Kaspersky Endpoint Agent автоматически передает данные из результатов выполнения задач поиска IOC в Kaspersky Security Center для построения цепочки развития угрозы.
Данные хранятся в базах данных Kaspersky Security Center. По умолчанию данные хранятся 7 дней.
Данные в результатах выполнения задач поиска IOC могут содержать следующую информацию:
IP-адрес из ARP-таблицы.
Физический адрес из ARP-таблицы.
Тип и имя записи DNS.
IP-адрес защищаемого устройства.
Физический адрес (MAC) защищаемого устройства.
Идентификатор записи в журнале событий.
Имя источника данных в журнале.
Имя журнала.
Пользователь.
Время события.
MD5-хеш файла.
SHA256-хеш файла.
Полное имя файла (включая путь).
Размер файла.
Удаленный IP-адрес, с которым было установлено соединение в момент проверки.
Удаленный порт, с которым было установлено соединение в момент проверки.
IP-адрес локального адаптера.
Порт, открытый на локальном адаптере.
Протокол в виде числа (в соответствии со стандартом IANA).
Имя процесса.
Аргументы процесса.
Путь к файлу процесса.
Windows идентификатор (PID) процесса.
Windows идентификатор (PID) родительского процесса.
Имя учетной записи пользователя, запустившего процесс.
Дата и время запуска процесса.
Имя службы.
Описание службы.
Путь и имя DLL-службы (для svchost).
Путь и имя исполняемого файла службы.
Windows идентификатор (PID) службы.
Тип службы (например, драйвер ядра или адаптер).
Статус службы.
Режим запуска службы.
Имя учетной записи пользователя.
Наименование тома.
Буква тома.
Тип тома.
Значение реестра Windows.
Значение куста реестра.
Путь к ключу реестра (без куста и без имени значения).
Параметр реестра.
Система (окружение).
Имя ОС с версией.
Сетевое имя защищаемого устройства.
Домен или группа, к которой принадлежит защищаемое устройство.
Имя браузера.
Версия браузера.
Время последнего обращения к веб-ресурсу.
URL из HTTP-запроса.
Имя учетной записи, под которой выполнен HTTP-запрос.
Имя файла процесса, выполнившего HTTP-запрос.
Полный путь к файлу процесса, выполнившего HTTP-запрос.
Windows идентификатор (PID) процесса, выполнившего HTTP-запрос.
HTTP referer (URL источника HTTP-запроса).
URI ресурса, запрошенного по протоколу HTTP.
Информация о HTTP агенте пользователя (приложении, выполнившем HTTP-запрос).