataDataDomainBehaviorVersion、EventDataDataOemInformation、EventDataDataGroupTypeChange、EventDataDataLogonGuid、EventDataDataTargetUserSid、EventDataDataTargetLogonId、EventDataDataTargetLogonGuid、EventDataDataSidList、EventDataDataWorkstation、EventDataDataStatus、EventDataDataCallerProcessId、EventDataDataCallerProcessName、EventDataDataForestRoot、EventDataDataForestRootSid、EventDataDataOperationId、EventDataDataEntryType、EventDataDataFlags、EventDataDataTopLevelName、EventDataDataDnsName、EventDataDataNetbiosName、EventDataDataAuditSourceName、EventDataDataEventSourceId、EventDataDataErrorCode、EventDataDataGPOList、EventDataDataDestinationDRA、EventDataDataSourceDRA、EventDataDataSourceAddr、EventDataDataNamingContext、EventDataDataOptions、EventDataDataStatusCode、EventDataDataSessionID、EventDataDataStartUSN、EventDataDataPackageName、EventDataDataAuthenticationPackageName、EventDataDataFailureReason、EventDataDataSubStatus、EventDataDataCategoryId、EventDataDataSubcategoryGuid、EventDataDataAuditPolicyChanges、EventDataDataUserPrincipalName、EventDataDataHomeDirectory、EventDataDataHomePath、EventDataDataScriptPath、EventDataDataProfilePath、EventDataDataUserWorkstations、EventDataDataPasswordLastSet、EventDataDataAccountExpires、EventDataDataPrimaryGroupId、EventDataDataOldUacValue、EventDataDataNewUacValue、EventDataDataUserParameters、EventDataDataLogonHours、EventDataDataMemberName、EventDataDataMemberSid、EventDataDataServiceSid、EventDataDataTicketOptions、EventDataDataTicketEncryptionType、EventDataDataPreAuthType、EventDataDataCertIssuerName、EventDataDataCertSerialNumber、EventDataDataCertThumbprint、EventDataDataSettingType、EventDataDataSettingValue、EventDataDataShareName、EventDataDataShareLocalPath、EventDataDataApplication、EventDataDataSourceAddress、EventDataDataSourcePort、EventDataDataProtocol、EventDataDataFilterRTID、EventDataDataLayerName、EventDataDataLayerRTID、EventDataDataLogonType、EventDataDataLogonProcessName、EventDataDataTransmittedServices、EventDataDataLmPackageName、EventDataDataKeyLength、EventDataDataIpAddress、EventDataDataIpPort、EventDataDataImpersonationLevel、EventDataDataRestrictedAdminMode、EventDataDataTargetOutboundUserName、EventDataDataTargetOutboundDomainName、EventDataDataVirtualAccount、EventDataDataTargetLinkedLogonId、EventDataDataElevatedToken、EventDataDataTaskContentNew、EventDataDataTaskContentNewTask、EventDataDataTaskContentNewTaskRegistrationInfo、EventDataDataTaskContentNewTaskRegistrationInfoDate、EventDataDataTaskContentNewTaskRegistrationInfoAuthor、EventDataDataTaskContentNewTaskTriggers、EventDataDataTaskContentNewTaskPrincipals、EventDataDataTaskContentNewTaskPrincipalsPrincipal、EventDataDataTaskContentNewTaskPrincipalsPrincipalid、EventDataDataTaskContentNewTaskPrincipalsPrincipalRunLevel、EventDataDataTaskContentNewTaskPrincipalsPrincipalUserId、EventDataDataTaskContentNewTaskPrincipalsPrincipalLogonType、EventDataDataTaskContentNewTaskSettings、EventDataDataTaskContentNewTaskSettingsMultipleInstancesPolicy、EventDataDataTaskContentNewTaskSettingsDisallowStartIfOnBatteries、EventDataDataTaskContentNewTaskSettingsStopIfGoingOnBatteries、EventDataDataTaskContentNewTaskSettingsAllowHardTerminate、EventDataDataTaskContentNewTaskSettingsStartWhenAvailable、EventDataDataTaskContentNewTaskSettingsRunOnlyIfNetworkAvailable、EventDataDataTaskContentNewTaskSettingsIdleSettings、EventDataDataTaskContentNewTaskSettingsIdleSettingsStopOnIdleEnd、EventDataDataTaskContentNewTaskSettingsIdleSettingsRestartOnIdle、EventDataDataTaskContentNewTaskSettingsAllowStartOnDemand、EventDataDataTaskContentNewTaskSettingsEnabled、EventDataDataTaskContentNewTaskSettingsHidden、EventDataDataTaskContentNewTaskSettingsRunOnlyIfIdle、EventDataDataTaskContentNewTaskSettingsWakeToRun、EventDataDataTaskContentNewTaskSettingsExecutionTimeLimit、EventDataDataTaskContentNewTaskSettingsPriority、EventDataDataTaskContentNewTaskActions、EventDataDataTaskContentNewTaskActionsContext、EventDataDataTaskContentNewTaskActionsExec、EventDataDataTaskContentNewTaskActionsExecCommand、EventDataDataOldSd、EventDataDataNewSd、EventDataDataNotificationPackageName、EventDataDataSecurityPackageName、EventDataDataStopTime、EventDataDataContextInfo、EventDataDataUserData、EventDataDataPayload、EventDataDataOpCorrelationID、EventDataDataAppCorrelationID、EventDataDataDSName、EventDataDataDSType、EventDataDataObjectGUID、EventDataDataFileName、EventDataDataLinkName、EventDataDataTransactionId、EventDataDataOldObjectDN、EventDataDataNewObjectDN、EventDataDatabcdCCID、EventDataDatabMaxSlotIndex、EventDataDatabVoltageSupport、EventDataDatadwProtocols、EventDataDatadwDefaultClock、EventDataDatadwMaximumClock、EventDataDatabNumClockSupported、EventDataDatadwDataRate、EventDataDatadwMaxDataRate、EventDataDatabNumDataRateSupported、EventDataDatadwMaxIFSD、EventDataDatadwSyncProtocols、EventDataDatadwMechanical、EventDataDatadwFeatures、EventDataDataObjectValueName、EventDataDataHandleId、EventDataDataOldValueType、EventDataDataOldValue、EventDataDataNewValueType、EventDataDataNewValue、EventDataDataSubjectUserDomainName、EventDataDataObjectCollectionName、EventDataDataObjectIdentifyingProperties、EventDataDataObjectProperties、EventDataDataparam、EventDataDataCVEID、EventDataDataAdditionalDetails、EventDataDataObjectServer、EventDataDataTaskContent、EventDataDataTaskContentTask、EventDataDataTaskContentTaskRegistrationInfo、EventDataDataTaskContentTaskRegistrationInfoDate、EventDataDataTaskContentTaskRegistrationInfoAuthor、EventDataDataTaskContentTaskTriggers、EventDataDataTaskContentTaskPrincipals、EventDataDataTaskContentTaskPrincipalsPrincipal、EventDataDataTaskContentTaskPrincipalsPrincipalid、EventDataDataTaskContentTaskPrincipalsPrincipalRunLevel、EventDataDataTaskContentTaskPrincipalsPrincipalUserId、EventDataDataTaskContentTaskPrincipalsPrincipalLogonType、EventDataDataTaskContentTaskSettings、EventDataDataTaskContentTaskSettingsMultipleInstancesPolicy、EventDataDataTaskContentTaskSettingsDisallowStartIfOnBatteries、EventDataDataTaskContentTaskSettingsStopIfGoingOnBatteries、EventDataDataTaskContentTaskSettingsAllowHardTerminate、EventDataDataTaskContentTaskSettingsStartWhenAvailable、EventDataDataTaskContentTaskSettingsRunOnlyIfNetworkAvailable、EventDataDataTaskContentTaskSettingsIdleSettings、EventDataDataTaskContentTaskSettingsIdleSettingsStopOnIdleEnd、EventDataDataTaskContentTaskSettingsIdleSettingsRestartOnIdle、EventDataDataTaskContentTaskSettingsAllowStartOnDemand、EventDataDataTaskContentTaskSettingsEnabled、EventDataDataTaskContentTaskSettingsHidden、EventDataDataTaskContentTaskSettingsRunOnlyIfIdle、EventDataDataTaskContentTaskSettingsWakeToRun、EventDataDataTaskContentTaskSettingsExecutionTimeLimit、EventDataDataTaskContentTaskSettingsPriority、EventDataDataTaskContentTaskActions、EventDataDataTaskContentTaskActionsContext、EventDataDataTaskContentTaskActionsExec、EventDataDataTaskContentTaskActionsExecCommand、EventDataDataOldTargetUserName、EventDataDataNewTargetUserName、EventDataDataDeviceId、EventDataDataDeviceDescription、EventDataDataClassId、EventDataDataClassName、EventDataDataVendorIds、EventDataDataCompatibleIds、EventDataDataLocationInformation、EventDataDataAccountName、EventDataDataAccountDomain、EventDataDataLogonID、EventDataDataSessionName、EventDataDataClientName、EventDataDataClientAddress、EventDataDataMajorVersion、EventDataDataMinorVersion、EventDataDataBuildVersion、EventDataDataQfeVersion、EventDataDataServiceVersion、EventDataDataBootMode、EventDataDataStartTime、EventDataDataOldRemark、EventDataDataNewRemark、EventDataDataOldMaxUsers、EventDataDataNewMaxUsers、EventDataDataOldShareFlags、EventDataDataNewShareFlags、EventDataDataOldSD、EventDataDataNewSD、EventDataDataTreeDelete、EventDataDataPuaCount、EventDataDataPuaPolicyId、EventDataDataResourceAttributes、EventDataDataModifiedObjectProperties、EventDataDataDisplayName、EventDataDataDnsHostName、EventDataDataServicePrincipalNames、EventDataDataAttributeSyntaxOID、EventDataDataDummy、EventDataDataComputerAccountChange、EventDataDataMessageNumber、EventDataDataMessageTotal、EventDataDataScriptBlockText、EventDataDataScriptBlockId、EventDataDataPath、EventDataDataImagePath、EventDataDataStartType、EventDataDataAppName、EventDataDataAppVersion、EventDataDataTerminationTime、EventDataDataExeFileName、EventDataDataReportId、EventDataDataPackageFullName、EventDataDataPackageRelativeAppId、EventDataDataHangType、EventDataDataAccessReason、EventDataDataTargetServerName、EventDataDataTargetInfo、EventDataDataTargetProcessId、EventDataDataTargetProcessName、EventDataDataKerberosPolicyChange、EventDataDataSubcategoryId、EventDataBinary。

