Alle Daten, die von der App lokal auf dem Computer gespeichert werden, werden bei der Deinstallation von Kaspersky Endpoint Security vom Computer gelöscht.
Daten, die aufgrund der Ausführung der Aufgabe IOC-Untersuchung (Standardaufgabe) empfangen werden
Kaspersky Endpoint Security übermittelt automatisch Daten über die Ausführungsergebnisse der Aufgabe IOC-Untersuchung an Kaspersky Security Center.
Die Daten in den Ausführungsergebnissen der Aufgabe IOC-Untersuchung können die folgenden Informationen enthalten:
IP-Adresse aus der ARP-Tabelle
Physikalische Adresse aus der ARP-Tabelle
Typ und Name des DNS-Eintrags
IP-Adresse des geschützten Computers
Physikalische Adresse (MAC-Adresse) des geschützten Computers
ID im Ereignisprotokolleintrag
Name der Datenquelle im Protokoll
Protokollname
Ereigniszeitpunkt
MD5- und SHA256-Hashwerte der Datei
Vollständiger Name der Datei (einschließlich Pfad)
Dateigröße
Remote-IP-Adresse und Port, mit denen während der Untersuchung eine Verbindung hergestellt wurde
Lokale IP-Adresse des Adapters
Port, der auf dem lokalen Adapter geöffnet ist
Protokoll als Zahl (gemäß IANA-Standard)
Prozessname
Prozess-Argumente
Pfad der Prozessdatei
Windows-ID (PID) des Prozesses
Windows-ID (PID) des übergeordneten Prozesses
Benutzerkonto, das den Prozess gestartet hat
Zeitpunkt (Datum und Uhrzeit), zu dem der Prozess gestartet wurde
Dienstname
Dienstbeschreibung
Pfad und Name des DLL-Dienstes (für svchost)
Pfad und Name der ausführbaren Dienstdatei
Windows-ID (PID) des Dienstes
Diensttyp (z. B. ein Kerneltreiber oder Adapter)
Dienststatus
Startmodus des Dienstes
Name des Benutzerkontos
Volume-Name
Volume-Buchstabe
Volume-Typ
Windows-Systemregistrierungswert
Registrierungstrukturwert
Registrierungsschlüsselpfad (ohne Struktur- und Wertname)
Registrierungseinstellung
System (Umgebung)
Name und Version des auf dem Computer installierten Betriebssystems
Netzwerkname des geschützten Computers
Domäne oder Gruppe, zu welcher der geschützte Computer gehört
Browsername
Browserversion
Zeitpunkt des letzten Zugriffs auf die Webressource
URL aus der HTTP-Anforderung
Name des Benutzerkontos, das für die HTTP-Anforderung verwendet wurde
Dateiname des Prozesses, der die HTTP-Anforderung gestellt hat
Vollständiger Pfad der Datei des Prozesses, der die HTTP-Anforderung gestellt hat
Windows-ID (PID) des Prozesses, der die HTTP-Anforderung gestellt hat
HTTP-Referenz (Quell-URL der HTTP-Anforderung)
URI der über HTTP angeforderten Ressource
Informationen über den HTTP-Benutzeragenten (die Anwendung, die die HTTP-Anforderung gestellt hat)
Ausführungszeit der HTTP-Anforderung
Eindeutige ID des Prozesses, der die HTTP-Anforderung gestellt hat
Daten zum Erstellen einer Bedrohungsentwicklungskette
Daten zum Erstellen einer Bedrohungsentwicklungskette werden standardmäßig sieben Tage lang gespeichert. Die Daten werden automatisch an Kaspersky Security Center gesendet.
Daten zum Erstellen einer Bedrohungsentwicklungskette können die folgenden Informationen enthalten:
Datum und Uhrzeit des Vorfalls
Erkennungsname
Untersuchungsmodus
Status der letzten Aktion im Zusammenhang mit der Erkennung
Grund, aus dem die Erkennungsverarbeitung fehlgeschlagen ist
Typ des erkannten Objekts
Name des erkannten Objekts
Bedrohungsstatus, nachdem das Objekt verarbeitet wurde
Grund, aus dem die Ausführung von Aktionen für das Objekt fehlgeschlagen ist
Aktionen, die ausgeführt wurden, um schädliche Aktionen rückgängig zu machen
Informationen zum verarbeiteten Objekt:
Eindeutige ID des Prozesses
Eindeutige ID des übergeordneten Prozesses
Eindeutige ID der Prozessdatei
Windows-Prozess-ID (PID)
Prozess-Befehlszeile
Benutzerkonto, das den Prozess gestartet hat
Code der Anmeldesitzung, in der der Prozess ausgeführt wird
Typ der Sitzung, in der der Prozess ausgeführt wird
Integritätsstufe des zu verarbeitenden Prozesses
Mitgliedschaft des Benutzerkontos, das den Prozess gestartet hat, in den privilegierten lokalen und Domänengruppen
ID des verarbeiteten Objekts
Vollständiger Name des verarbeiteten Objekts
ID des geschützten Geräts
Vollständiger Name des Objekts (lokaler Dateiname oder Webadresse der heruntergeladenen Datei)
MD5- oder SHA256-Hashwerte des verarbeiteten Objekts
Typ des verarbeiteten Objekts
Erstellungsdatum des verarbeiteten Objekts
Datum der letzten Änderung des verarbeiteten Objekts
Größe des verarbeiteten Objekts
Attribute des verarbeiteten Objekts
Unternehmen, das das verarbeitete Objekt signiert hat
Ergebnis der Verifizierung des digitalen Zertifikats des verarbeiteten Objekts
Sicherheits-ID (SID) des verarbeiteten Objekts
Zeitzonen-ID des verarbeiteten Objekts
Webadresse des verarbeiteten Objekt-Downloads (nur bei Dateien auf einem Datenträger)
Name der Anwendung, die die Datei heruntergeladen hat
MD5- und SHA256-Hashwerte der Anwendung, die die Datei heruntergeladen hat
Name der Anwendung, die die Datei zuletzt geändert hat
MD5- und SHA256-Hashwerte der Anwendung, die die Datei zuletzt geändert hat
Anzahl der verarbeiteten Objektstarts
Datum und Uhrzeit des ersten Starts des verarbeiteten Objekts
Eindeutige IDs der Datei
Vollständiger Name der Datei (lokaler Dateiname oder Webadresse der heruntergeladenen Datei)
Pfad der verarbeiteten Windows-Registrierungsvariable
Name der verarbeiteten Windows-Registrierungsvariable
Wert der verarbeiteten Windows-Registrierungsvariable
Typ der verarbeiteten Windows-Registrierungsvariable
Indikator für die Mitgliedschaft des verarbeiteten Registrierungsschlüssels im AutoAusführen-Punkt
Webadresse der verarbeiteten Webanfrage
Quelle des Links der verarbeiteten Webanfrage
Benutzer-Agent der verarbeiteten Webanfrage
Art der verarbeiteten Web-Anfrage (GET oder POST)
Lokaler IP-Port der verarbeiteten Webanfrage
Remote-IP-Port der verarbeiteten Webanfrage
Verbindungsrichtung (eingehend oder ausgehend) der verarbeiteten Webanfrage
ID des Prozesses, in den der Schadcode eingebettet war