Kaspersky Sandbox

Alle gegevens die het programma lokaal op de computer opslaat, worden van de computer verwijderd wanneer Kaspersky Endpoint Security wordt verwijderd.

Service gegevens

Kaspersky Endpoint Security slaat de volgende gegevens op die worden verwerkt tijdens de automatische reactie:

• Verwerkte bestanden en gegevens die door de gebruiker zijn ingevoerd tijdens de configuratie van de ingebouwde agent van Kaspersky Endpoint Security:
  • In quarantaine geplaatste bestanden
  • Openbare sleutel van het certificaat dat wordt gebruikt voor integratie met Kaspersky Sandbox
• Cache van de ingebouwde agent van Kaspersky Endpoint Security:
  • Tijdstip waarop de scanresultaten naar de cache zijn geschreven
  • MD5-hash van de scantaak
  • Scantaak-ID
  • Scanresultaat voor het object
• Wachtrij van objectscanverzoeken:
  • ID van het object in de wachtrij
  • Tijdstip waarop het object in de wachtrij is geplaatst
  • Verwerkingsstatus van het object in de wachtrij
  • ID van de gebruikerssessie in het besturingssysteem waarin de objectscantaak is gemaakt
  • Systeem-ID (SID) van de gebruiker van het besturingssysteem wiens account is gebruikt om de taak te maken
  • MD5-hash van de objectscantaak
• Informatie over de taken waarvoor de ingebouwde agent van Kaspersky Endpoint Security wacht op scanresultaten van Kaspersky Sandbox:
  • Tijdstip waarop de objectscantaak is ontvangen
  • Objectverwerkings status
  • ID van de gebruikerssessie in het besturingssysteem waarin de objectscantaak is gemaakt
  • Identificatie van de objectscantaak
  • MD5-hash van de objectscantaak
  • Systeem-ID (SID) van de gebruiker van het besturingssysteem wiens account is gebruikt om de taak te maken
  • XML-schema van het automatisch aangemaakte IOC
  • MD5- of SHA256-hash van het gescande object
  • Verwerkingsfouten
  • Namen van de objecten waarvoor de taak is aangemaakt
  • Scanresultaat voor het object

Gegevens in verzoeken aan Kaspersky Sandbox

De volgende gegevens van verzoeken van de ingebouwde agent van Kaspersky Endpoint Security aan Kaspersky Sandbox worden lokaal op de computer opgeslagen:

• MD5-hash van de scantaak
• Scantaak-ID
• Gescand object en alle gerelateerde bestanden

Gegevens ontvangen als gevolg van IOC-scan taakuitvoering (op zichzelf staande taak)

Kaspersky Endpoint Security verzendt automatisch gegevens op de IOC-scan taakuitvoeringsresultaten naar Kaspersky Security Center.

De gegevens in de uitvoeringsresultaten van de IOC-scan-taak kunnen de volgende informatie bevatten:

• IP-adres uit de ARP-tabel
• Fysiek adres uit de ARP-tabel
• DNS-recordtype en -naam
• IP-adres van de beveiligde computer
• Fysiek adres (MAC-adres) van de beveiligde computer
• Identificatie in het gebeurtenislogboek
• Naam gegevensbron in het logboek
• Lognaam
• Het tijdstip van de gebeurtenis
• MD5- en SHA256-hashes van het bestand
• Volledige naam van het bestand (inclusief pad)
• Bestandsgrootte
• Extern IP-adres en poort waarmee tijdens het scannen verbinding is gemaakt
• IP-adres lokale adapter
• Poort open op de lokale adapter
• Protocol als nummer (volgens de IANA-standaard)
• De naam van het proces
• Argumenten verwerken
• Pad naar het procesbestand
• Windows-identificatie (PID) van het proces
• Windows-identificatie (PID) van het bovenliggende proces
• Gebruikersaccount waarmee het proces is gestart
• Datum en tijd waarop het proces is gestart
• Service naam
• Dienstbeschrijving
• Pad en naam van de DLL-service (voor svchost)
• Pad en naam van het uitvoerbare servicebestand
• Windows-ID (PID) van de service
• Servicetype (bijvoorbeeld een kernelstuurprogramma of adapter)
• Service status
• Servicestartmodus
• Gegevens van gebruikersaccount
• Volumenaam
• Volume brief
• Volumetype
• Windows-registerbestanden
• Registercomponentwaarde
• Pad naar registersleutel (zonder component en waardenaam)
• Register instelling
• Systeem (omgeving)
• Naam en versie van het besturingssysteem dat op de computer is geïnstalleerd
• Netwerknaam van de beveiligde computer
• Domein of groep waartoe de beveiligde computer behoort
• Browsernaam
• Versie van de browser
• Tijdstip waarop de webresource voor het laatst is geopend
• URL van het HTTP-verzoek
• Naam van het account dat wordt gebruikt voor het HTTP-verzoek
• Bestandsnaam van het proces dat het HTTP-verzoek heeft gedaan
• Volledig pad naar het bestand van het proces dat het HTTP-verzoek heeft gedaan
• Windows-identificatie (PID) van het proces dat het HTTP-verzoek heeft gedaan
• HTTP-verwijzer (HTTP-verzoek bron-URL)
• URI van de resource aangevraagd via HTTP
• Informatie over de HTTP-user-agent (de applicatie die het HTTP-verzoek heeft gedaan)
• Uitvoeringstijd van HTTP-verzoek
• Unieke identificatie van het proces dat het HTTP-verzoek heeft gedaan

Naar boven