Central Node 和 Kaspersky Endpoint Security for Linux

如果使用者電腦上發生事件，則應用程式會向事件資料庫傳送以下資料：

1. 檔案修改事件。
   • 有關建立檔案的處理程序的資訊：處理程序檔案名稱、處理程序檔案的 MD5 雜湊和 SHA256 雜湊。
   • 有關建立或修改的檔案的資訊：名稱、路徑、完整名稱、類型、MD5 雜湊、SHA256 雜湊、建立日期、修改日期、屬性、屬性修改日期、大小、區域 ID、檔案的應用程式名稱、供應商、頒發數位憑證的組織名稱、描述、數位簽章驗證結果、數位簽章的時間、原始名稱、修改前的名稱、修改前的路徑、修改前的完整名稱。
   • 有關建立連結的檔案的資訊：MD5 雜湊、SHA256 雜湊、建立日期、修改日期、屬性、屬性修改日期、大小、類型、區域 ID、檔案的應用程式名稱、原始名稱、頒發數位憑證的組織名稱、描述、簽章的主旨、數位簽章驗證結果、數位簽章的時間、連結檔案的完整名稱。
   • 檔案類型。
   • 所有者 ID。
   • 所有者群組 ID。
   • 所有者使用者名稱。
   • 所有者群組名稱。
   • 從其檢索檔案的 URL。
   • 從中檢索檔案的訊息的中繼資料。
   • 請求的存取標誌。
   • 重啟後檔案刪除的指示。
   • 檔案存取標誌。
2. 作業系統日誌中的事件。
   • 事件時間。
   • 事件類型。
   • 活動名稱。
   • 操作結果。
   • 有關父處理程序的資訊：檔案路徑、處理程序檔案的 UniquePID、MD5 或 SHA256 雜湊、用於啟動處理程序的命令。
3. 處理程序啟動事件。

