Kaspersky Endpoint Detection and Response

Při odinstalaci aplikace Kaspersky Endpoint Security jsou z počítače odstraněna všechna data, která aplikace ukládá lokálně v počítači.

Data přijatá jako výsledek provedení úlohy Kontrola IOC (standardní úloha)

Aplikace Kaspersky Endpoint Security automaticky odesílá data o výsledcích provedení úlohy Kontrola IOC do aplikace Kaspersky Security Center.

Data o výsledcích provádění úlohy Kontrola IOC mohou obsahovat následující informace:

• IP adresa z tabulky ARP
• Fyzická adresa z tabulky ARP
• Typ a název DNS záznamu
• IP adresa chráněného počítače
• Fyzická adresa (MAC adresa) chráněného počítače
• Identifikátor v položce protokolu událostí
• Název zdroje dat v protokolu
• Název protokolu
• Čas události
• Hodnoty hash MD5 a SHA256 souboru
• Celý název souboru (včetně cesty)
• Velikost souboru
• Vzdálená IP adresa a port, ke kterým bylo navázáno spojení během kontroly
• IP adresa místního adaptéru
• Otevřený port na místním adaptéru
• Protokol jako číslo (v souladu se standardem IANA)
• Název procesu
• Argumenty procesu
• Cesta k souboru procesu
• Identifikátor procesu v systému Windows (PID)
• Identifikátor nadřazeného procesu v systému Windows (PID)
• Uživatelský účet, který spustil proces
• Datum a čas, kdy byl proces zahájen
• Název zařízení
• Popis služby
• Cesta a název služby DLL (pro svchost)
• Cesta a název spustitelného souboru služby
• Identifikátor služby v systému Windows (PID)
• Typ služby (například ovladač jádra nebo adaptér)
• Stav služby
• Režim spuštění služby
• Název uživatelského účtu
• Název svazku
• Písmeno svazku
• Typ svazku
• Hodnota registru systému Windows
• Hodnota podregistru registru
• Cesta klíče registru (bez podregistru a názvu hodnoty)
• Nastavení registru
• Systém (prostředí)
• Název a verze operačního systému nainstalovaného v počítači
• Název sítě chráněného počítače
• Doména nebo skupina, do které chráněný počítač patří
• Název prohlížeče
• Verze prohlížeče
• Čas, kdy byl webový zdroj naposledy otevřen
• URL z požadavku HTTP
• Název účtu použitého pro požadavek HTTP
• Název souboru procesu, který provedl požadavek HTTP
• Úplná cesta k souboru procesu, který provedl požadavek HTTP
• Identifikátor procesu v systému Windows (PID), který provedl požadavek HTTP
• HTTP odkazujícího serveru (URL zdroje požadavku HTTP)
• URI zdroje požadovaného přes HTTP
• Informace o uživatelském agentovi HTTP (aplikace, která provedla požadavek HTTP)
• Doba provedení požadavku HTTP
• Jedinečný identifikátor procesu, který provedl požadavek HTTP

Data pro vytvoření řetězce vývoje hrozeb

Data pro vytvoření řetězce vývoje hrozeb se ve výchozím nastavení ukládají po dobu sedmi dnů. Data jsou automaticky odeslána do aplikace Kaspersky Security Center.

Data pro vytvoření řetězce vývoje hrozeb mohou obsahovat následující informace:

• Datum a čas události
• Název detekce
• Režim kontroly
• Stav poslední akce související s detekcí
• Důvod, proč se zpracování detekce nezdařilo
• Zjištěný typ objektu
• Zjištěný název objektu
• Stav ohrožení po zpracování objektu
• Důvod, proč se nezdařilo provádění akcí na objektu
• Akce provedené za účelem vrácení škodlivých akcí
• Informace o zpracovávaném objektu:
  • Jedinečný identifikátor procesu
  • Jedinečný identifikátor nadřazeného procesu
  • Jedinečný identifikátor souboru procesu
  • Identifikátor procesu v systému Windows (PID)
  • Příkazový řádek procesu
  • Uživatelský účet, který spustil proces
  • Kód přihlašovací relace, ve které proces běží
  • Typ relace, ve které proces běží
  • Úroveň integrity zpracovávaného procesu
  • Členství uživatelského účtu, který spustil proces, v místních skupinách a skupinách domény s oprávněním
  • Identifikátor zpracovávaného objektu
  • Celý název zpracovávaného objektu
  • Identifikátor chráněného zařízení
  • Celý název objektu (místní název souboru nebo webová adresa staženého souboru)
  • Hodnota hash MD5 nebo SHA256 zpracovávaného objektu
  • Typ zpracovávaného objektu
  • Datum vytvoření zpracovávaného objektu
  • Datum, kdy byl zpracovávaný objekt naposledy upraven
  • Velikost zpracovávaného objektu
  • Atributy zpracovávaného objektu
  • Organizace, která podepsala zpracovávaný objekt
  • Výsledek ověření digitálního certifikátu zpracovávaného objektu
  • Bezpečnostní identifikátor (SID) zpracovávaného objektu
  • Identifikátor časové zóny zpracovávaného objektu
  • Webová adresa stahování zpracovávaného objektu (pouze pro soubory na disku)
  • Název aplikace, která soubor stáhla
  • Hodnoty hash MD5 a SHA256 aplikace, která soubor stáhla
  • Název aplikace, která naposledy soubor upravila
  • Hodnoty hash MD5 a SHA256 aplikace, která naposledy soubor upravila
  • Počet spuštění zpracovávaného objektu
  • Datum a čas, kdy byl zpracovávaný objekt poprvé spuštěn
  • Jedinečné identifikátory souboru
  • Celý název souboru (místní název souboru nebo webová adresa staženého souboru)
  • Cesta ke zpracovávané proměnné registru Windows
  • Název zpracovávané proměnné registru Windows
  • Hodnota zpracovávané proměnné registru Windows
  • Typ zpracovávané proměnné registru Windows
  • Indikátor členství zpracovávaného klíče registru v bodě automatického spuštění
  • Webová adresa zpracovávaného webového požadavku
  • Zdroj odkazu zpracovávaného webového požadavku
  • Uživatelský agent zpracovávaného webového požadavku
  • Typ zpracovávaného webového požadavku (GET nebo POST)
  • Místní IP port zpracovávaného webového požadavku
  • Vzdálený IP port zpracovávaného webového požadavku
  • Směr připojení (příchozí nebo odchozí) zpracovávaného webového požadavku
  • Identifikátor procesu, do kterého byl škodlivý kód vložen