Данные, предоставляемые SIEM-серверам

Все данные, которые программа хранит локально на устройстве, кроме файлов трассировки и дампов, удаляются с устройства при удалении программы.

При интеграции с SIEM Kaspersky Endpoint Agent может хранить локально и отправлять в адрес SIEM-серверов следующие данные:

  1. Общие данные:
    • Хеш md5 объекта.
    • Хеш sha256 объекта.
    • Версия приложения.
    • Версия файла.
    • Время изменения файла.
    • Время создания файла.
    • Значение IntegrityLevel.
    • Идентификатор Logon-сессии.
    • Идентификатор Zone id.
    • Идентификатор терминальной сессии.
    • Имя пользователя.
    • Имя приложения.
    • Имя файла.
    • Командная строка процесса.
    • Маска атрибутов файловой системы.
    • Метод из HTTP-запроса.
    • Окончательный статус обработки угрозы.
    • Описание файла.
    • Полный путь к образу файла.
    • Предыдущее значение IntegrityLevel.
    • Предыдущее значение идентификатора Logon-сессии.
    • Предыдущее значение привилегий и атрибутов привилегий.
    • Привилегии и атрибуты привилегий.
    • Производитель приложения.
    • Путь из HTTP-запроса.
    • Размер файла.
    • Системный идентификатор процесса.
    • Состояние процесса.
    • Тип аккаунта.
    • Тип операции.
    • Тип сессии.
    • Тип файла.
    • Уникальный идентификатор образа файла.
    • Уникальный идентификатор процесса.
    • Уникальный идентификатор родительского процесса.
    • Хост из HTTP-запроса.
  2. Данные о сертификатах подписей объектов:
    • Серийный номер сертификата.
    • The Chaintype.
    • Имя издателя.
    • Имя субъекта.
    • Алгоритм отпечатка сертификата.
    • Отпечаток сертификата.
    • Период действия: не ранее.
    • Период действия: не позднее.
    • Время создания подписи файла.
  3. Данные об объектах реестра:
    • Ключ реестра.
    • Содержимое значения ключа реестра.
    • Имя значения ключа реестра.
    • Тип значения реестра.
    • Имя ключа реестра до проведения операции.
    • Данные в ключе реестра до проведения операции.
    • Тип значения в реестре до проведения операции.
  4. Данные об объектах и результатах их проверки:
    • Email-адрес отправителя, приславшего объект.
    • Email-адрес получателя.
    • URI объекта (HTTP, HTTPS).
    • Значение номера протокола по IANA.
    • Имя объекта.
    • Командная строка.
    • Локальный сетевой адрес.
    • Оригинальный идентификатор процесса.
    • Сетевой адрес хоста, вызвавшего подозрительные действия.
    • Содержимое скрипта, проверяемого через механизм AMSI.
    • Ссылка на процесс, скачавший объект.
    • Тип объекта.
    • Тип содержимого скрипта, проверяемого через механизм AMSI.
    • Уникальный идентификатор процесса.
В начало