使用 Kaspersky Endpoint Detection and Response Optimum 时提供的数据

与IOC 扫描任务结果一起传输的数据

Kaspersky Endpoint Security 会自动将有关IOC 扫描任务结果的数据发送到 Kaspersky Security Center。

IOC扫描任务结果数据可能包含以下信息：

• 网络信息：
  • 地址解析协议 (ARP) 表中的 IP 地址
  • 地址解析协议表中的 MAC 地址
  • DNS 记录的类型和名称
  • 受保护设备的 IP 地址
  • 受保护设备的 MAC 地址
  • 远程连接的 IP 地址和端口
  • 本地网络适配器的 IP 地址
  • 本地适配器上的开放端口号
  • 根据互联网号码分配机构 (IANA) 标准的协议编号
• 有关进程的信息：
  • 进程名称
  • 进程参数
  • 进程的可执行文件路径
  • 进程 ID (PID)
  • 父进程 ID
  • 启动进程的用户的名称
  • 进程启动的日期和时间
• 有关服务的信息：
  • 服务名称
  • 服务说明
  • 服务可执行文件的路径和名称
  • 服务 ID
  • 服务类型（内核驱动程序、适配器等）
  • 服务状态
  • 服务启动模式
  • 启动服务的用户的名称
• 有关文件系统的信息：
  • 卷名
  • 卷函
  • 卷类型
• 有关操作系统的信息：
  • 操作系统的名称和版本
  • 受保护设备的网络名称
  • 设备所属的域或组
• 有关 Web 活动的信息：
  • 浏览器名称
  • 浏览器版本
  • 上次访问 Web 资源的时间
  • HTTP 请求的网址
  • 发出 HTTP 请求的用户的姓名
  • 发出 HTTP 请求的进程的名称
  • 发出 HTTP 请求的进程的可执行文件的路径
  • 发出 HTTP 请求的进程的 ID
  • HTTP referer（HTTP 请求来源的网址）
  • 请求资源的网址
  • 已处理的 Web 请求的用户代理 (HTTP User-Agent)
  • HTTP 请求执行时间
  • 发出 HTTP 请求的进程的唯一 ID

用于创建威胁发展链的数据

用于创建威胁发展链的数据可能包含以下信息：

• 警报常规信息：
  • 警报日期和时间
  • 对象名称
  • 扫描模式
  • 与警报相关的最后一个操作的状态
  • 警报处理失败的原因
• 已处理对象的信息：
  • 进程标识符
  • 父进程 ID
  • 进程文件 ID
  • 进程的命令行
  • 启动进程的用户的名称
  • 进程在其中启动的会话的 ID
  • 进程在其中启动的会话的类型
  • 已处理对象的完整性级别
  • 用户是否属于特权组
  • 已处理对象的 ID
  • 已处理对象的全称
  • 受保护设备的的 ID
  • 对象的完整名称（本地文件或网址）
  • 已处理对象的 MD5 和 SHA256 校验和
  • 已处理对象的类型
  • 对象创建和最后修改的日期
  • 已处理对象的大小
  • 已处理对象的属性
  • 有关签署该对象的组织的信息
  • 对象数字证书验证结果
  • 对象的安全标识符 (SID)
  • 对象的时区 ID
  • 对象从其下载的网址（仅适用于文件）
  • 下载文件的应用程序的名称
  • 下载文件的应用程序的 MD5 和 SHA256 校验和
  • 上次修改文件的应用程序名称
  • 上次修改文件的应用程序的 MD5 和 SHA256 校验和
  • 已处理对象的启动次数
  • 已处理对象首次启动的日期和时间
  • 文件的唯一 ID
  • 文件全名（本地文件或网址）
  • 已处理的 Web 请求的网址
  • 已处理的 Web 请求的链接来源（HTTP referer）
  • 已处理的 Web 请求的用户代理
  • 已处理的 Web 请求的类型（GET 或 POST）
  • 已处理的 Web 请求的本地 IP 端口
  • 已处理的 Web 请求的远程 IP 端口
  • 已处理的 Web 请求的连接方向（入站或出站）
  • 被注入恶意代码的进程的 ID

页面顶部