Kaspersky Sandbox

若 Kaspersky Endpoint Security 被解除安裝，則應用程式本機儲存在電腦上的所有資料將被從電腦中刪除。

服務資料

Kaspersky Endpoint Security 儲存自動響應期間處理的以下資料：

• 在配置 Kaspersky Endpoint Security 的內建代理期間由使用者輸入的被處理檔案和資料：
  • 已隔離的檔案
  • 用於與 Kaspersky Sandbox 整合的憑證的公開金鑰
• Kaspersky Endpoint Security 內建代理的快取：
  • 掃描結果寫入快取的時間
  • 掃描工作的 MD5 雜湊
  • 掃描工作識別碼
  • 物件的掃描結果
• 物件掃描請求佇列：
  • 佇列中物件的 ID
  • 物件放入佇列的時間
  • 佇列中物件的處理狀態
  • 使用者工作階段在建立物件掃描工作的作業係統中的 ID
  • 其帳戶被用於建立工作的作業係統使用者的系統識別碼 (SID)
  • 物件掃描工作的 MD5 雜湊
• 有關 Kaspersky Endpoint Security 內建代理正在等待來自 Kaspersky Sandbox 的掃描結果的工作的資訊：
  • 收到物件掃描工作的時間
  • 物件處理狀態
  • 使用者工作階段在建立物件掃描工作的作業係統中的 ID
  • 物件掃描工作的識別碼
  • 物件掃描工作的 MD5 雜湊
  • 其帳戶被用於建立工作的作業係統使用者的系統識別碼 (SID)
  • 自動建立的 IOC 的 XML 架構
  • 被掃描物件的 MD5 或 SHA256 雜湊
  • 處理錯誤
  • 為其建立工作的物件的名稱
  • 物件的掃描結果

Kaspersky Sandbox 請求中的資料

來自 Kaspersky Endpoint Security 內置代理對 Kaspersky Sandbox 的請求的以下資料儲存在本機電腦上：

• 掃描工作的 MD5 雜湊
• 掃描工作識別碼
• 被掃描物件和所有相關檔案

由於 IOC 掃描 工作執行（獨立工作）收到的資料

Kaspersky Endpoint Security 會自動提交 IOC 掃描 工作執行結果的資料到卡巴斯基安全管理中心。

IOC 掃描工作執行結果中的資料可能包含以下資訊：

• 來自 ARP 表的 IP 位址
• 來自 ARP 表的實體地址
• DNS 記錄類型和名稱
• 受防護電腦的 IP 位址
• 受防護電腦的實體地址（MAC 位址）
• 事件日誌項目中的識別碼
• 記錄中的資料來源名稱
• 記錄名稱
• 事件時間
• 檔案的 MD5 和 SHA256 雜湊
• 檔案的完整名稱（包括路徑）
• 檔案大小
• 掃描期間建立連線的遠端 IP 位址和連接埠
• 本機介面卡 IP 位址
• 本機介面卡上開啟的連接埠
• 數字形式的通訊協定（符合 IANA 標準）
• 處理程序名稱
• 處理程序引數
• 處理程序檔案的路徑
• 處理程序的 Windows 識別碼 (PID)
• 父處理程序的 Windows 識別碼 (PID)
• 啟動處理程序的使用者帳戶
• 處理程序開始的日期和時間
• 服務名稱
• 服務說明
• DLL 服務的路徑和名稱（對於 svchost）
• 服務可執行檔的路徑和名稱
• 服務的 Windows 識別碼 (PID)
• 服務類型（例如，內核驅動程式或介面卡）
• 服務狀態
• 服務啟動模式
• 使用者帳戶名稱
• 磁碟區名稱
• 磁碟區字母
• 磁碟區類型
• Windows 登錄值
• 登錄區值
• 登錄機碼路徑（沒有登錄區和值名稱）
• 登錄設定
• 系統（環境）
• 電腦上安裝的作業係統的名稱和版本
• 受防護電腦的網路名稱
• 受防護電腦所屬的網域或群組
• 瀏覽器名稱
• 瀏覽器版本
• 上次存取 Web 資源的時間
• 來自 HTTP 請求的 URL
• 用於 HTTP 請求的帳戶名稱
• 發出 HTTP 請求的處理程序的檔案名稱
• 發出 HTTP 請求的處理程序的檔案的完整路徑
• 發出 HTTP 請求的處理程序的 Windows 識別碼 (PID)
• HTTP 推薦者（HTTP 請求來源 URL）
• 透過 HTTP 請求的資源的 URI
• 有關 HTTP 使用者代理（發出 HTTP 請求的應用程式）的資訊
• HTTP 請求執行時間
• 發出 HTTP 請求的處理程序的唯一識別碼

頁面頂部