Kaspersky Sandbox

Все данные, которые приложение хранит локально на компьютере, будут удалены с компьютера при удалении Kaspersky Endpoint Security.

Служебные данные

Kaspersky Endpoint Security хранит следующие данные, обрабатываемые при автоматическом реагировании:

• Обрабатываемые файлы и данные, передаваемые пользователем в ходе настройки параметров встроенного агента Kaspersky Endpoint Security:
  • Файлы на карантине.
  • Открытый ключ сертификата для интеграции с Kaspersky Sandbox.
• Кеш встроенного агента Kaspersky Endpoint Security:
  • Время записи результата проверки в кеш.
  • MD5-хеш задачи проверки.
  • Идентификатор задачи проверки.
  • Результат проверки объекта.
• Очередь запросов на проверку объекта:
  • Идентификатор объекта в очереди.
  • Время помещения объекта в очередь.
  • Статус обработки объекта в очереди.
  • Идентификатор пользовательской сессии в операционной системе, в которой создана задача на проверку объекта.
  • Системный идентификатор (SID) пользователя операционной системы, под учетной записью которого создана задача.
  • MD5-хеш задачи проверки объекта.
• Информация о задачах, для которых встроенный агент Kaspersky Endpoint Security ожидает результат проверки от Kaspersky Sandbox:
  • Время получения задачи на проверку объекта.
  • Статус обработки объекта.
  • Идентификатор пользовательской сессии в операционной системе, в которой создана задача на проверку объекта.
  • Идентификатор задачи на проверку объекта.
  • MD5-хеш задачи проверки объекта.
  • Системный идентификатор (SID) пользователя операционной системы, под учетной записью которого создана задача.
  • XML-схема автоматически созданного IOC.
  • MD5 и SHA256-хеши проверяемого объекта.
  • Ошибки обработки.
  • Имена объектов, для которых создана задача.
  • Результат проверки объекта.

Данные из запросов к Kaspersky Sandbox

Следующие данные из запросов от встроенного агента Kaspersky Endpoint Security к Kaspersky Sandbox хранятся локально на компьютере:

• MD5-хеш задачи проверки.
• Идентификатор задачи проверки.
• Проверяемый объект и все связанные с ним файлы.

Данные о результатах выполнения задачи Поиск IOC (автономная задача)

Kaspersky Endpoint Security автоматически передает данные о результатах выполнения задач Поиск IOC в Kaspersky Security Center.

Данные в результатах выполнения задач Поиск IOC могут содержать следующую информацию:

• IP-адрес из ARP-таблицы.
• Физический адрес из ARP-таблицы.
• Тип и имя записи DNS.
• IP-адрес защищаемого компьютера.
• Физический адрес (MAC) защищаемого компьютера.
• Идентификатор записи в журнале событий.
• Имя источника данных в журнале.
• Имя журнала.
• Время события.
• MD5 и SHA256-хеши файла.
• Полное имя файла (включая путь).
• Размер файла.
• Удаленные IP-адрес и порт, с которыми было установлено соединение в момент проверки.
• IP-адрес локального адаптера.
• Порт, открытый на локальном адаптере.
• Протокол в виде числа (в соответствии со стандартом IANA).
• Имя процесса.
• Аргументы процесса.
• Путь к файлу процесса.
• Windows идентификатор процесса (PID).
• Windows идентификатор родительского процесса (PID).
• Имя учетной записи пользователя, запустившего процесс.
• Дата и время запуска процесса.
• Имя службы.
• Описание службы.
• Путь и имя DLL-службы (для svchost).
• Путь и имя исполняемого файла службы.
• Windows идентификатор службы (PID).
• Тип службы (например, драйвер ядра или адаптер).
• Статус службы.
• Режим запуска службы.
• Имя учетной записи пользователя.
• Наименование тома.
• Буква тома.
• Тип тома.
• Значение реестра Windows.
• Значение куста реестра.
• Путь к ключу реестра (без куста и без имени значения).
• Параметр реестра.
• Система (окружение).
• Имя и версия операционной системы, установленной на компьютере.
• Сетевое имя защищаемого компьютера.
• Домен или группа, к которому принадлежит защищаемый компьютер.
• Имя браузера.
• Версия браузера.
• Время последнего обращения к веб-ресурсу.
• URL из HTTP-запроса.
• Имя учетной записи, под которой выполнен HTTP-запрос.
• Имя файла процесса, выполнившего HTTP-запрос.
• Полный путь к файлу процесса, выполнившего HTTP-запрос.
• Windows идентификатор (PID) процесса, выполнившего HTTP-запрос.
• HTTP referer (URL источника HTTP-запроса).
• URI ресурса, запрошенного по протоколу HTTP.
• Информация о HTTP агенте пользователя (приложении, выполнившем HTTP-запрос).
• Время выполнения HTTP-запроса.
• Уникальный идентификатор процесса, выполнившего HTTP-запрос.

В начало