Данные в результатах выполнения задач поиска IOC

Kaspersky Endpoint Agent автоматически передает данные из результатов выполнения задач поиска IOC в Kaspersky Security Center для построения цепочки развития угрозы.

Данные хранятся в базах данных Kaspersky Security Center. По умолчанию данные хранятся 7 дней.

Данные в результатах выполнения задач поиска IOC могут содержать следующую информацию:

• IP-адрес из ARP-таблицы.
• Физический адрес из ARP-таблицы.
• Тип и имя записи DNS.
• IP-адрес защищаемого устройства.
• Физический адрес (MAC) защищаемого устройства.
• Идентификатор записи в журнале событий.
• Имя источника данных в журнале.
• Имя журнала.
• Пользователь.
• Время события.
• MD5-хеш файла.
• SHA256-хеш файла.
• Полное имя файла (включая путь).
• Размер файла.
• Удаленный IP-адрес, с которым было установлено соединение в момент проверки.
• Удаленный порт, с которым было установлено соединение в момент проверки.
• IP-адрес локального адаптера.
• Порт, открытый на локальном адаптере.
• Протокол в виде числа (в соответствии со стандартом IANA).
• Имя процесса.
• Аргументы процесса.
• Путь к файлу процесса.
• Windows идентификатор (PID) процесса.
• Windows идентификатор (PID) родительского процесса.
• Имя учетной записи пользователя, запустившего процесс.
• Дата и время запуска процесса.
• Имя службы.
• Описание службы.
• Путь и имя DLL-службы (для svchost).
• Путь и имя исполняемого файла службы.
• Windows идентификатор (PID) службы.
• Тип службы (например, драйвер ядра или адаптер).
• Статус службы.
• Режим запуска службы.
• Имя учетной записи пользователя.
• Наименование тома.
• Буква тома.
• Тип тома.
• Значение реестра Windows.
• Значение куста реестра.
• Путь к ключу реестра (без куста и без имени значения).
• Параметр реестра.
• Система (окружение).
• Имя ОС с версией.
• Сетевое имя защищаемого устройства.
• Домен или группа, к которой принадлежит защищаемое устройство.
• Имя браузера.
• Версия браузера.
• Время последнего обращения к веб-ресурсу.
• URL из HTTP-запроса.
• Имя учетной записи, под которой выполнен HTTP-запрос.
• Имя файла процесса, выполнившего HTTP-запрос.
• Полный путь к файлу процесса, выполнившего HTTP-запрос.
• Windows идентификатор (PID) процесса, выполнившего HTTP-запрос.
• HTTP referer (URL источника HTTP-запроса).
• URI ресурса, запрошенного по протоколу HTTP.
• Информация о HTTP агенте пользователя (приложении, выполнившем HTTP-запрос).
• Время выполнения HTTP-запроса.
• Уникальный идентификатор процесса, выполнившего HTTP-запрос.

В начало