Kaspersky Endpoint Detection and Response

Все данные, которые приложение хранит локально на компьютере, будут удалены с компьютера при удалении Kaspersky Endpoint Security.

Данные о результатах выполнения задачи Поиск IOC (стандартная задача)

Kaspersky Endpoint Security автоматически передает данные о результатах выполнения задач Поиск IOC в Kaspersky Security Center.

Данные в результатах выполнения задач Поиск IOC могут содержать следующую информацию:

• IP-адрес из ARP-таблицы.
• Физический адрес из ARP-таблицы.
• Тип и имя записи DNS.
• IP-адрес защищаемого компьютера.
• Физический адрес (MAC) защищаемого компьютера.
• Идентификатор записи в журнале событий.
• Имя источника данных в журнале.
• Имя журнала.
• Время события.
• MD5 и SHA256-хеши файла.
• Полное имя файла (включая путь).
• Размер файла.
• Удаленные IP-адрес и порт, с которыми было установлено соединение в момент проверки.
• IP-адрес локального адаптера.
• Порт, открытый на локальном адаптере.
• Протокол в виде числа (в соответствии со стандартом IANA).
• Имя процесса.
• Аргументы процесса.
• Путь к файлу процесса.
• Windows идентификатор процесса (PID).
• Windows идентификатор родительского процесса (PID).
• Имя учетной записи пользователя, запустившего процесс.
• Дата и время запуска процесса.
• Имя службы.
• Описание службы.
• Путь и имя DLL-службы (для svchost).
• Путь и имя исполняемого файла службы.
• Windows идентификатор службы (PID).
• Тип службы (например, драйвер ядра или адаптер).
• Статус службы.
• Режим запуска службы.
• Имя учетной записи пользователя.
• Наименование тома.
• Буква тома.
• Тип тома.
• Значение реестра Windows.
• Значение куста реестра.
• Путь к ключу реестра (без куста и без имени значения).
• Параметр реестра.
• Система (окружение).
• Имя и версия операционной системы, установленной на компьютере.
• Сетевое имя защищаемого компьютера.
• Домен или группа, к которому принадлежит защищаемый компьютер.
• Имя браузера.
• Версия браузера.
• Время последнего обращения к веб-ресурсу.
• URL из HTTP-запроса.
• Имя учетной записи, под которой выполнен HTTP-запрос.
• Имя файла процесса, выполнившего HTTP-запрос.
• Полный путь к файлу процесса, выполнившего HTTP-запрос.
• Windows идентификатор (PID) процесса, выполнившего HTTP-запрос.
• HTTP referer (URL источника HTTP-запроса).
• URI ресурса, запрошенного по протоколу HTTP.
• Информация о HTTP агенте пользователя (приложении, выполнившем HTTP-запрос).
• Время выполнения HTTP-запроса.
• Уникальный идентификатор процесса, выполнившего HTTP-запрос.

Данные для построения цепочки развития угрозы

Данные для построения цепочки развития угрозы по умолчанию хранятся семь дней. Эти данные автоматически передаются в Kaspersky Security Center.

Данные для построения цепочки развития угрозы могут содержать следующую информацию:

• Дата и время инцидента.
• Имя обнаружения.
• Режим проверки.
• Статус последнего действия, связанного с обнаружением.
• Причина неудачной обработки обнаружения.
• Тип обнаруженного объекта.
• Имя обнаруженного объекта.
• Статус угрозы после обработки объекта.
• Причина неудачного выполнения действий над объектом.
• Действия, выполняемые для отката вредоносных действий.
• Об обрабатываемом объекте:
  • Уникальный идентификатор процесса.
  • Уникальный идентификатор родительского процесса.
  • Уникальный идентификатор файла процесса.
  • Идентификатор процесса Windows (PID).
  • Командная строка процесса.
  • Имя учетной записи пользователя, запустившего процесс.
  • Код сеанса входа в систему, в котором запущен процесс.
  • Тип сеанса, в котором запущен процесс.
  • Уровень целостности обрабатываемого процесса.
  • Принадлежность учетной записи пользователя, запустившего процесс, к привилегированным локальным и доменным группам.
  • Идентификатор обрабатываемого объекта.
  • Полное имя обрабатываемого объекта.
  • Идентификатор защищаемого устройства.
  • Полное имя объекта (имя локального файла или веб-адрес загружаемого файла).
  • MD5 и SHA256-хеши обрабатываемого объекта.
  • Тип обрабатываемого объекта.
  • Дата создания обрабатываемого объекта.
  • Дата последнего изменения обрабатываемого объекта.
  • Размер обрабатываемого объекта.
  • Атрибуты обрабатываемого объекта.
  • Организация, подписавшая обрабатываемый объект.
  • Результат проверки цифрового сертификата обрабатываемого объекта.
  • Идентификатор безопасности (SID) обрабатываемого объекта.
  • Идентификатор часового пояса обрабатываемого объекта.
  • Веб-адрес загрузки обрабатываемого объекта (только для файла на диске).
  • Название приложения, загрузившего файл.
  • MD5 и SHA256-хеши приложения, загрузившего файл.
  • Название приложения, последний раз изменившего файл.
  • MD5 и SHA256-хеши приложения, последний раз изменившего файл.
  • Количество запусков обрабатываемого объекта.
  • Дата и время первого запуска обрабатываемого объекта.
  • Уникальный идентификатор файла.
  • Полное имя файла (имя локального файла или веб-адрес загружаемого файла).
  • Путь к обрабатываемой переменной реестра Windows.
  • Имя обрабатываемой переменной реестра Windows.
  • Значение обрабатываемой переменной реестра Windows.
  • Тип обрабатываемой переменной реестра Windows.
  • Показатель принадлежности обрабатываемого ключа реестра к точке автозапуска.
  • Веб-адрес обрабатываемого веб-запроса.
  • Источник ссылок обрабатываемого веб-запроса.
  • Агент пользователя обрабатываемого веб-запроса.
  • Тип обрабатываемого веб-запроса (GET или POST).
  • Локальный IP-порт для обрабатываемого веб-запроса.
  • Удаленный IP-порт для обрабатываемого веб-запроса.
  • Направление соединения (входящее или исходящее) обрабатываемого веб-запроса.
  • Идентификатор процесса, в который произошло внедрение вредоносного кода.

В начало