Kaspersky Endpoint Security для Windows 11.10.0
Русский

Содержание

Предоставление данных при использовании решений Detection and Response

На компьютерах с установленным приложением Kaspersky Endpoint Security хранятся данные, подготовленные для автоматической отправки на серверы решений Kaspersky Endpoint Detection and Response и Kaspersky Sandbox. Файлы хранятся на компьютерах в открытом незашифрованном виде.

Конкретный состав данных зависит от решения, в составе которого используется Kaspersky Endpoint Security.

В этом разделе

Kaspersky Endpoint Detection and Response

Kaspersky Sandbox
В начало
[Topic 249456]

Kaspersky Endpoint Detection and Response

Все данные, которые приложение хранит локально на компьютере, будут удалены с компьютера при удалении Kaspersky Endpoint Security.

Данные о результатах выполнения задачи Поиск IOC (стандартная задача)

Kaspersky Endpoint Security автоматически передает данные о результатах выполнения задач Поиск IOC в Kaspersky Security Center.

Данные в результатах выполнения задач Поиск IOC могут содержать следующую информацию:

  • IP-адрес из ARP-таблицы.
  • Физический адрес из ARP-таблицы.
  • Тип и имя записи DNS.
  • IP-адрес защищаемого компьютера.
  • Физический адрес (MAC) защищаемого компьютера.
  • Идентификатор записи в журнале событий.
  • Имя источника данных в журнале.
  • Имя журнала.
  • Время события.
  • MD5 и SHA256-хеши файла.
  • Полное имя файла (включая путь).
  • Размер файла.
  • Удаленные IP-адрес и порт, с которыми было установлено соединение в момент проверки.
  • IP-адрес локального адаптера.
  • Порт, открытый на локальном адаптере.
  • Протокол в виде числа (в соответствии со стандартом IANA).
  • Имя процесса.
  • Аргументы процесса.
  • Путь к файлу процесса.
  • Windows идентификатор процесса (PID).
  • Windows идентификатор родительского процесса (PID).
  • Имя учетной записи пользователя, запустившего процесс.
  • Дата и время запуска процесса.
  • Имя службы.
  • Описание службы.
  • Путь и имя DLL-службы (для svchost).
  • Путь и имя исполняемого файла службы.
  • Windows идентификатор службы (PID).
  • Тип службы (например, драйвер ядра или адаптер).
  • Статус службы.
  • Режим запуска службы.
  • Имя учетной записи пользователя.
  • Наименование тома.
  • Буква тома.
  • Тип тома.
  • Значение реестра Windows.
  • Значение куста реестра.
  • Путь к ключу реестра (без куста и без имени значения).
  • Параметр реестра.
  • Система (окружение).
  • Имя и версия операционной системы, установленной на компьютере.
  • Сетевое имя защищаемого компьютера.
  • Домен или группа, к которому принадлежит защищаемый компьютер.
  • Имя браузера.
  • Версия браузера.
  • Время последнего обращения к веб-ресурсу.
  • URL из HTTP-запроса.
  • Имя учетной записи, под которой выполнен HTTP-запрос.
  • Имя файла процесса, выполнившего HTTP-запрос.
  • Полный путь к файлу процесса, выполнившего HTTP-запрос.
  • Windows идентификатор (PID) процесса, выполнившего HTTP-запрос.
  • HTTP referer (URL источника HTTP-запроса).
  • URI ресурса, запрошенного по протоколу HTTP.
  • Информация о HTTP агенте пользователя (приложении, выполнившем HTTP-запрос).
  • Время выполнения HTTP-запроса.
  • Уникальный идентификатор процесса, выполнившего HTTP-запрос.

Данные для построения цепочки развития угрозы

Данные для построения цепочки развития угрозы по умолчанию хранятся семь дней. Эти данные автоматически передаются в Kaspersky Security Center.

