Daten, die bei der Verwendung von Kaspersky Endpoint Detection and Response Optimum bereitgestellt werden
Daten, die zusammen mit den Ergebnissen der Aufgaben zur IoC-Untersuchung übertragen werden
Kaspersky Endpoint Security überträgt automatisch Daten über die Ergebnisse von Aufgaben zur IoC-Untersuchung an Kaspersky Security Center.
Die Ergebnisdaten von Aufgaben zur IoC-Untersuchung können die folgenden Informationen enthalten:
- Netzwerkinformationen:
- IP-Adresse aus der Tabelle des Protokolls zur Adressauflösung (Address Resolution Protocol – ARP)
- MAC-Adresse aus der Tabelle des Protokolls zur Adressauflösung
- Typ und Name des DNS-Eintrags
- IP-Adresse des geschützten Geräts
- MAC-Adresse des geschützten Geräts
- IP-Adresse und Port der Remote-Verbindung
- IP-Adresse des lokalen Netzwerkadapters
- Nummer des offenen Ports auf dem lokalen Adapter
- Protokollnummer gemäß dem Standard der Internet Assigned Numbers Authority (IANA)
- Informationen über Prozesse:
- Name des Prozesses
- Argumente des Prozesses
- Pfad zur ausführbaren Datei des Prozesses
- Prozess-ID (PID)
- ID des übergeordneten Prozesses (PPID)
- Name des Benutzers, der den Prozess gestartet hat
- Datum und Uhrzeit des Starts des Prozesses
- Informationen über Dienste:
- Name des Dienstes
- Beschreibung des Dienstes
- Pfad und Name der ausführbaren Datei des Dienstes
- ID des Dienstes
- Typ des Dienstes (Kernel-Treiber, Adapter usw.)
- Status des Dienstes
- Startmodus des Dienstes
- Name des Benutzers, unter dem der Dienst gestartet wurde
- Informationen über das Dateisystem:
- Name der Partition
- Buchstabe der Partition
- Typ der Partition
- Informationen über das Betriebssystem:
- Name und Version des Betriebssystems
- Netzwerkname des geschützten Geräts
- Domäne oder Gruppe, der das Gerät zugehörig ist
- Informationen über Web-Aktivitäten:
- Name des Browsers
- Version des Browsers
- Zeitpunkt des letzten Zugriffs auf eine Webressource
- Web-Adresse der HTTP-Anfrage
- Name des Benutzers, der die HTTP-Anfrage gestellt hat
- Name des Prozesses, der die HTTP-Anfrage gestellt hat
- Pfad zur ausführbaren Datei des Prozesses, der die HTTP-Anfrage gestellt hat
- ID des Prozesses, der die HTTP-Anfrage gestellt hat
- Webadresse der Quelle der HTTP-Anfrage
- Webadresse der angeforderten Ressource
- Benutzeragent zur Verarbeitung von Webanfragen (HTTP User-Agent)
- Ausführungszeit der HTTP-Anfrage
- Die eindeutige Kennung des Prozesses, der die HTTP-Anfrage gestellt hat.
Daten zum Aufbau der Entwicklungskette der Bedrohung
Daten zum Aufbau einer Entwicklungskette der Bedrohung können die folgenden Informationen enthalten:
- Allgemeine Informationen zum dem Alarm:
- Datum und Uhrzeit des Alarms
- Objektname
- Untersuchungsmodus
- Status der letzten Aktivität mit Bezug auf den Alarm
- Grund für eine fehlgeschlagene Verarbeitung des Alarms
- Informationen zum verarbeiteten Objekt:
- ID des Prozesses
- ID des übergeordneten Prozesses
- Datei-ID des Prozesses
- Befehl (aus der Befehlszeile) des Prozesses
- Name des Benutzers, der den Prozess gestartet hat
- ID der Sitzung, in welcher der Prozess ausgeführt wird
- Typ der Sitzung, in welcher der Prozess ausgeführt wird
- Integritätsstufe des verarbeiteten Prozesses
- Mitgliedschaft des Benutzers in privilegierten Gruppen
- ID des verarbeiteten Objekts
- Vollständiger Name des verarbeiteten Objekts
- ID des geschützten Geräts
- Vollständiger Name des Objekts (lokale Datei oder Webadresse)
- MD5- und SHA256-Hashsummen des verarbeiteten Objekts
- Typ des verarbeiteten Objekts
- Datum der Erstellung und letzten Änderung des Objekts
- Größe des zu verarbeitenden Objekts
- Attribute des verarbeiteten Objekts
- Informationen über die signierende Organisation des Objekts
- Resultat der Überprüfung des digitalen Zertifikats des Objekts
- Sicherheits-ID (SID) des Objekts
- ID der Zeitzone des Objekts
- Webadresse für den Download des Objekts (nur für Dateien)
- Name der Anwendung, von der die Datei heruntergeladen wurde
- MD5- und SHA256-Hashsummen der Anwendung, von der die Datei heruntergeladen wurde
- Name der Anwendung, von der die Datei das letzte Mal geändert wurde
- MD5- und SHA256-Hashsummen der Anwendung, von der die Datei das letzte Mal geändert wurde
- Anzahl der Starts des verarbeiteten Objekts
- Datum und Uhrzeit des ersten Starts des Objekts
- Eindeutige Datei-ID
- Vollständiger Name der Datei (lokale Datei oder Webadresse)
- Webadresse der verarbeiteten Webanfrage
- Links-Quelle der bearbeiteten Webanfrage (HTTP referer)
- Benutzeragent der verarbeiteten Webanfrage
- Typ der verarbeiteten Webanfrage (GET oder POST)
- Lokaler IP-Port für die verarbeitete Webanfrage
- Remote-IP-Port der verarbeiteten Webanfrage
- Richtung der Verbindung für die verarbeiteten Webanfrage (eingehend oder ausgehend)
- ID des Prozesses, in den der Schadcode eingeschleust wurde
Nach oben