Kaspersky Endpoint Detection and Response
Все данные, которые приложение хранит локально на компьютере, будут удалены с компьютера при удалении Kaspersky Endpoint Security.
Данные о результатах выполнения задачи Поиск IOC (стандартная задача)
Kaspersky Endpoint Security автоматически передает данные о результатах выполнения задач Поиск IOC в Kaspersky Security Center.
Данные в результатах выполнения задач Поиск IOC могут содержать следующую информацию:
- IP-адрес из ARP-таблицы.
- Физический адрес из ARP-таблицы.
- Тип и имя записи DNS.
- IP-адрес защищаемого компьютера.
- Физический адрес (MAC) защищаемого компьютера.
- Идентификатор записи в журнале событий.
- Имя источника данных в журнале.
- Имя журнала.
- Время события.
- MD5 и SHA256-хеши файла.
- Полное имя файла (включая путь).
- Размер файла.
- Удаленные IP-адрес и порт, с которыми было установлено соединение в момент проверки.
- IP-адрес локального адаптера.
- Порт, открытый на локальном адаптере.
- Протокол в виде числа (в соответствии со стандартом IANA).
- Имя процесса.
- Аргументы процесса.
- Путь к файлу процесса.
- Windows идентификатор процесса (PID).
- Windows идентификатор родительского процесса (PID).
- Имя учетной записи пользователя, запустившего процесс.
- Дата и время запуска процесса.
- Имя службы.
- Описание службы.
- Путь и имя DLL-службы (для svchost).
- Путь и имя исполняемого файла службы.
- Windows идентификатор службы (PID).
- Тип службы (например, драйвер ядра или адаптер).
- Статус службы.
- Режим запуска службы.
- Имя учетной записи пользователя.
- Наименование тома.
- Буква тома.
- Тип тома.
- Значение реестра Windows.
- Значение куста реестра.
- Путь к ключу реестра (без куста и без имени значения).
- Параметр реестра.
- Система (окружение).
- Имя и версия операционной системы, установленной на компьютере.
- Сетевое имя защищаемого компьютера.
- Домен или группа, к которому принадлежит защищаемый компьютер.
- Имя браузера.
- Версия браузера.
- Время последнего обращения к веб-ресурсу.
- URL из HTTP-запроса.
- Имя учетной записи, под которой выполнен HTTP-запрос.
- Имя файла процесса, выполнившего HTTP-запрос.
- Полный путь к файлу процесса, выполнившего HTTP-запрос.
- Windows идентификатор (PID) процесса, выполнившего HTTP-запрос.
- HTTP referer (URL источника HTTP-запроса).
- URI ресурса, запрошенного по протоколу HTTP.
- Информация о HTTP агенте пользователя (приложении, выполнившем HTTP-запрос).
- Время выполнения HTTP-запроса.
- Уникальный идентификатор процесса, выполнившего HTTP-запрос.
Данные для построения цепочки развития угрозы
Данные для построения цепочки развития угрозы по умолчанию хранятся семь дней. Эти данные автоматически передаются в Kaspersky Security Center.
Данные для построения цепочки развития угрозы могут содержать следующую информацию:
- Дата и время инцидента.
- Имя обнаружения.
- Режим проверки.
- Статус последнего действия, связанного с обнаружением.
- Причина неудачной обработки обнаружения.
- Тип обнаруженного объекта.
- Имя обнаруженного объекта.
- Статус угрозы после обработки объекта.
- Причина неудачного выполнения действий над объектом.
- Действия, выполняемые для отката вредоносных действий.
- Об обрабатываемом объекте:
- Уникальный идентификатор процесса.
- Уникальный идентификатор родительского процесса.
- Уникальный идентификатор файла процесса.
- Идентификатор процесса Windows (PID).
- Командная строка процесса.
- Имя учетной записи пользователя, запустившего процесс.
- Код сеанса входа в систему, в котором запущен процесс.
- Тип сеанса, в котором запущен процесс.
- Уровень целостности обрабатываемого процесса.
- Принадлежность учетной записи пользователя, запустившего процесс, к привилегированным локальным и доменным группам.
- Идентификатор обрабатываемого объекта.
- Полное имя обрабатываемого объекта.
- Идентификатор защищаемого устройства.
- Полное имя объекта (имя локального файла или веб-адрес загружаемого файла).
- MD5 и SHA256-хеши обрабатываемого объекта.
- Тип обрабатываемого объекта.
- Дата создания обрабатываемого объекта.
- Дата последнего изменения обрабатываемого объекта.
- Размер обрабатываемого объекта.
- Атрибуты обрабатываемого объекта.
- Организация, подписавшая обрабатываемый объект.
- Результат проверки цифрового сертификата обрабатываемого объекта.
- Идентификатор безопасности (SID) обрабатываемого объекта.
- Идентификатор часового пояса обрабатываемого объекта.
- Веб-адрес загрузки обрабатываемого объекта (только для файла на диске).
- Название приложения, загрузившего файл.
- MD5 и SHA256-хеши приложения, загрузившего файл.
- Название приложения, последний раз изменившего файл.
- MD5 и SHA256-хеши приложения, последний раз изменившего файл.
- Количество запусков обрабатываемого объекта.
- Дата и время первого запуска обрабатываемого объекта.
- Уникальный идентификатор файла.
- Полное имя файла (имя локального файла или веб-адрес загружаемого файла).
- Путь к обрабатываемой переменной реестра Windows.
- Имя обрабатываемой переменной реестра Windows.
- Значение обрабатываемой переменной реестра Windows.
- Тип обрабатываемой переменной реестра Windows.
- Показатель принадлежности обрабатываемого ключа реестра к точке автозапуска.
- Веб-адрес обрабатываемого веб-запроса.
- Источник ссылок обрабатываемого веб-запроса.
- Агент пользователя обрабатываемого веб-запроса.
- Тип обрабатываемого веб-запроса (GET или POST).
- Локальный IP-порт для обрабатываемого веб-запроса.
- Удаленный IP-порт для обрабатываемого веб-запроса.
- Направление соединения (входящее или исходящее) обрабатываемого веб-запроса.
- Идентификатор процесса, в который произошло внедрение вредоносного кода.
В начало