По умолчанию формат имени архива следующий: <MD5 объекта>-csv.zip. При необходимости вы можете изменить имя архива.
Каждый архив .zip содержит файлы, описанные в таблице ниже. Если данные по определенному разделу отсутствуют, соответствующий файл в архив не включается. Первая строка во всех файлах содержит названия столбцов.
Обратите внимание, что в текущей версии Kaspersky Research Sandbox файл loaded-pe-images.csv переименован в loaded-images.csv.
Имя файла
|
Описание
|
Название столбца
|
sample-and-execution-properties.csv
|
Информация о параметрах объекта и настройках выполнения.
Файл содержит только одну запись.
|
TaskID – идентификатор (GUID) созданной задачи выполнения файла.
Created – дата и время начала выполнения файла (например, 2018-01-17T15:30:16.077Z).
Processed – дата и время завершения выполнения файла (например, 2018-01-17T15:39:02.673Z).
AvBasesVersion – дата и время обновления антивирусных баз (например, 2018-01-17T18:36:00Z).
TaskState – статус задачи выполнения файла (например, completed).
Zone – цвет уровня опасности объекта.
Status – статус выполняемого объекта (например, Malware).
ErrorCode – код ошибки (например, ProcessingFailed).
ErrorMessage – сообщение об ошибке.
OriginalFileName – первоначальное имя загруженного файла.
FileName – имя выполняемого файла.
ArchiveSampleName – путь внутри архива к анализируемому объекту, если он был загружен в архив.
FileExtension – расширение выполняемого файла (например, js).
FileType – автоматически определяемый тип выполняемого файла.
FileSize – размер выполняемого файла в байтах (например, 539136).
Md5 – MD5-хеш выполняемого объекта.
Sha1 – SHA1-хеш выполняемого объекта.
Sha256 – SHA256-хеш выполняемого объекта.
SSDeep – SSDeep-хеш выполняемого объекта.
VirtualMachineID – среда выполнения образца (например, Win7_x64).
EmulationTimeSeconds – время выполнения объекта в секундах (например, 500).
Detects – информация об обнаруженных объектах:
detectTechnology – технология, которая использовалась для обнаружения объекта.isNotAVirus – указывает, является ли обнаруженный объект вредоносным.severity – уровень опасности обнаруженного объекта.threat – название обнаруженного объекта.
screenshots – список созданных снимков экрана.
DecryptHTTPS – логический параметр. Указывает, был ли расшифрован HTTPS-трафик, сгенерированный выполняемым объектом.
PreScan – логический параметр. Указывает, был ли выполнен полный (статический и динамический) анализ объекта, включая выполнение в песочнице.
PreScanState – состояние этапа статического анализа:
CalcParam – логический параметр. Указывает, завершен ли расчет параметров.AvsScan – логический параметр. Указывает, завершена ли проверка объекта.statPars – логический параметр. Указывает, завершен ли статический анализ.
Channel – имя указанного сетевого канала, который должен использоваться объектом для доступа в интернет.
UsedChannel – имя сетевого канала, который фактически использовался объектом для доступа в интернет.
IsDataAvailable – указывает, имеются ли данные отчета для задачи.
UnpackPassword – пароль для архива.
Url – просмотренный веб-адрес.
DocPassword – пароль для защищенного документа.
CmdLine – параметры командной строки, которые использовались для выполнения объекта в песочнице.
SampleType – тип объекта (например, простой).
CalculatedParams – автоматически рассчитанные параметры выполнения:
ExecEnv – среда выполнения.ExecTime – время выполнения.
ClickLinks – логический параметр. Указывает, должно ли приложение Kaspersky Research Sandbox анализировать ссылки в документах, которые были открыты в песочнице.
ThreatScore – оценка угрозы файлов и веб-адресов, основанная на метриках и данных, полученных во время выполнения задачи.
AppsCloseTimeout – время ожидания закрытия приложения.
Userscan – статус задачи проверки YARA и Suricata для объекта и его извлеченных файлов:
Yara:Status – статус сработавшего правила YARA (matched), см. описание ниже.Filename – имя загруженного файла, содержащего правила YARA.ScanningTime – дата и время срабатывания правила YARA, указанные в формате ISO 8601:2004 (ГГГГ-ММ-ДДTчч:мм:ссZ).
Suricata:Status – статус сработавшего правила Suricata, см. описание ниже.Filename – имя загруженного файла, содержащего правила Suricata.ScanningTime – дата и время срабатывания правила Suricata.
