부록 6. 애플리케이션 이벤트

Kaspersky Security Center 이벤트 로그와 Windows 이벤트 로그에는 각 Kaspersky Endpoint Security 구성 요소의 작업, 데이터 암호화 이벤트, 각 검사 작업/업데이트 작업/무결성 검사 작업의 완료, 그리고 애플리케이션의 전반적인 작업에 대한 정보가 기록됩니다.

Kaspersky Endpoint Security는 일반 이벤트 및 특정 이벤트를 생성합니다. 특정 이벤트는 Kaspersky Endpoint Security for Windows로만 생성됩니다. 특정 이벤트의 ID는 000000cb와 같이 단순합니다. 특정 이벤트에는 다음과 같은 필요 설정이 포함됩니다:

GNRL_EA_DESCRIPTION은 이벤트의 내용입니다.
GNRL_EA_ID는 이벤트의 서비스 ID입니다.
GNRL_EA_SEVERITY는 이벤트의 상태입니다. 1 – 정보 메시지 , 2 – 경고 , 3 – 기능 실패 , 4 – 심각 .
EVENT_TYPE_DISPLAY_NAME은 이벤트의 제목입니다.
TASK_DISPLAY_NAME은 이벤트를 시작한 애플리케이션 구성 요소의 이름입니다.

일반 이벤트는 Kaspersky Endpoint Security for Windows뿐만 아니라 다른 Kaspersky 애플리케이션(Kaspersky Security for Windows Server 등)에서도 생성될 수 있습니다. 일반 이벤트의 ID는 GNRL_EV_VIRUS_FOUND와 같이 더 복잡합니다. 일반 이벤트에는 필요 설정 외에도 고급 설정이 포함됩니다.

상태
구성 요소	시스템 감사
Windows 이벤트 ID	`201`
Kaspersky Security Center 이벤트 ID	`GNRL_EV_LICENSE_EXPIRATION`
Windows 이벤트 로그(기본값)
Kaspersky Security Center 이벤트 로그(기본값)

상태
구성 요소	파일 위협 보호 웹 위협 보호 메일 위협 보호 AMSI 보호 호스트 침입 방지 행동 탐지 익스플로잇 방지 악성 코드 검사
Windows 이벤트 ID	`302`
Kaspersky Security Center 이벤트 ID	`GNRL_EV_VIRUS_FOUND`
이벤트 매개변수	`GNRL_EA_PARAM_1`은 개체의 해시(SHA256)입니다. `GNRL_EA_PARAM_2`는 개체의 이름입니다. `GNRL_EA_PARAM_5`는 `EICAR-Test-File`과 같이 Kaspersky 분류에 따른 보안위협의 이름입니다. `GNRL_EA_PARAM_7`은 세션 사용자의 이름입니다. `GNRL_EA_PARAM_8`은 `Trojware`와 같은 보안위협 유형입니다. `GNRL_EA_PARAM_9`는 탐지된 개체에 대한 추가 정보입니다. 애플리케이션 구성 요소(`engine`). `1` – 파일 위협 보호. `2` – 메일 위협 보호. `3` – 웹 위협 보호. `6` – 호스트 침입 방지. `7` – 방화벽. `8` – 행동 탐지. `9` – 익스플로잇 방지. `10` – 바이러스 검사 작업. `11` – AMSI 보호. 보안위협 탐지 기술(`method`). `1` – 머신 러닝. `2` – Kaspersky Security Network. `3` – 전문가 분석. `4` – 행동 분석. `5` – 자동 분석. `6` – Kaspersky Sandbox. 사설 KSN에서 탐지된 보안위협(`denylist`): `true` 또는 `false`. EDR 버전. EDR의 보안위협 ID. 개체의 MD5 해시.
Windows 이벤트 로그(기본값)
Kaspersky Security Center 이벤트 로그(기본값)

상태
구성 요소	파일 위협 보호 메일 위협 보호 호스트 침입 방지 악성 코드 검사
Windows 이벤트 ID	`312`
Kaspersky Security Center 이벤트 ID	`GNRL_EV_OBJECT_NOTCURED`
이벤트 매개변수	`GNRL_EA_PARAM_1`은 개체의 해시(SHA256)입니다. `GNRL_EA_PARAM_2`는 개체의 이름입니다. `GNRL_EA_PARAM_5`는 `EICAR-Test-File`과 같이 Kaspersky 분류에 따른 보안위협의 이름입니다. `GNRL_EA_PARAM_7`은 세션 사용자의 이름입니다. `GNRL_EA_PARAM_8`은 `Trojware`와 같은 보안위협 유형입니다. `GNRL_EA_PARAM_9`는 탐지된 개체에 대한 추가 정보입니다. 애플리케이션 구성 요소(`engine`). 보안위협 탐지 기술(`method`). 사설 KSN에서 탐지된 보안위협(`denylist`): `true` 또는 `false`. EDR 버전. EDR의 보안위협 ID. 개체의 MD5 해시.
Windows 이벤트 로그(기본값)
Kaspersky Security Center 이벤트 로그(기본값)