Данные для построения цепочки развития угрозы могут содержать следующую информацию:

  • Дата и время инцидента.
  • Имя обнаружения.
  • Режим проверки.
  • Статус последнего действия, связанного с обнаружением.
  • Причина неудачной обработки обнаружения.
  • Тип обнаруженного объекта.
  • Имя обнаруженного объекта.
  • Статус угрозы после обработки объекта.
  • Причина неудачного выполнения действий над объектом.
  • Действия, выполняемые для отката вредоносных действий.
  • Об обрабатываемом объекте:
    • Уникальный идентификатор процесса.
    • Уникальный идентификатор родительского процесса.
    • Уникальный идентификатор файла процесса.
    • Идентификатор процесса Windows (PID).
    • Командная строка процесса.
    • Имя учетной записи пользователя, запустившего процесс.
    • Код сеанса входа в систему, в котором запущен процесс.
    • Тип сеанса, в котором запущен процесс.
    • Уровень целостности обрабатываемого процесса.
    • Принадлежность учетной записи пользователя, запустившего процесс, к привилегированным локальным и доменным группам.
    • Идентификатор обрабатываемого объекта.
    • Полное имя обрабатываемого объекта.
    • Идентификатор защищаемого устройства.
    • Полное имя объекта (имя локального файла или веб-адрес загружаемого файла).
    • MD5 и SHA256-хеши обрабатываемого объекта.
    • Тип обрабатываемого объекта.
    • Дата создания обрабатываемого объекта.
    • Дата последнего изменения обрабатываемого объекта.
    • Размер обрабатываемого объекта.
    • Атрибуты обрабатываемого объекта.
    • Организация, подписавшая обрабатываемый объект.
    • Результат проверки цифрового сертификата обрабатываемого объекта.
    • Идентификатор безопасности (SID) обрабатываемого объекта.
    • Идентификатор часового пояса обрабатываемого объекта.
    • Веб-адрес загрузки обрабатываемого объекта (только для файла на диске).
    • Название приложения, загрузившего файл.
    • MD5 и SHA256-хеши приложения, загрузившего файл.
    • Название приложения, последний раз изменившего файл.
    • MD5 и SHA256-хеши приложения, последний раз изменившего файл.
    • Количество запусков обрабатываемого объекта.
    • Дата и время первого запуска обрабатываемого объекта.
    • Уникальный идентификатор файла.
    • Полное имя файла (имя локального файла или веб-адрес загружаемого файла).
    • Путь к обрабатываемой переменной реестра Windows.
    • Имя обрабатываемой переменной реестра Windows.
    • Значение обрабатываемой переменной реестра Windows.
    • Тип обрабатываемой переменной реестра Windows.
    • Показатель принадлежности обрабатываемого ключа реестра к точке автозапуска.
    • Веб-адрес обрабатываемого веб-запроса.
    • Источник ссылок обрабатываемого веб-запроса.
    • Агент пользователя обрабатываемого веб-запроса.
    • Тип обрабатываемого веб-запроса (GET или POST).
    • Локальный IP-порт для обрабатываемого веб-запроса.
    • Удаленный IP-порт для обрабатываемого веб-запроса.
    • Направление соединения (входящее или исходящее) обрабатываемого веб-запроса.
    • Идентификатор процесса, в который произошло внедрение вредоносного кода.
В начало
[Topic 249504]

Kaspersky Sandbox

Все данные, которые приложение хранит локально на компьютере, будут удалены с компьютера при удалении Kaspersky Endpoint Security.

Служебные данные

Kaspersky Endpoint Security хранит следующие данные, обрабатываемые при автоматическом реагировании:

