Данные для построения цепочки развития угрозы хранятся в папке %ProgramData%\Kaspersky Lab\Endpoint Agent\4.0\Data\killchain\detects в открытом незашифрованном виде. По умолчанию данные хранятся 7 дней. Эти данные автоматически передаются в Kaspersky Security Center.
Все данные, которые программа хранит локально на устройстве, кроме файлов трассировки и дампов, удаляются с устройства при удалении программы.
По умолчанию доступ на чтение к файлам имеют только пользователи с правами System и Administrator. Kaspersky Endpoint Agent не управляет правами доступа к этой папке и ее файлам. Доступ определяет системный администратор.
Данные для построения Цепочки развития угрозы могут содержать следующую информацию:
Дата и время инцидента.
Имя обнаружения.
Режим проверки.
Статус последнего действия, связанного с обнаружением.
Причина неудачной обработки обнаружения.
Тип обнаруженного объекта.
Имя обнаруженного объекта.
Статус угрозы после обработки объекта программой EPP.
Причина неудачного выполнения действий над объектом.
Действия, выполняемые EPP для отката вредоносных действий (для EPP, поддерживающих Откат вредоносных действий).
Об обрабатываемом объекте:
Уникальный идентификатор процесса.
Уникальный идентификатор родительского процесса.
Уникальный идентификатор файла процесса.
Идентификатор процесса Windows.
Командная строка процесса.
Имя учетной записи пользователя, запустившего процесс.
Код сеанса входа в систему, в котором запущен процесс.
Тип сеанса (например, "интерактивный", "удаленный интерактивный"), в котором запущен процесс.
Уровень целостности обрабатываемого процесса.
Принадлежность учетной записи пользователя, запустившего процесс, к привилегированным локальным и доменным группам (например, "Администраторы", "Администраторы домена", "Администраторы предприятия", "Администраторы схемы").
Идентификатор обрабатываемого объекта.
Полное имя обрабатываемого объекта.
Идентификатор защищаемого устройства.
Полное имя объекта (имя локального файла или веб-адрес загружаемого файла).
MD5-хеш обрабатываемого объекта.
SHA256-хеш обрабатываемого объекта.
Тип обрабатываемого объекта.
Дата создания обрабатываемого объекта.
Дата последнего изменения обрабатываемого объекта.
Размер обрабатываемого объекта.
Атрибуты обрабатываемого объекта.
Организация, подписавшая обрабатываемый объект.
Результат проверки цифрового сертификата обрабатываемого объекта.
Идентификатор безопасности (SID) обрабатываемого объекта.