상태
구성 요소	파일 위협 보호 호스트 침입 방지 행동 탐지 악성 코드 검사
Windows 이벤트 ID	`313`
Kaspersky Security Center 이벤트 ID	`00000139`
Windows 이벤트 로그(기본값)	–
Kaspersky Security Center 이벤트 로그(기본값)

상태
구성 요소	파일 위협 보호 웹 위협 보호 메일 위협 보호 호스트 침입 방지 AMSI 보호 악성 코드 검사
Windows 이벤트 ID	`317`
Kaspersky Security Center 이벤트 ID	`0000013d`
Windows 이벤트 로그(기본값)
Kaspersky Security Center 이벤트 로그(기본값)

상태
구성 요소	웹 위협 보호
Windows 이벤트 ID	`362`
Kaspersky Security Center 이벤트 ID	`GNRL_EV_VIRUS_FOUND_AND_BLOCKED`
이벤트 매개변수	`GNRL_EA_PARAM_2`는 개체의 경로입니다. `GNRL_EA_PARAM_5`는 Kaspersky 분류에 따른 개체의 이름입니다. `GNRL_EA_PARAM_7`은 세션 사용자의 이름입니다. `GNRL_EA_PARAM_8`은 `Trojware`와 같은 보안위협 유형입니다. `GNRL_EA_PARAM_9`는 탐지된 개체에 대한 추가 정보입니다. 애플리케이션 구성 요소(`engine`). 보안위협 탐지 기술(`method`). 사설 KSN에서 탐지된 보안위협(`denylist`): `true` 또는 `false`.
Windows 이벤트 로그(기본값)
Kaspersky Security Center 이벤트 로그(기본값)

상태
구성 요소	적응형 이상 행위 제어
Windows 이벤트 ID	`2200`
Kaspersky Security Center 이벤트 ID	`GNRL_EV_ADSEC_DETECT`
이벤트 매개변수	`GNRL_EA_PARAM_1`은 적응형 이상 행위 제어 규칙의 이름입니다. `GNRL_EA_PARAM_2`는 휴리스틱 규칙의 ID입니다. `GNRL_EA_PARAM_3`은 세션 사용자의 이름입니다. `GNRL_EA_PARAM_4`는 소스 프로세스입니다. `GNRL_EA_PARAM_5`는 소스 개체입니다. `GNRL_EA_PARAM_6`은 대상 프로세스입니다. `GNRL_EA_PARAM_7`는 대상 개체입니다. `GNRL_EA_PARAM_8`는 탐지된 개체에 대한 추가 정보입니다. 소스 프로세스 해시 / 개체 및 대상 프로세스 / 개체. 프로세스 차단됨(`verdict_type`): `참` 또는 `거짓`. 사용자 보안 ID (SID).
Windows 이벤트 로그(기본값)
Kaspersky Security Center 이벤트 로그(기본값)

상태
구성 요소	BadUSB 공격 방지
Windows 이벤트 ID	`2051`
Kaspersky Security Center 이벤트 ID	`00000803`
Windows 이벤트 로그(기본값)
Kaspersky Security Center 이벤트 로그(기본값)

상태
구성 요소	AMSI 보호
Windows 이벤트 ID	`2200`
Kaspersky Security Center 이벤트 ID	`00000898`
Windows 이벤트 로그(기본값)
Kaspersky Security Center 이벤트 로그(기본값)

상태
구성 요소	방화벽
Windows 이벤트 ID	`602`
Kaspersky Security Center 이벤트 ID	`00000329`
Windows 이벤트 로그(기본값)
Kaspersky Security Center 이벤트 로그(기본값)

상태
구성 요소	네트워크 위협 보호
Windows 이벤트 ID	`651`
Kaspersky Security Center 이벤트 ID	`GNRL_EV_ATTACK_DETECTED`
이벤트 매개변수	`GNRL_EA_PARAM_1`은 공격의 이름입니다. `GNRL_EA_PARAM_2`는 프로토콜입니다. `GNRL_EA_PARAM_3`는 네트워크 공격의 출처가 되는 컴퓨터의 IP 주소입니다. IP 주소는 호스트의 바이트 순서로 표시됩니다. 예를 들어, `172.16.0.201`는 `2886729929`입니다. `GNRL_EA_PARAM_4`는 포트 번호입니다. `GNRL_EA_PARAM_5`는 `12B012B012B012B012B012B012B012B0`와 같은 IPv6 주소입니다. `GNRL_EA_PARAM_6`는 네트워크 공격의 목표가 되는 컴퓨터의 IP 주소입니다. IP 주소는 호스트의 바이트 순서로 표시됩니다. 예를 들어, `172.16.0.201`는 `2886729929`입니다.
Windows 이벤트 로그(기본값)
Kaspersky Security Center 이벤트 로그(기본값)

