Alle Daten, die von der App lokal auf dem Computer gespeichert werden, werden bei der Deinstallation von Kaspersky Endpoint Security vom Computer gelöscht.
Dienstdaten
Kaspersky Endpoint Security speichert die folgenden Daten, die im Rahmen der automatischen Antwort verarbeitet werden:
Verarbeitete Dateien und Daten, die vom Benutzer während der Konfiguration des integrierten Agenten von Kaspersky Endpoint Security eingegeben wurden:
Dateien in Quarantäne
Öffentlicher Schlüssel des Zertifikats, das für die Integration mit Kaspersky Sandbox verwendet wird
Cache des integrierten Agenten von Kaspersky Endpoint Security:
Zeitpunkt, zu dem Untersuchungsergebnisse in den Cache geschrieben wurden
MD5-Hash der Untersuchungsaufgabe
ID der Untersuchungsaufgabe
Untersuchungsergebnis für das Objekt
Warteschlange der Anfragen zur Objektuntersuchung:
ID des Objekts in der Warteschlange
Zeitpunkt, zu dem das Objekt in die Warteschlange gestellt wurde
Verarbeitungsstatus des Objekts in der Warteschlange
ID der Benutzersitzung im Betriebssystem, in der die Objektuntersuchungsaufgabe erstellt wurde
System-ID (SID) des Betriebssystembenutzers, dessen Benutzerkonto zum Erstellen der Aufgabe verwendet wurde
MD5-Hash der Objektuntersuchungsaufgabe
Informationen zu den Aufgaben, für die der integrierte Agent von Kaspersky Endpoint Security auf Untersuchungsergebnisse von Kaspersky Sandbox wartet:
Zeitpunkt, zu dem die Objektuntersuchungsaufgabe empfangen wurde
Status der Objektverarbeitung
ID der Benutzersitzung im Betriebssystem, in der die Objektuntersuchungsaufgabe erstellt wurde
ID der Objektuntersuchungsaufgabe
MD5-Hash der Objektuntersuchungsaufgabe
System-ID (SID) des Betriebssystembenutzers, dessen Benutzerkonto zum Erstellen der Aufgabe verwendet wurde
XML-Schema des automatisch erstellten IOC
MD5- oder SHA256-Hash des untersuchten Objekts
Verarbeitungsfehler
Namen der Objekte, für welche die Aufgabe erstellt wurde
Untersuchungsergebnis für das Objekt
Daten in Anfragen an Kaspersky Sandbox
Die folgenden Daten aus Anfragen des integrierten Agenten von Kaspersky Endpoint Security an Kaspersky Sandbox werden lokal auf dem Computer gespeichert:
MD5-Hash der Untersuchungsaufgabe
ID der Untersuchungsaufgabe
Untersuchtes Objekt und alle zugehörigen Dateien
Daten, die aufgrund der Ausführung der Aufgabe IOC-Untersuchung (eigenständige Aufgabe) empfangen werden
Kaspersky Endpoint Security übermittelt automatisch Daten über die Ausführungsergebnisse der Aufgabe IOC-Untersuchung an Kaspersky Security Center.
Die Daten in den Ausführungsergebnissen der Aufgabe IOC-Untersuchung können die folgenden Informationen enthalten:
IP-Adresse aus der ARP-Tabelle
Physikalische Adresse aus der ARP-Tabelle
Typ und Name des DNS-Eintrags
IP-Adresse des geschützten Computers
Physikalische Adresse (MAC-Adresse) des geschützten Computers
ID im Ereignisprotokolleintrag
Name der Datenquelle im Protokoll
Protokollname
Ereigniszeitpunkt
MD5- und SHA256-Hashwerte der Datei
Vollständiger Name der Datei (einschließlich Pfad)
Dateigröße
Remote-IP-Adresse und Port, mit denen während der Untersuchung eine Verbindung hergestellt wurde
Lokale IP-Adresse des Adapters
Port, der auf dem lokalen Adapter geöffnet ist
Protokoll als Zahl (gemäß IANA-Standard)
Prozessname
Prozess-Argumente
Pfad der Prozessdatei
Windows-ID (PID) des Prozesses
Windows-ID (PID) des übergeordneten Prozesses
Benutzerkonto, das den Prozess gestartet hat
Zeitpunkt (Datum und Uhrzeit), zu dem der Prozess gestartet wurde
Dienstname
Dienstbeschreibung
Pfad und Name des DLL-Dienstes (für svchost)
Pfad und Name der ausführbaren Dienstdatei
Windows-ID (PID) des Dienstes
Diensttyp (z. B. ein Kerneltreiber oder Adapter)
Dienststatus
Startmodus des Dienstes
Name des Benutzerkontos
Volume-Name
Volume-Buchstabe
Volume-Typ
Windows-Systemregistrierungswert
Registrierungstrukturwert
Registrierungsschlüsselpfad (ohne Struktur- und Wertname)
Registrierungseinstellung
System (Umgebung)
Name und Version des auf dem Computer installierten Betriebssystems
Netzwerkname des geschützten Computers
Domäne oder Gruppe, zu welcher der geschützte Computer gehört
Browsername
Browserversion
Zeitpunkt des letzten Zugriffs auf die Webressource
URL aus der HTTP-Anforderung
Name des Benutzerkontos, das für die HTTP-Anforderung verwendet wurde
Dateiname des Prozesses, der die HTTP-Anforderung gestellt hat
Vollständiger Pfad der Datei des Prozesses, der die HTTP-Anforderung gestellt hat
Windows-ID (PID) des Prozesses, der die HTTP-Anforderung gestellt hat
HTTP-Referenz (Quell-URL der HTTP-Anforderung)
URI der über HTTP angeforderten Ressource
Informationen über den HTTP-Benutzeragenten (die Anwendung, die die HTTP-Anforderung gestellt hat)
Ausführungszeit der HTTP-Anforderung
Eindeutige ID des Prozesses, der die HTTP-Anforderung gestellt hat