Возможные значения параметра Status для правил YARA и Suricata:
not scanned – правила не были отправлены.created – задача проверки создана.scanning – выполняется задача проверки.matched – проверка успешно завершена, есть обнаружения.truncated – проверка Suricata успешно завершена, есть обнаружения. Некоторые результаты были удалены: осталось не более 50 000 записей, не более 25 совпадений на правило. Этот статус возвращается только для правил Suricata, результаты проверки с использованием правил YARA не фильтруются.not matched – проверка успешно завершена, обнаружений нет.syntax error – правила не проверяются регулярным выражением.processing error – произошла ошибка в процессе проверки с использованием проверенных правил. Могут быть обнаружения.
VncAccess – указывает, использовался ли для задачи доступ к VNC:
true – доступ к VNC использовался.false – доступ к VNC не использовался.
VncSampleAutostart – указывает, был ли включен автоматический запуск образца в режиме VNC.
true – автоматический запуск образца был включен.false – автоматический запуск образца был выключен.
VncStarted – дата и время запуска VNC для задачи.
VncTimeLeft – время до отключения доступа к VNC, в секундах.
VncStatus – указывает, активен ли в данный момент VNC для задачи.
true – VNC в данный момент активен.false – VNC в данный момент неактивен.
DisableClicker – указывает, был ли отключен кликер в режиме VNC.
true – кликер был отключен.false – кликер был включен.
|
detection-names.csv
|
Информация об объектах, обнаруженных при выполнении файла.
|
Zone – зона опасности, к которой относится объект (например, красная для вредоносного ПО, желтая для рекламных или других программ, оранжевая для недоверенных веб-адресов, зеленая для безопасных объектов, серая в случае, если категория не определена).
Threat – название обнаруженного объекта (например, HEUR:Exploit.Script.Blocker).
DetectTechnology – технология, которая использовалась для обнаружения объекта.
AvsScaner – объект обнаружен во время статического анализа.SBScaner – объект обнаружен в журналах песочницы.
KPSN – объект обнаружен Kaspersky Private Security Network.
|
triggered-network-rules.csv
|
Информация о правилах Suricata, сработавших при анализе трафика от выполняемого объекта.
|
Zone – зона (уровень) опасности сетевого трафика, обнаруженного правилом Suricata (например, High).
RuleName – имя правила Suricata (например, Trojan.Agent.HTTP.C&C).
|
triggered-yara-rules.csv
|
Информация о правилах YARA, которые срабатывали при анализе трафика от выполняемого файла и от файлов, которые были переданы или изменены во время выполнения.
|
RuleName – название сработавшего правила YARA.
FileType – источник файла, обнаруженный правилом YARA (Sample, Transferred, Dropped).
Zone – зона опасности файла, обнаруженного правилом YARA.
Status – уровень опасности файла, обнаруженного правилом YARA.
MD5 – MD5-хеш файла, обнаруженного правилом YARA.
Tags – теги правила YARA, разделенные запятыми.
|
triggered-custom-suricata-rules.csv
|
Информация о пользовательских правилах Suricata, которые срабатывали при анализе трафика от выполняемого файла и от файлов, которые были переданы или изменены во время выполнения.
Структура ответа содержит данные, полученные непосредственно от сканера Suricata. Более подробную информацию о структуре данных можно найти в документации Suricata.
|
timestamp – дата и время регистрации оповещения.
event_type – тип события, например alert.
flow_id – идентификатор потока.
src_ip – IP-адрес источника.
src_port – номер порта источника.
dest_ip – IP-адрес назначения.
dest_port – номер порта назначения.
proto – используемый протокол, например UDP.
app_proto – протокол уровня приложения, например TLS.
packet_info – информация о пакете:
linktype – тип ссылки, например 1.
alert – описание оповещения:
action – выполненное действие. Возможные значения: allowed и blocked.gid – идентификатор группы.signature_id – указанный пользователем числовой идентификатор правила. Каждое правило в наборе имеет уникальный идентификатор.rev – версия правила, указанная пользователем. Пользовательские версии позволяют изменять номера версий одного и того же правила, сохраняя при этом один и тот же идентификатор signature_id.signature – название обнаруженного объекта.category – категория оповещения.severity – уровень опасности оповещения.
packet – пакет.
|
screens (папка)
|
Набор снимков экрана (изображения в формате PNG), которые были сделаны во время выполнения файла.
|
—
|
suspicious-activities.csv
|
Информация о зарегистрированных подозрительных действиях.
|
Name – код описания подозрительного действия (например, RegistryValueUpdate).
Description – полное описание действия.
Zone – зона (уровень) опасности зарегистрированного действия (например, High).
Severity – числовое значение уровня опасности зарегистрированного действия (например, 555).