상태
구성 요소	애플리케이션 제어
Windows 이벤트 ID	`702`
Kaspersky Security Center 이벤트 ID	`GNRL_EV_APPLICATION_LAUNCH_DENIED`
이벤트 매개변수	`GNRL_EA_PARAM_2`은 세션 사용자의 이름입니다. `GNRL_EA_PARAM_3`은 수동으로 생성된 카테고리 ID입니다. `GNRL_EA_PARAM_4`은 애플리케이션 카테고리 ID입니다. `GNRL_EA_PARAM_5`는 애플리케이션의 디지털 서명에 관한 정보입니다. `GNRL_EA_PARAM_6`은 애플리케이션 실행 파일의 이름입니다(예: chrome.exe). `GNRL_EA_PARAM_7`은 실행 파일의 경로입니다. `GNRL_EA_PARAM_8`은 개체의 해시(SHA256)입니다. `GNRL_EA_PARAM_9`는 사용자가 실행하고자 하는 애플리케이션의 버전입니다.
Windows 이벤트 로그(기본값)	`–`
Kaspersky Security Center 이벤트 로그(기본값)

상태
구성 요소	웹 제어
Windows 이벤트 ID	`752`
Kaspersky Security Center 이벤트 ID	`GNRL_EV_WEB_URL_BLOCKED`
이벤트 매개변수	`GNRL_EA_PARAM_1`은 URL입니다. `GNRL_EA_PARAM_2`은 세션 사용자의 이름입니다. `GNRL_EA_PARAM_3`은 웹 제어 규칙의 이름입니다.
Windows 이벤트 로그(기본값)	`–`
Kaspersky Security Center 이벤트 로그(기본값)

상태
구성 요소	장치 제어
Windows 이벤트 ID	`802`
Kaspersky Security Center 이벤트 ID	`GNRL_EV_DEVCTRL_DEV_PLUG_DENIED`
이벤트 매개변수	`GNRL_EA_PARAM_1`은 하드웨어 ID(HWID)입니다. `GNRL_EA_PARAM_2`은 세션 사용자의 이름입니다.
Windows 이벤트 로그(기본값)	`–`
Kaspersky Security Center 이벤트 로그(기본값)

상태
구성 요소	데이터베이스 업데이트
Windows 이벤트 ID	`1011`
Kaspersky Security Center 이벤트 ID	`000003f3`
Windows 이벤트 로그(기본값)	`–`
Kaspersky Security Center 이벤트 로그(기본값)

상태
구성 요소	데이터 암호화
Windows 이벤트 ID	`904`
Kaspersky Security Center 이벤트 ID	`00000388`
Windows 이벤트 로그(기본값)
Kaspersky Security Center 이벤트 로그(기본값)

상태
구성 요소	엔드포인트 센서
Windows 이벤트 ID	`2100`
Kaspersky Security Center 이벤트 ID	`00000834`
Windows 이벤트 로그(기본값)	–
Kaspersky Security Center 이벤트 로그(기본값)

상태
구성 요소	Kaspersky Sandbox
Windows 이벤트 ID	`2252`
Kaspersky Security Center 이벤트 ID	`000008cc`
Windows 이벤트 로그(기본값)	`–`
Kaspersky Security Center 이벤트 로그(기본값)

상태
구성 요소	Endpoint Detection and Response
Windows 이벤트 ID	`2651`
Kaspersky Security Center 이벤트 ID	`00000a5b`
Windows 이벤트 로그(기본값)
Kaspersky Security Center 이벤트 로그(기본값)

상태
구성 요소	로그 검사
Windows 이벤트 ID	`2800`
Kaspersky Security Center 이벤트 ID	`00000af0`
Windows 이벤트 로그(기본값)
Kaspersky Security Center 이벤트 로그(기본값)

상태
구성 요소	행동 탐지 익스플로잇 방지 웹 위협 보호
Windows 이벤트 ID	`331`
Kaspersky Security Center 이벤트 ID	–
Windows 이벤트 로그(기본값)
Kaspersky Security Center 이벤트 로그(기본값)	–