   有關父處理程序和祖處理程序、載入器處理程序、建立者處理程序、正在運行的處理程序的檔案的資訊：名稱、路徑、完整名稱、MD5 雜湊、SHA256 雜湊、建立日期和時間、修改日期和時間、屬性、屬性修改日期和時間、大小、區域 ID、供應商、頒發數位憑證的組織名稱、描述、原始名稱、數位簽章主旨、數位簽章驗證結果、數位簽章的日期和時間、檔案版本、登入類型、登入工作階段 ID、使用者帳戶類型、使用者名稱、使用者帳戶 ID、登入電腦的 IP 位址、完整性等級、處理程序ID、目前目錄、擁有者 ID、擁有者群組 ID、擁有者使用者名稱、擁有者群組名稱、真實使用者名稱、真實群組名稱、有效群組名稱、有效使用者名稱、檔案存取權限標誌、下載檔案的 URL、取得檔案的訊息的中繼資料、流程環境變數、命令列選項、處理程序類型。

4. 處理程序停止事件。
   • 有關處理程序的檔案的資訊：檔案名稱、檔案路徑、檔案完整名稱、檔案的 MD5 雜湊和 SHA256 雜湊、檔案大小以及處理程序結束時間。
   • UniquePID。
   • 處理程序啟動選項。
   • 有關父處理程序的資訊：檔案路徑、處理程序檔案的 UniquePID、MD5 或 SHA256 雜湊值、處理程序啟動選項。
5. 偵測事件及其處理結果。
   • 掃描結果。
   • 偵測到的物件的名稱。
   • 應用程式資料庫中記錄的 ID。
   • 用於產生偵測的應用程式資料庫的發佈時間。
   • 物件處理模式。
   • 偵測到的物件的類別（例如，病毒的名稱）。
   • 偵測到的物件的 MD5 雜湊。
   • 偵測到的物件的 SHA256 雜湊。
   • 處理程序的唯一 ID。
   • 處理程序的 PID。
   • 處理程序啟動命令列。
   • 處理物件時出錯的原因。
6. DNS 尋找事件。
   • DNS 伺服器的 IPv4 位址。
   • 正在執行的 DNS 查詢的二進位遮罩。
   • DNS 回應錯誤代碼。
   • DNS 查詢類型 ID。
   • 要解析 DNS 記錄的網域名稱。
   • DNS 回應的日期。
7. 代碼注入事件。
   • 有關接收方程序的資訊：應用程式名稱、應用程式完整名稱、應用程式路徑、檔案的 MD5 雜湊值、檔案的 SHA256 雜湊值、下載檔案的 URL、附加下載的檔案的訊息的中繼資料、應用程式的唯一 ID、應用程式的系統 ID、命令列、處理程序 DLL 的名稱、處理程序 DLL 的路徑、處理程序在位址空間中的位址。
   • 注入方法。
   • 修改的處理程序的命令列。
   • 系統調用參數。
   • 攔截注入相關函數時的 API 呼叫堆疊。

Central Node 和 Kaspersky Endpoint Security for Mac

如果使用者電腦上發生事件，則應用程式會向事件資料庫傳送以下資料：

1. 檔案建立事件。
   • 有關建立檔案的處理程序的資訊：處理程序檔案名稱、處理程序檔案的 MD5 雜湊和 SHA256 雜湊。
   • 檔案名稱。
   • 檔案路徑。
   • 檔案完整名稱。
   • 檔案類型。
   • 檔案的 MD5 雜湊和 SHA256 雜湊。
   • 檔案建立和修改日期。
   • 檔案大小。
2. 處理程序啟動事件。