Techniques – структура, содержащая коды тактик, техник и субтехник MITRE ATT&CK, с которыми может быть связано данное действие.
Props – атрибутивное описание зарегистрированного действия.
Файл также содержит другие поля, используемые системой в технических целях (связывание и категоризация действий).
|
loaded-images.csv
|
Информация о загруженных образах, обнаруженных во время выполнения файла.
|
Process ID – целочисленный идентификатор процесса.
Thread ID – целочисленный идентификатор потока.
Path – полный путь к загруженному образу (например, \\Windows\\SysWOW64\\rpcrt4.dll).
Size – размер загруженного образа в байтах (например, 555).
Image Base – предпочтительный адрес первого байта образа при загрузке в память.
Файл также содержит другие поля, используемые системой в технических целях (связывание и категоризация действий).
|
file-operations.csv
|
Информация о файловых операциях, зарегистрированных во время выполнения файла.
|
Process ID – целочисленный идентификатор процесса.
Thread ID – целочисленный идентификатор потока.
Operation – название операции (например, FILE_CREATED).
Path – атрибут Name операции (например, $selfpath\\KL_APT_SANDBOX_TEST_MARKER_FILE).
Size – атрибут Size операции (например, 555).
|
registry-operations.csv
|
Информация о выполненных операциях с реестром операционной системы, обнаруженных во время выполнения файла.
|
Process ID – целочисленный идентификатор процесса.
Operation – название операции (например, REG_CREATE_KEY).
Key – атрибут Key операции (например, \\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options\\DisableUserModeCallbackFilter).
Thread ID – целочисленный идентификатор потока.
Value Name – атрибут Value операции (например, 1).
|
process-operations.csv
|
Информация о взаимодействиях файла с различными процессами, зарегистрированных во время выполнения файла.
|
Process ID – целочисленный идентификатор процесса.
Operation – название операции (например, PROCESS_STARTED).
Path – имя и путь процесса, взаимодействовавшего с выполняемым файлом (например, $windir\\explorer.exe).
Command Line – использовавшиеся параметры командной строки.
Requestor Process ID – целочисленный идентификатор процесса инициатора запроса.
|
sync-operations.csv
|
Информация об операциях созданных объектов синхронизации, зарегистрированных во время выполнения файла.
|
Process ID – целочисленный идентификатор процесса.
Operation – тип созданного объекта синхронизации (например, мьютекс).
Name – имя созданного объекта синхронизации (например, Skyz.Messaging.ThreadPooling.MyAppSingleInstance).
|
downloaded-files.csv
|
Информация о файлах, извлеченных из сетевого трафика во время выполнения файла.
|
Zone – уровень опасности загруженного файла (например, Red).
Md5 – MD5-хеш загруженного файла.
Sha1 – SHA1-хеш загруженного файла.
Sha256 – SHA256-хеш загруженного файла.
Name – имя загруженного файла.
DetectionNames – название обнаруженного объекта (например, Trojan-Downloader.Script.Generic).
Traffic – трафик, из которого был извлечен загруженный файл (HTTP или HTTPS).
TriggeredYaraRules – список сработавших правил YARA.
Size – размер загруженного файла (в байтах).
Type – тип загруженного файла.
|
dropped-files.csv
|
Информация о файлах, сохраненных выполняемым файлом.
|
Zone – уровень опасности измененного файла (например, Red).
Md5 – MD5-хеш измененного файла.
Sha1 – SHA1-хеш сохраненного файла.
Sha256 – SHA256-хеш измененного файла.
Size – размер измененного файла (в байтах).
Type – тип измененного файла.
DetectionNames – название обнаруженного объекта (например, Trojan-Downloader.Script.Generic).
FileName – имя измененного файла (например, sample.exe).
TriggeredYaraRules – список сработавших правил YARA.
|
sample-content.csv
|
Информация о содержимом упакованного файла. Для распаковки архива используйте пароль по умолчанию infected.
|
Zone – цвет зоны (уровня) опасности файла.
MD5 – MD5-хеш файла.
SHA1 – SHA1-хеш файла.
SHA256 – SHA256-хеш файла.
Path – имя файла и путь к нему от корневой папки загруженного объекта.
Packer – имя упаковщика, с помощью которого упакован загружаемый объект.
Type – автоматически определенный тип файла.
DetectionNames – названия обнаруженных объектов (например, HEUR:Exploit.Script.Blocker).