상태
구성 요소	파일 위협 보호 행동 탐지 호스트 침입 방지 악성 코드 검사
Windows 이벤트 ID	`310`
Kaspersky Security Center 이벤트 ID	`00000136`
Windows 이벤트 로그(기본값)	–
Kaspersky Security Center 이벤트 로그(기본값)

상태
구성 요소	파일 위협 보호 메일 위협 보호 호스트 침입 방지 AMSI 보호 악성 코드 검사
Windows 이벤트 ID	`314`
Kaspersky Security Center 이벤트 ID	`GNRL_EV_OBJECT_REPORTED`
이벤트 매개변수	`GNRL_EA_PARAM_1`은 개체의 해시(SHA256)입니다. `GNRL_EA_PARAM_2`는 개체의 이름입니다. `GNRL_EA_PARAM_5`는 `EICAR-Test-File`과 같이 Kaspersky 분류에 따른 보안위협의 이름입니다. `GNRL_EA_PARAM_7`은 세션 사용자의 이름입니다. `GNRL_EA_PARAM_8`은 `Trojware`와 같은 보안위협 유형입니다. `GNRL_EA_PARAM_9`는 탐지된 개체에 대한 추가 정보입니다. 애플리케이션 구성 요소(`engine`). 보안위협 탐지 기술(`method`). 사설 KSN에서 탐지된 보안위협(`denylist`): `true` 또는 `false`. EDR 버전. EDR의 보안위협 ID. 개체의 MD5 해시.
Windows 이벤트 로그(기본값)	–
Kaspersky Security Center 이벤트 로그(기본값)

상태
구성 요소	호스트 침입 방지
Windows 이벤트 ID	`320`
Kaspersky Security Center 이벤트 ID	`00000140`
Windows 이벤트 로그(기본값)	–
Kaspersky Security Center 이벤트 로그(기본값)	–

상태
구성 요소	파일 위협 보호 메일 위협 보호 호스트 침입 방지 익스플로잇 방지 행동 탐지 악성 코드 검사
Windows 이벤트 ID	`307`
Kaspersky Security Center 이벤트 ID	`GNRL_EV_OBJECT_DELETED`
이벤트 매개변수	`GNRL_EA_PARAM_1`은 개체의 해시(SHA256)입니다. `GNRL_EA_PARAM_2`는 개체의 이름입니다. `GNRL_EA_PARAM_5`는 `EICAR-Test-File`과 같이 Kaspersky 분류에 따른 보안위협의 이름입니다. `GNRL_EA_PARAM_7`은 세션 사용자의 이름입니다. `GNRL_EA_PARAM_8`은 `Trojware`와 같은 보안위협 유형입니다. `GNRL_EA_PARAM_9`는 탐지된 개체에 대한 추가 정보입니다. 애플리케이션 구성 요소(`engine`). 보안위협 탐지 기술(`method`). 사설 KSN에서 탐지된 보안위협(`denylist`): `true` 또는 `false`. EDR 버전. EDR의 보안위협 ID. 개체의 MD5 해시.
Windows 이벤트 로그(기본값)	–
Kaspersky Security Center 이벤트 로그(기본값)

상태
구성 요소	호스트 침입 방지 파일 위협 보호 악성 코드 검사
Windows 이벤트 ID	`324`
Kaspersky Security Center 이벤트 ID	–
Windows 이벤트 로그(기본값)
Kaspersky Security Center 이벤트 로그(기본값)	–

상태
구성 요소	행동 탐지 익스플로잇 방지 호스트 침입 방지 파일 위협 보호 악성 코드 검사
Windows 이벤트 ID	`323`
Kaspersky Security Center 이벤트 ID	–
Windows 이벤트 로그(기본값)
Kaspersky Security Center 이벤트 로그(기본값)	–

상태
구성 요소	메일 위협 보호
Windows 이벤트 ID	`342`
Kaspersky Security Center 이벤트 ID	–
Windows 이벤트 로그(기본값)
Kaspersky Security Center 이벤트 로그(기본값)	–

상태
구성 요소	파일 위협 보호 행동 탐지 익스플로잇 방지 악성 코드 검사
Windows 이벤트 ID	`455`
Kaspersky Security Center 이벤트 ID	`000001c7`
Windows 이벤트 로그(기본값)	–
Kaspersky Security Center 이벤트 로그(기본값)

상태
구성 요소	무결성 검사
Windows 이벤트 ID	`2002`
Kaspersky Security Center 이벤트 ID	`000007d2`
Windows 이벤트 로그(기본값)	–
Kaspersky Security Center 이벤트 로그(기본값)

상태
구성 요소	파일 무결성 모니터
Windows 이벤트 ID	`2900`
Kaspersky Security Center 이벤트 ID	`00000b54`
Windows 이벤트 로그(기본값)
Kaspersky Security Center 이벤트 로그(기본값)