Kaspersky Sandbox
Все данные, которые приложение хранит локально на компьютере, будут удалены с компьютера при удалении Kaspersky Endpoint Security.
Служебные данные
Kaspersky Endpoint Security хранит следующие данные, обрабатываемые при автоматическом реагировании:
- Обрабатываемые файлы и данные, передаваемые пользователем в ходе настройки параметров встроенного агента Kaspersky Endpoint Security:
- Файлы на карантине.
- Открытый ключ сертификата для интеграции с Kaspersky Sandbox.
- Кеш встроенного агента Kaspersky Endpoint Security:
- Время записи результата проверки в кеш.
- MD5-хеш задачи проверки.
- Идентификатор задачи проверки.
- Результат проверки объекта.
- Очередь запросов на проверку объекта:
- Идентификатор объекта в очереди.
- Время помещения объекта в очередь.
- Статус обработки объекта в очереди.
- Идентификатор пользовательской сессии в операционной системе, в которой создана задача на проверку объекта.
- Системный идентификатор (SID) пользователя операционной системы, под учетной записью которого создана задача.
- MD5-хеш задачи проверки объекта.
- Информация о задачах, для которых встроенный агент Kaspersky Endpoint Security ожидает результат проверки от Kaspersky Sandbox:
- Время получения задачи на проверку объекта.
- Статус обработки объекта.
- Идентификатор пользовательской сессии в операционной системе, в которой создана задача на проверку объекта.
- Идентификатор задачи на проверку объекта.
- MD5-хеш задачи проверки объекта.
- Системный идентификатор (SID) пользователя операционной системы, под учетной записью которого создана задача.
- XML-схема автоматически созданного IOC.
- MD5 и SHA256-хеши проверяемого объекта.
- Ошибки обработки.
- Имена объектов, для которых создана задача.
- Результат проверки объекта.
Данные из запросов к Kaspersky Sandbox
Следующие данные из запросов от встроенного агента Kaspersky Endpoint Security к Kaspersky Sandbox хранятся локально на компьютере:
- MD5-хеш задачи проверки.
- Идентификатор задачи проверки.
- Проверяемый объект и все связанные с ним файлы.
Данные о результатах выполнения задачи Поиск IOC (автономная задача)
Kaspersky Endpoint Security автоматически передает данные о результатах выполнения задач Поиск IOC в Kaspersky Security Center.
Данные в результатах выполнения задач Поиск IOC могут содержать следующую информацию:
- IP-адрес из ARP-таблицы.
- Физический адрес из ARP-таблицы.
- Тип и имя записи DNS.
- IP-адрес защищаемого компьютера.
- Физический адрес (MAC) защищаемого компьютера.
- Идентификатор записи в журнале событий.
- Имя источника данных в журнале.
- Имя журнала.
- Время события.
- MD5 и SHA256-хеши файла.
- Полное имя файла (включая путь).
- Размер файла.
- Удаленные IP-адрес и порт, с которыми было установлено соединение в момент проверки.
- IP-адрес локального адаптера.
- Порт, открытый на локальном адаптере.
- Протокол в виде числа (в соответствии со стандартом IANA).
- Имя процесса.
- Аргументы процесса.
- Путь к файлу процесса.
- Windows идентификатор процесса (PID).
- Windows идентификатор родительского процесса (PID).
- Имя учетной записи пользователя, запустившего процесс.
- Дата и время запуска процесса.
- Имя службы.
- Описание службы.
- Путь и имя DLL-службы (для svchost).
- Путь и имя исполняемого файла службы.
- Windows идентификатор службы (PID).
- Тип службы (например, драйвер ядра или адаптер).
- Статус службы.
- Режим запуска службы.
- Имя учетной записи пользователя.
- Наименование тома.
- Буква тома.
- Тип тома.
- Значение реестра Windows.
- Значение куста реестра.
- Путь к ключу реестра (без куста и без имени значения).
- Параметр реестра.
- Система (окружение).
- Имя и версия операционной системы, установленной на компьютере.
- Сетевое имя защищаемого компьютера.
- Домен или группа, к которому принадлежит защищаемый компьютер.
- Имя браузера.
- Версия браузера.
- Время последнего обращения к веб-ресурсу.
- URL из HTTP-запроса.
- Имя учетной записи, под которой выполнен HTTP-запрос.
- Имя файла процесса, выполнившего HTTP-запрос.
- Полный путь к файлу процесса, выполнившего HTTP-запрос.
- Windows идентификатор (PID) процесса, выполнившего HTTP-запрос.
- HTTP referer (URL источника HTTP-запроса).
- URI ресурса, запрошенного по протоколу HTTP.
- Информация о HTTP агенте пользователя (приложении, выполнившем HTTP-запрос).
- Время выполнения HTTP-запроса.
- Уникальный идентификатор процесса, выполнившего HTTP-запрос.
В начало