Size – размер файла в байтах.
|
sample-content.zip
|
Архив, содержащий файлы, входящие в состав упакованного объекта. Для распаковки архива используйте пароль по умолчанию infected.
|
Архив можно экспортировать только отдельно. При экспорте всех результатов задачи он не экспортируется.
|
network.pcap
|
Информация о снимках сетевой активности.
|
—
|
matrix.csv
|
Информация об известных тактиках, технологиях и процедурах (TTP), а также сопоставление с классификацией MITRE ATT&CK для выполняемого объекта.
|
Id – идентификатор тактики.
Name – название тактики.
Url – веб-адрес описания тактики на веб-сайте MITRE ATT&CK.
Techniques – информация о технологиях, содержит следующее:
Id – идентификатор технологии.
Name – название технологии.
Url – веб-адрес описания технологии на веб-сайте MITRE ATT&CK.
SubTechniques – описание субтехнологий.
|
manifest.zip
|
Информация о манифесте приложения Android.
|
—
|
static-modules.csv
|
Модули приложений Android, обнаруженные с помощью статического анализа.
|
Path – путь к модулю приложения.
Description – описание модуля приложения.
|
static-permissions.csv
|
Разрешения приложений Android, обнаруженные с помощью статического анализа.
|
Status – статус (уровень опасности) разрешения.
Severity – серьезность опасности разрешения.
Permission – значение разрешения.
Description – подробное описание разрешения.
|
static-components.csv
|
Компоненты приложений Android, обнаруженные с помощью статического анализа.
|
Status – статус (уровень опасности) компонента.
Severity – серьезность опасности компонента.
Component – имя компонента.
Description – подробное описание компонента
Intent filters – список фильтров, примененных к компоненту.
|
static-bundle.csv
|
Пакет приложения Android (APK).
|
Type – тип файла (модуль, значок или изображение).
Path – путь к файлу и его имя.
Size – размер файла.
MD5 – MD5-хеш файла.
|
static-images.csv
|
Образы пакета приложения Android.
|
—
|
network-traffic-tables-IpSessions.csv
|
Информация о сеансах IP, зарегистрированных во время выполнения файла.
|
source_address – IP-адрес источника.
dest_address – IP-адрес назначения.
start_time – дата и время начала сеанса IP.
end_time – дата и время завершения сеанса IP.
data_length – объем данных, отправленных и полученных в рамках сеанса IP (в байтах).
packets_count – количество пакетов, отправленных и полученных в рамках сеанса IP.
|
network-traffic-tables-TcpSessions.csv
|
Информация о сеансах TCP, зарегистрированных во время выполнения файла.
|
source_port – номер исходного порта (0–65536).
dest_port – номер порта назначения (0–65536).
data_length – объем данных, отправленных и полученных в рамках сеанса TCP (в байтах).
packets_count – количество пакетов, отправленных и полученных в рамках сеанса TCP.
packets_syn – количество пакетов SYN, отправленных и полученных в рамках сеанса TCP.
packets_fin – количество пакетов FIN, отправленных и полученных в рамках сеанса TCP.
packets_outoforder – количество пакетов, отправленных и полученных в неправильном порядке в рамках сеанса TCP.
packets_acks_postloss – количество потерянных пакетов ACK из числа отправленных и полученных в рамках сеанса TCP.
packets_acks_duplicate – количество дублированных пакетов ACK, отправленных и полученных в рамках сеанса TCP.
window_in_diff – количество входящих сегментов (байтов), которые могут быть отправлены с сервера клиенту до получения подтверждения (пакета ACK).
window_out_diff – количество исходящих сегментов (байтов), которые могут быть отправлены от клиента к серверу до получения подтверждения (пакета ACK).
source_ip – IP-адрес источника.
destination_ip – IP-адрес назначения.
|
network-traffic-tables-UdpSessions.csv
|
Информация о сеансах UDP, зарегистрированных во время выполнения файла.
|
source_port – номер исходного порта (0–65536).
dest_port – номер порта назначения (0–65536).
data_length – объем данных, отправленных и полученных в рамках сеанса UDP (в байтах).
packets_count – количество пакетов, отправленных и полученных в рамках сеанса UDP.
source_ip – IP-адрес источника.
destination_ip – IP-адрес назначения.
|
network-traffic-tables-DnsSessions.csv
|
Информация о сеансах DNS, зарегистрированных во время выполнения файла.
|
id – идентификатор сообщения DNS.
qr – индикатор запроса/ответа (0 – запрос DNS, 1 – ответ DNS).
rcode – код ответа DNS.
data_length – объем данных, отправленных и полученных в рамках сеанса DNS (в байтах).
packets_count – количество пакетов, отправленных и полученных в рамках сеанса DNS.
dns_records – записи в сообщении. Для каждой записи отображается ее имя, раздел и тип. Если доступно, отображаются поля TTL и Данные.
|
network-traffic-tables-DnsMessages.csv
|
Информация о сообщениях DNS, зарегистрированных во время выполнения файла.
|
Section – название раздела.
