Données fournies lors de l'utilisation de Kaspersky Endpoint Detection and Response Optimum
Données transmises avec les résultats d'exécution des tâches Analyse IOC
Kaspersky Endpoint Security transfère automatiquement les données sur les résultats d'exécution des tâches Analyse IOC vers Kaspersky Security Center.
Les données des résultats d'exécution des tâches Analyse IOC peuvent contenir les informations suivantes :
- Informations réseau :
- Adresse IP du tableau du protocole de résolution d’adresse (Address Resolution Protocol) ;
- adresse MAC du tableau du protocole de résolution d'adresse ;
- type et nom de l'enregistrement DNS ;
- Adresse IP de l'appareil protégé ;
- Adresse MAC de l'appareil protégé ;
- adresse IP et port de connexion à distance ;
- adresse IP de la carte réseau locale ;
- numéro du port ouvert sur l'adaptateur local ;
- numéro du protocole selon la norme IANA (Internet Assigned Numbers Authority).
- Informations relatives aux processus :
- nom du processus ;
- arguments du processus ;
- chemin d'accès au fichier exécutable du processus ;
- identifiant de processus (PID) ;
- identifiant du processus parent (PPID) ;
- le nom de l'utilisateur qui a démarré le processus ;
- date et heure de lancement du processus.
- Informations sur les services :
- nom du service ;
- description du service ;
- chemin et nom du fichier exécutable du service ;
- identifiant de service ;
- type de service (pilote du noyau, adaptateur, etc.) ;
- état du service ;
- mode de démarrage du service ;
- nom de l'utilisateur sous lequel le service est exécuté.
- Informations sur le système de fichiers :
- nom du volume ;
- lettre de volume ;
- type de volume.
- Informations sur le système d'exploitation :
- nom et version du système d'exploitation ;
- nom réseau de l'appareil protégé ;
- domaine ou groupe auquel appartient l’appareil.
- Informations sur l'activité Web :
- nom du navigateur ;
- version du navigateur ;
- heure du dernier accès à la ressource Web ;
- adresse Web de la requête HTTP ;
- nom de l'utilisateur qui a effectué la requête HTTP ;
- nom du processus qui a effectué la requête HTTP ;
- chemin d'accès au fichier exécutable du processus qui a effectué la requête HTTP ;
- identifiant du processus qui a effectué la requête HTTP ;
- adresse Web de la source de la requête HTTP ;
- adresse Web de la ressource demandée ;
- agent utilisateur de la requête web traitée (HTTP User-Agent) ;
- temps d'exécution de la requête HTTP ;
- identifiant unique du processus qui a effectué la requête HTTP.
Données pour construire une chaîne de développement des menaces
Les données permettant de créer une chaîne de développement des menaces peuvent contenir les informations suivantes :
- Informations générales sur l'alerte :
- date et heure de l'alerte ;
- nom de l'objet ;
- mode d'analyse ;
- état de la dernière activité associée à l'alerte ;
- raison de l’échec du traitement de l’alerte.
- Informations sur l'objet traité :
- ID de processus ;
- identifiant du processus parent ;
- identifiant du fichier du processus ;
- ligne de commande du processus ;
- le nom de l'utilisateur qui a démarré le processus ;
- identifiant de la session dans laquelle le processus s'exécute ;
- type de session dans laquelle le processus s'exécute ;
- niveau d'intégrité du processus traité ;
- appartenance de l'utilisateur à des groupes privilégiés ;
- identifiant de l'objet traité ;
- nom complet de l'objet traité ;
- identifiant de l'appareil protégé ;
- nom complet de l'objet (fichier local ou adresse Web) ;
- hachages MD5 et SHA256 de l'objet traité ;
- type d'objet traité ;
- date de création et dernière modification de l'objet ;
- taille de l'objet traité ;
- attributs de l'objet traité ;
- informations sur l'organisation qui a signé l'objet ;
- résultat de la vérification du certificat numérique de l'objet ;
- identifiant de sécurité (SID) de l'objet ;
- identifiant de fuseau horaire de l'objet ;
- adresse Web de téléchargement de l'objet (fichiers uniquement) ;
- nom de l'application qui a téléchargé le fichier ;
- sommes de hachage MD5 et SHA256 de l'application qui a téléchargé le fichier ;
- nom de l'application qui a modifié le fichier en dernier lieu ;
- hachages MD5 et SHA256 de l'application qui a modifié le fichier en dernier lieu ;
- nombre de démarrages de l'objet traité ;
- date et heure du premier lancement de l'objet ;
- identifiant unique du fichier ;
- nom complet du fichier (fichier local ou adresse Web) ;
- adresse Web de la requête Web traitée ;
- source des liens de la requête web traitée (référent HTTP) ;
- agent de l'utilisateur de la requête Web traitée ;
- type de requête Web traitée (GET ou POST) ;
- port IP local pour la requête Web traitée ;
- port IP à distance pour la requête Web traitée ;
- sens de connexion (entrant ou sortant) de la requête Web traitée ;
- identifiant du processus dans lequel le code malveillant a été injecté.
Haut de page