Данные, предоставляемые при использовании Kaspersky Endpoint Detection and Response Optimum

Данные, передаваемые вместе с результатами выполнения задач Поиск IOC

Kaspersky Endpoint Security автоматически передает данные о результатах выполнения задач Поиск IOC в Kaspersky Security Center.

Данные о результатах выполнения задач Поиск IOC могут содержать следующую информацию:

• Сетевую информацию:
  • IP-адрес из таблицы протокола разрешения адресов (Address Resolution Protocol, ARP);
  • MAC-адрес из таблицы протокола разрешения адресов;
  • тип и имя записи DNS;
  • IP-адрес защищаемого устройства;
  • MAC-адрес защищаемого устройства;
  • IP-адрес удаленного соединения и порт;
  • IP-адрес локального сетевого адаптера;
  • номер порта, открытого на локальном адаптере;
  • номер протокола согласно стандарту Internet Assigned Numbers Authority (IANА).
• Информацию о процессах:
  • имя процесса;
  • аргументы процесса;
  • путь к исполняемому файлу процесса;
  • идентификатор процесса (PID);
  • идентификатор родительского процесса (PPID);
  • имя пользователя, запустившего процесс;
  • дату и время запуска процесса.
• Информацию о службах:
  • имя службы;
  • описание службы;
  • путь и имя исполняемого файла службы;
  • идентификатор службы;
  • тип службы (драйвер ядра, адаптер и т.д.);
  • статус службы;
  • режим запуска службы;
  • имя пользователя, под которым запущена служба.
• Информацию о файловой системе:
  • имя тома;
  • букву тома;
  • тип тома.
• Информацию об операционной системе:
  • имя и версию операционной системы;
  • сетевое имя защищаемого устройства;
  • домен или группу, к которым принадлежит устройство.
• Информацию о веб-активности:
  • имя браузера;
  • версию браузера;
  • время последнего обращения к веб-ресурсу;
  • веб-адрес HTTP-запроса;
  • имя пользователя, выполнившего HTTP-запрос;
  • имя процесса, выполнившего HTTP-запрос;
  • путь к исполняемому файлу процесса, выполнившего HTTP-запрос;
  • идентификатор процесса, выполнившего HTTP-запрос;
  • веб-адрес источника HTTP-запроса;
  • веб-адрес запрошенного ресурса;
  • агент пользователя обрабатываемого веб-запроса (HTTP User-Agent);
  • время выполнения HTTP-запроса;
  • уникальный идентификатор процесса, выполнившего HTTP-запрос.

Данные для построения цепочки развития угрозы

Данные для построения цепочки развития угрозы могут содержать следующую информацию:

• Общую информацию об алерте:
  • дату и время алерта;
  • имя объекта;
  • режим проверки;
  • статус последнего действия, связанного с алертом;
  • причину неудачной обработки алерта.
• Информацию об обрабатываемом объекте:
  • идентификатор процесса;
  • идентификатор родительского процесса;
  • идентификатор файла процесса;
  • командную строку процесса;
  • имя пользователя, запустившего процесс;
  • идентификатор сеанса, в котором запущен процесс;
  • тип сеанса, в котором запущен процесс;
  • уровень целостности обрабатываемого процесса;
  • принадлежность пользователя к привилегированным группам;
  • идентификатор обрабатываемого объекта;
  • полное имя обрабатываемого объекта;
  • идентификатор защищаемого устройства;
  • полное имя объекта (локальный файл или веб-адрес);
  • хеш-суммы MD5 и SHA256 обрабатываемого объекта;
  • тип обрабатываемого объекта;
  • дату создания и последнего изменения объекта;
  • размер обрабатываемого объекта;
  • атрибуты обрабатываемого объекта;
  • информацию об организации, подписавшей объект;
  • результат проверки цифрового сертификата объекта;
  • идентификатор безопасности (SID) объекта;
  • идентификатор часового пояса объекта;
  • веб-адрес загрузки объекта (только для файлов);
  • название приложения, загрузившего файл;
  • хеш-суммы MD5 и SHA256 приложения, загрузившего файл;
  • название приложения, последний раз изменившего файл;
  • хеш-суммы MD5 и SHA256 приложения, последний раз изменившего файл;
  • количество запусков обрабатываемого объекта;
  • дату и время первого запуска объекта;
  • уникальный идентификатор файла;
  • полное имя файла (локальный файл или веб-адрес);
  • веб-адрес обрабатываемого веб-запроса;
  • источник ссылок обрабатываемого веб-запроса (HTTP referer);
  • агент пользователя обрабатываемого веб-запроса;
  • тип обрабатываемого веб-запроса (GET или POST);
  • локальный IP-порт для обрабатываемого веб-запроса;
  • удаленный IP-порт для обрабатываемого веб-запроса;
  • направление соединения (входящее или исходящее) обрабатываемого веб-запроса;
  • идентификатор процесса, в который произошло внедрение вредоносного кода.

В начало