Daten, die bei der Verwendung von Kaspersky Endpoint Detection and Response Optimum bereitgestellt werden

Daten, die zusammen mit den Ergebnissen der Aufgaben zur IoC-Untersuchung übertragen werden

Kaspersky Endpoint Security überträgt automatisch Daten über die Ergebnisse von Aufgaben zur IoC-Untersuchung an Kaspersky Security Center.

Die Ergebnisdaten von Aufgaben zur IoC-Untersuchung können die folgenden Informationen enthalten:

• Netzwerkinformationen:
  • IP-Adresse aus der Tabelle des Protokolls zur Adressauflösung (Address Resolution Protocol – ARP)
  • MAC-Adresse aus der Tabelle des Protokolls zur Adressauflösung
  • Typ und Name des DNS-Eintrags
  • IP-Adresse des geschützten Geräts
  • MAC-Adresse des geschützten Geräts
  • IP-Adresse und Port der Remote-Verbindung
  • IP-Adresse des lokalen Netzwerkadapters
  • Nummer des offenen Ports auf dem lokalen Adapter
  • Protokollnummer gemäß dem Standard der Internet Assigned Numbers Authority (IANA)
• Informationen über Prozesse:
  • Name des Prozesses
  • Argumente des Prozesses
  • Pfad zur ausführbaren Datei des Prozesses
  • Prozess-ID (PID)
  • ID des übergeordneten Prozesses (PPID)
  • Name des Benutzers, der den Prozess gestartet hat
  • Datum und Uhrzeit des Starts des Prozesses
• Informationen über Dienste:
  • Name des Dienstes
  • Beschreibung des Dienstes
  • Pfad und Name der ausführbaren Datei des Dienstes
  • ID des Dienstes
  • Typ des Dienstes (Kernel-Treiber, Adapter usw.)
  • Status des Dienstes
  • Startmodus des Dienstes
  • Name des Benutzers, unter dem der Dienst gestartet wurde
• Informationen über das Dateisystem:
  • Name der Partition
  • Buchstabe der Partition
  • Typ der Partition
• Informationen über das Betriebssystem:
  • Name und Version des Betriebssystems
  • Netzwerkname des geschützten Geräts
  • Domäne oder Gruppe, der das Gerät zugehörig ist
• Informationen über Web-Aktivitäten:
  • Name des Browsers
  • Version des Browsers
  • Zeitpunkt des letzten Zugriffs auf eine Webressource
  • Web-Adresse der HTTP-Anfrage
  • Name des Benutzers, der die HTTP-Anfrage gestellt hat
  • Name des Prozesses, der die HTTP-Anfrage gestellt hat
  • Pfad zur ausführbaren Datei des Prozesses, der die HTTP-Anfrage gestellt hat
  • ID des Prozesses, der die HTTP-Anfrage gestellt hat
  • Webadresse der Quelle der HTTP-Anfrage
  • Webadresse der angeforderten Ressource
  • Benutzeragent zur Verarbeitung von Webanfragen (HTTP User-Agent)
  • Ausführungszeit der HTTP-Anfrage
  • Die eindeutige Kennung des Prozesses, der die HTTP-Anfrage gestellt hat.

Daten zum Aufbau der Entwicklungskette der Bedrohung

Daten zum Aufbau einer Entwicklungskette der Bedrohung können die folgenden Informationen enthalten:

• Allgemeine Informationen zum dem Alarm:
  • Datum und Uhrzeit des Alarms
  • Objektname
  • Untersuchungsmodus
  • Status der letzten Aktivität mit Bezug auf den Alarm
  • Grund für eine fehlgeschlagene Verarbeitung des Alarms
• Informationen zum verarbeiteten Objekt:
  • ID des Prozesses
  • ID des übergeordneten Prozesses
  • Datei-ID des Prozesses
  • Befehl (aus der Befehlszeile) des Prozesses
  • Name des Benutzers, der den Prozess gestartet hat
  • ID der Sitzung, in welcher der Prozess ausgeführt wird
  • Typ der Sitzung, in welcher der Prozess ausgeführt wird
  • Integritätsstufe des verarbeiteten Prozesses
  • Mitgliedschaft des Benutzers in privilegierten Gruppen
  • ID des verarbeiteten Objekts
  • Vollständiger Name des verarbeiteten Objekts
  • ID des geschützten Geräts
  • Vollständiger Name des Objekts (lokale Datei oder Webadresse)
  • MD5- und SHA256-Hashsummen des verarbeiteten Objekts
  • Typ des verarbeiteten Objekts
  • Datum der Erstellung und letzten Änderung des Objekts
  • Größe des zu verarbeitenden Objekts
  • Attribute des verarbeiteten Objekts
  • Informationen über die signierende Organisation des Objekts
  • Resultat der Überprüfung des digitalen Zertifikats des Objekts
  • Sicherheits-ID (SID) des Objekts
  • ID der Zeitzone des Objekts
  • Webadresse für den Download des Objekts (nur für Dateien)
  • Name der Anwendung, von der die Datei heruntergeladen wurde
  • MD5- und SHA256-Hashsummen der Anwendung, von der die Datei heruntergeladen wurde
  • Name der Anwendung, von der die Datei das letzte Mal geändert wurde
  • MD5- und SHA256-Hashsummen der Anwendung, von der die Datei das letzte Mal geändert wurde
  • Anzahl der Starts des verarbeiteten Objekts
  • Datum und Uhrzeit des ersten Starts des Objekts
  • Eindeutige Datei-ID
  • Vollständiger Name der Datei (lokale Datei oder Webadresse)
  • Webadresse der verarbeiteten Webanfrage
  • Links-Quelle der bearbeiteten Webanfrage (HTTP referer)
  • Benutzeragent der verarbeiteten Webanfrage
  • Typ der verarbeiteten Webanfrage (GET oder POST)
  • Lokaler IP-Port für die verarbeitete Webanfrage
  • Remote-IP-Port der verarbeiteten Webanfrage
  • Richtung der Verbindung für die verarbeiteten Webanfrage (eingehend oder ausgehend)
  • ID des Prozesses, in den der Schadcode eingeschleust wurde

Nach oben