   有關父處理程序和祖處理程序、載入器處理程序、建立者處理程序、正在運行的處理程序的檔案的資訊：名稱、路徑、完整名稱、MD5 雜湊、SHA256 雜湊、建立日期和時間、修改日期和時間、屬性、屬性修改日期和時間、大小、區域 ID、供應商、頒發數位憑證的組織名稱、描述、原始名稱、數位簽章主旨、數位簽章驗證結果、數位簽章的日期和時間、檔案版本、登入類型、登入工作階段 ID、使用者帳戶類型、使用者名稱、使用者帳戶 ID、登入電腦的 IP 位址、完整性等級、處理程序ID、目前目錄、擁有者 ID、擁有者群組 ID、擁有者使用者名稱、擁有者群組名稱、真實使用者名稱、真實群組名稱、有效群組名稱、有效使用者名稱、檔案存取權限標誌、下載檔案的 URL、取得檔案的訊息的中繼資料、流程環境變數、命令列選項、處理程序類型。

3. 處理程序停止事件。
   • 有關處理程序的檔案的資訊：檔案名稱、檔案路徑、檔案完整名稱、檔案的 MD5 雜湊和 SHA256 雜湊、檔案大小以及處理程序結束時間。
   • UniquePID。
   • 處理程序啟動選項。
   • 有關父處理程序的資訊：檔案路徑、處理程序檔案的 UniquePID、MD5 或 SHA256 雜湊值、處理程序啟動選項。
4. 威脅偵測事件和偵測處理結果。
   • 掃描結果。
   • 偵測到的物件的名稱。
   • 應用程式資料庫中記錄的 ID。
   • 用於產生偵測的應用程式資料庫的發佈時間。
   • 物件處理模式。
   • 偵測到的物件的類別（例如，病毒的名稱）。
   • 偵測到的物件的 MD5 雜湊。
   • 偵測到的物件的 SHA256 雜湊。
   • 處理程序的唯一 ID。
   • 處理程序的 PID。
   • 處理程序啟動命令列。
   • 處理物件時出錯的原因。

Central Node 和 Sandbox

Central Node 元件傳送檔案給Sandbox 元件以及從網路和郵件流量擷取的 URL。在傳送前，檔案不會做任何形式的改變。Sandbox 元件將掃描結果傳送至 Central Node 元件。

Central Node 和 Sensor

該應用程式可以在 Central Node 和 Sensor 元件之間傳輸以下資料：

• 檔案和電子郵件。
• 入侵偵測系統和 URL信譽技術產生的警示資料。
• 產品授權資訊。
• 被從掃描中排除的資料清單。
• 如果配置了代理伺服器整合，則作為 Endpoint Agent 元件的應用程式的資料。
• 如果已配置從 Central Node 元件接收資料庫更新，則為應用程式資料庫。

具有 PCN 和 SCN 角色的伺服器

如果應用程式在分佈式解決方案模式下執行，則在 PCN 和連線的 SCN 之間傳輸以下相關資料：

• 警示。
• 事件。
• 工作。
• 政策。
• 使用 IOC、TAA (IOA)、IDS、YARA 使用者規則進行的掃描。
• 儲存中的檔案。
• 使用者帳戶。
• 產品授權。
• 具有 Endpoint Agent 元件的電腦清單。
• 放在儲存中的物件。
• 在具有 Endpoint Agent 元件的電腦上被隔離的物件。
• 附加到偵測的檔案。
• IOC 和 YARA 檔案。

另請參閱 應用程式的服務資料 Central Node 和 Sensor 元件的資料 Sandbox 元件資料 應用程式偵錯檔案中包含的資料 Kaspersky Endpoint Security for Windows 資料 Kaspersky Endpoint Security for Linux 的資料 Kaspersky Endpoint Security for Mac 的資料

頁面頂部