Name – тип данных в разделе.
TTL – длительность кеширования записи на каждом промежуточном хосте для записи DNS (в секундах).
Data – данные в возвращаемом разделе.
DnsSessionId – идентификатор сообщения, которому принадлежит запись DNS.
|
network-traffic-tables-FtpSessions.csv
|
Информация о сеансах FTP, зарегистрированных во время выполнения файла.
|
CommandName – имя команды.
CommandArg – аргумент команды.
ReplyCode – код ответа.
ReplyMsg – ответное сообщение от сервера.
Md5 – файл, который был передан при выполнении команды.
DataChannelClientIp – адрес FTP-клиента.
DataChannelServerIp – адрес FTP-сервера.
DataChannelServerPort – номер порта FTP-сервера.
|
network-traffic-tables-HttpSessions.csv
|
Информация о HTTP-запросах, зарегистрированных во время выполнения файла.
|
Status – зона (уровень) опасности URL в HTTP-запросе.
Scheme – схема URL (тип трафика).
Method – метод отправки HTTP-запроса. Можно использовать один из следующих методов HTTP: GET, HEAD, POST, PUT, DELETE, CONNECT, OPTIONS, TRACE, PATCH.
URL – веб-адрес, к которому был зарегистрирован запрос.
ResponseCode – код ответа на HTTP-запрос.
ResponseLength – размер ответа на HTTP-запрос в байтах.
RequestHeaders – стандартные имена заголовков запросов на основе протокола передачи гипертекста RFC2616 Hypertext Transfer Protocol -- HTTP/1.1. Предоставляются в виде пар <имя>:<значение>.
ResponseHeaders – стандартные имена заголовков ответов на основе протокола передачи гипертекста RFC2616 Hypertext Transfer Protocol -- HTTP/1.1. Предоставляются в виде пар <имя>:<значение>.
RequestBody – тело запроса (Md5, Name, Size).
ResponseBody – тело ответа (Md5, Name, Size).
|
network-traffic-tables-SslSessions.csv
|
Информация о сеансах SSL, зарегистрированных во время выполнения файла.
|
Version – версия протокола TLS.
Cipher – криптографический алгоритм.
Curve – класс кривой.
ServerName – имя сервера.
Subject – имя субъекта.
Issuer – имя источника.
|
network-traffic-tables-IrcSessions.csv
|
Информация о сеансах IRC, зарегистрированных во время выполнения файла.
|
Command – имя команды.
User – имя пользователя.
Nick – псевдоним пользователя.
Channels – названия каналов для подключения во время сеанса IRC.
Sender – псевдоним отправителя команды.
Channel – имя канала для отправки сообщения во время сеанса IRC.
Text – текст, отправленный во время сеанса IRC.
|
network-traffic-tables-Pop3Sessions.csv
|
Информация о сеансах POP3, зарегистрированных во время выполнения файла.
|
Type – тип команды.
Command – результат команды.
Arguments – аргументы команды.
Message – описание результата команды.
|
network-traffic-tables-SmbSessions.csv
|
Информация о сеансах SMB, зарегистрированных во время выполнения файла.
|
DestinationIP – IP-адрес назначения сеанса.
DestinationPort – номер порта назначения (0–65536).
Version – версия протокола.
CommandName – имя команды.
CommandStatus – статус выполнения команды.
Md5 – файл, переданный во время выполнения команды.
|
network-traffic-tables-SmtpSessions.csv
|
Информация о сеансах SMTP, зарегистрированных во время выполнения файла.
|
From – имя и адрес отправителя.
To – имена и адреса получателей.
Subject – тема сообщения.
Files – список MD5-хешей прикрепленных файлов.
|
network-traffic-tables-HttpProxySessions.csv
|
Информация о сеансах прокси-сервера HTTP, зарегистрированных во время выполнения файла.
|
—
|
network-traffic-tables-SocksSessions.csv
|
Информация о сеансах SOCKS, зарегистрированных во время выполнения файла.
|
Version – версия протокола SOCKS.
RequestHost – IP-адрес или полное имя домена (FQDN), на который был сделан запрос на подключение по протоколу SOCKS.
RequestPort – номер TCP-порта, на который был сделан запрос на подключение по протоколу SOCKS (0–65536).
BoundHost – IP-адрес или полное доменное имя (FQDN), с которым было установлено соединение.
BoundPort – номер TCP-порта, с которым было установлено соединение (0–65536).
|