  • Обрабатываемые файлы и данные, передаваемые пользователем в ходе настройки параметров встроенного агента Kaspersky Endpoint Security:
    • Файлы на карантине.
    • Открытый ключ сертификата для интеграции с Kaspersky Sandbox.
  • Кеш встроенного агента Kaspersky Endpoint Security:
    • Время записи результата проверки в кеш.
    • MD5-хеш задачи проверки.
    • Идентификатор задачи проверки.
    • Результат проверки объекта.
  • Очередь запросов на проверку объекта:
    • Идентификатор объекта в очереди.
    • Время помещения объекта в очередь.
    • Статус обработки объекта в очереди.
    • Идентификатор пользовательской сессии в операционной системе, в которой создана задача на проверку объекта.
    • Системный идентификатор (SID) пользователя операционной системы, под учетной записью которого создана задача.
    • MD5-хеш задачи проверки объекта.
  • Информация о задачах, для которых встроенный агент Kaspersky Endpoint Security ожидает результат проверки от Kaspersky Sandbox:
    • Время получения задачи на проверку объекта.
    • Статус обработки объекта.
    • Идентификатор пользовательской сессии в операционной системе, в которой создана задача на проверку объекта.
    • Идентификатор задачи на проверку объекта.
    • MD5-хеш задачи проверки объекта.
    • Системный идентификатор (SID) пользователя операционной системы, под учетной записью которого создана задача.
    • XML-схема автоматически созданного IOC.
    • MD5 и SHA256-хеши проверяемого объекта.
    • Ошибки обработки.
    • Имена объектов, для которых создана задача.
    • Результат проверки объекта.

Данные из запросов к Kaspersky Sandbox

Следующие данные из запросов от встроенного агента Kaspersky Endpoint Security к Kaspersky Sandbox хранятся локально на компьютере:

  • MD5-хеш задачи проверки.
  • Идентификатор задачи проверки.
  • Проверяемый объект и все связанные с ним файлы.

Данные о результатах выполнения задачи Поиск IOC (автономная задача)

Kaspersky Endpoint Security автоматически передает данные о результатах выполнения задач Поиск IOC в Kaspersky Security Center.

Данные в результатах выполнения задач Поиск IOC могут содержать следующую информацию:

  • IP-адрес из ARP-таблицы.
  • Физический адрес из ARP-таблицы.
  • Тип и имя записи DNS.
  • IP-адрес защищаемого компьютера.
  • Физический адрес (MAC) защищаемого компьютера.
  • Идентификатор записи в журнале событий.
  • Имя источника данных в журнале.
  • Имя журнала.
  • Время события.
  • MD5 и SHA256-хеши файла.
  • Полное имя файла (включая путь).
  • Размер файла.
  • Удаленные IP-адрес и порт, с которыми было установлено соединение в момент проверки.
  • IP-адрес локального адаптера.
  • Порт, открытый на локальном адаптере.
  • Протокол в виде числа (в соответствии со стандартом IANA).
  • Имя процесса.
  • Аргументы процесса.
  • Путь к файлу процесса.
  • Windows идентификатор процесса (PID).
  • Windows идентификатор родительского процесса (PID).
  • Имя учетной записи пользователя, запустившего процесс.
  • Дата и время запуска процесса.
  • Имя службы.
  • Описание службы.
  • Путь и имя DLL-службы (для svchost).
  • Путь и имя исполняемого файла службы.
  • Windows идентификатор службы (PID).
  • Тип службы (например, драйвер ядра или адаптер).
  • Статус службы.
  • Режим запуска службы.
  • Имя учетной записи пользователя.
  • Наименование тома.
  • Буква тома.
  • Тип тома.
  • Значение реестра Windows.
  • Значение куста реестра.
  • Путь к ключу реестра (без куста и без имени значения).
  • Параметр реестра.
  • Система (окружение).
  • Имя и версия операционной системы, установленной на компьютере.
  • Сетевое имя защищаемого компьютера.
  • Домен или группа, к которому принадлежит защищаемый компьютер.
  • Имя браузера.
  • Версия браузера.
  • Время последнего обращения к веб-ресурсу.
  • URL из HTTP-запроса.
  • Имя учетной записи, под которой выполнен HTTP-запрос.
  • Имя файла процесса, выполнившего HTTP-запрос.
  • Полный путь к файлу процесса, выполнившего HTTP-запрос.
  • Windows идентификатор (PID) процесса, выполнившего HTTP-запрос.
  • HTTP referer (URL источника HTTP-запроса).
  • URI ресурса, запрошенного по протоколу HTTP.
  • Информация о HTTP агенте пользователя (приложении, выполнившем HTTP-запрос).
  • Время выполнения HTTP-запроса.
  • Уникальный идентификатор процесса, выполнившего HTTP-запрос.
В начало
[Topic 249509]