Kaspersky Sandbox

A Kaspersky Endpoint Security eltávolításakor az alkalmazás által a számítógépen helyileg tárolt összes adat törlődik a számítógépről.

Szolgáltatási adatok

A Kaspersky Endpoint Security az automatikus válaszadás során feldolgozott alábbi adatokat tárolja:

• Feldolgozott fájlok és adatok, amelyeket a felhasználó ad meg a Kaspersky Endpoint Security beépített ügynökének konfigurálása során:
  • Karanténba helyezett fájlok
  • A Kaspersky Sandbox-integrációhoz használt tanúsítvány nyilvános kulcsa
• A Kaspersky Endpoint Security beépített ügynökének gyorsítótára:
  • Annak az időpontja, amikor a vizsgálati eredmények a gyorsítótárba kerültek
  • A vizsgálati feladat MD5 hash kivonata
  • A vizsgálati feladat azonosítója
  • Az objektum vizsgálati eredménye
• Objektumvizsgálati kérések várólistája:
  • A várólistán szereplő objektum azonosítója
  • Az objektum várólistára kerülésének időpontja
  • A várólistán szereplő objektum feldolgozottsági állapota
  • Azon felhasználói munkamenet azonosítója az operációs rendszerben, amely során az objektumvizsgálati feladat létrejött
  • Az operációs rendszer azon felhasználójának rendszer-azonosítója (SID), akinek a fiókjában a feladat létrejött
  • Az objektumvizsgálati feladat MD5 hash kivonata
• Azokra a feladatokra vonatkozó információk, amelyekkel kapcsolatban a Kaspersky Endpoint Security beépített ügynöke vizsgálati eredményekre vár a Kaspersky Sandboxtól:
  • Az objektumvizsgálati feladat beérkezésének időpontja
  • Az objektum feldolgozottsági állapota
  • Azon felhasználói munkamenet azonosítója az operációs rendszerben, amely során az objektumvizsgálati feladat létrejött
  • Az objektumvizsgálati feladat azonosítója
  • Az objektumvizsgálati feladat MD5 hash kivonata
  • Az operációs rendszer azon felhasználójának rendszer-azonosítója (SID), akinek a fiókjában a feladat létrejött
  • Az automatikusan létrehozott IOC XML-sémája
  • A vizsgált objektum MD5 vagy SHA256 hash kivonata
  • Feldolgozási hibák
  • Azon objektumok neve, amelyekhez a feladatot létrehozták
  • Az objektum vizsgálati eredménye

A Kaspersky Sandboxnak küldött kérésekben szereplő adatok

A Kaspersky Endpoint Security beépített ügynöke által a Kaspersky Sandboxhoz intézett kérésekből származó következő adatok helyileg tárolódnak a számítógépen:

• A vizsgálati feladat MD5 hash kivonata
• A vizsgálati feladat azonosítója
• Vizsgált objektum és minden kapcsolódó fájl

Az IOC vizsgálat feladat végrehajtásának eredményeképpen kapott adatok (önálló feladat)

A Kaspersky Endpoint Security automatikusan elküldi az IOC vizsgálat feladat végrehajtási eredményadatait a Kaspersky Security Centernek.

Az IOC vizsgálat feladat végrehajtási eredményadatai a következő információkat tartalmazhatják:

• IP-cím az ARP-tábláról
• Fizikai cím az ARP-tábláról
• DNS-rekord típusa és neve
• A védett számítógép IP-címe
• A védett számítógép fizikai címe (MAC-címe)
• Azonosító az eseménynapló-bejegyzésben
• Adatforrás neve a naplóban
• Napló neve
• Esemény ideje
• A fájl MD5 és SHA256 hash kivonatai
• A fájl teljes neve (az elérési úttal együtt)
• Fájlméret
• A távoli IP-cím és port, amellyel kapcsolat létesült a vizsgálat során
• Helyi adapter IP-címe
• Nyitott port a helyi adapteren
• Protokoll számként (az IANA szabványnak megfelelően)
• Folyamatnév
• Folyamat argumentumai
• A folyamatfájl elérési útja
• A folyamat Windows-azonosítója (PID)
• A szülőfolyamat Windows-azonosítója (PID)
• A folyamatot elindító felhasználói fiók
• A folyamat elindításának dátuma és időpontja
• A szolgáltatás neve
• A szolgáltatás leírása
• A DLL-szolgáltatás elérési útja és neve (svchost-hoz)
• A szolgáltatás futtatható fájljának elérési útja és neve
• A szolgáltatás Windows-azonosítója (PID)
• A szolgáltatás típusa (például kernel-illesztőprogram vagy adapter)
• A szolgáltatás állapota
• A szolgáltatás indítási módja
• Felhasználói fiók neve
• Kötet neve
• Kötet betűjele
• Kötet típusa
• Windows-beállításazonosító
• Rendszerleíró adatbázis értéke
• A beállításkulcs elérési útja (struktúra és értéknév nélkül)
• Rendszerleíró adatbázis beállítása
• Rendszer (környezet)
• A számítógépre telepített operációs rendszer neve és verziója
• A védett számítógép hálózatneve
• Tartomány vagy csoport, amelyhez a védett számítógép tartozik
• Böngésző neve
• Böngésző verziója
• A webes erőforráshoz való legutóbbi hozzáférés időpontja
• URL-cím a HTTP-kérésből
• A HTTP-kéréshez használt fiók neve
• A HTTP-kérést létrehozó folyamat fájlneve
• A HTTP-kérést létrehozó folyamat fájljának teljes elérési útja
• A HTTP-kérést létrehozó folyamat Windows-azonosítója (PID)
• HTTP hivatkozója (HTTP-kérés forrás URL-je)
• A HTTP-n keresztül kért erőforrás URI-ja
• A HTTP felhasználói ügynökre (a HTTP-kérést létrehozó alkalmazásra) vonatkozó információk
• A HTTP-kérés végrehajtási ideje
• A HTTP-kérést létrehozó folyamat egyedi azonosítója

Oldal tetejére