Kaspersky Sandbox
A Kaspersky Endpoint Security eltávolításakor az alkalmazás által a számítógépen helyileg tárolt összes adat törlődik a számítógépről.
Szolgáltatási adatok
A Kaspersky Endpoint Security az automatikus válaszadás során feldolgozott alábbi adatokat tárolja:
- Feldolgozott fájlok és adatok, amelyeket a felhasználó ad meg a Kaspersky Endpoint Security beépített ügynökének konfigurálása során:
- Karanténba helyezett fájlok
- A Kaspersky Sandbox-integrációhoz használt tanúsítvány nyilvános kulcsa
- A Kaspersky Endpoint Security beépített ügynökének gyorsítótára:
- Annak az időpontja, amikor a vizsgálati eredmények a gyorsítótárba kerültek
- A vizsgálati feladat MD5 hash kivonata
- A vizsgálati feladat azonosítója
- Az objektum vizsgálati eredménye
- Objektumvizsgálati kérések várólistája:
- A várólistán szereplő objektum azonosítója
- Az objektum várólistára kerülésének időpontja
- A várólistán szereplő objektum feldolgozottsági állapota
- Azon felhasználói munkamenet azonosítója az operációs rendszerben, amely során az objektumvizsgálati feladat létrejött
- Az operációs rendszer azon felhasználójának rendszer-azonosítója (SID), akinek a fiókjában a feladat létrejött
- Az objektumvizsgálati feladat MD5 hash kivonata
- Azokra a feladatokra vonatkozó információk, amelyekkel kapcsolatban a Kaspersky Endpoint Security beépített ügynöke vizsgálati eredményekre vár a Kaspersky Sandboxtól:
- Az objektumvizsgálati feladat beérkezésének időpontja
- Az objektum feldolgozottsági állapota
- Azon felhasználói munkamenet azonosítója az operációs rendszerben, amely során az objektumvizsgálati feladat létrejött
- Az objektumvizsgálati feladat azonosítója
- Az objektumvizsgálati feladat MD5 hash kivonata
- Az operációs rendszer azon felhasználójának rendszer-azonosítója (SID), akinek a fiókjában a feladat létrejött
- Az automatikusan létrehozott IOC XML-sémája
- A vizsgált objektum MD5 vagy SHA256 hash kivonata
- Feldolgozási hibák
- Azon objektumok neve, amelyekhez a feladatot létrehozták
- Az objektum vizsgálati eredménye
A Kaspersky Sandboxnak küldött kérésekben szereplő adatok
A Kaspersky Endpoint Security beépített ügynöke által a Kaspersky Sandboxhoz intézett kérésekből származó következő adatok helyileg tárolódnak a számítógépen:
- A vizsgálati feladat MD5 hash kivonata
- A vizsgálati feladat azonosítója
- Vizsgált objektum és minden kapcsolódó fájl
Az IOC vizsgálat feladat végrehajtásának eredményeképpen kapott adatok (önálló feladat)
A Kaspersky Endpoint Security automatikusan elküldi az IOC vizsgálat feladat végrehajtási eredményadatait a Kaspersky Security Centernek.
Az IOC vizsgálat feladat végrehajtási eredményadatai a következő információkat tartalmazhatják:
- IP-cím az ARP-tábláról
- Fizikai cím az ARP-tábláról
- DNS-rekord típusa és neve
- A védett számítógép IP-címe
- A védett számítógép fizikai címe (MAC-címe)
- Azonosító az eseménynapló-bejegyzésben
- Adatforrás neve a naplóban
- Napló neve
- Esemény ideje
- A fájl MD5 és SHA256 hash kivonatai
- A fájl teljes neve (az elérési úttal együtt)
- Fájlméret
- A távoli IP-cím és port, amellyel kapcsolat létesült a vizsgálat során
- Helyi adapter IP-címe
- Nyitott port a helyi adapteren
- Protokoll számként (az IANA szabványnak megfelelően)
- Folyamatnév
- Folyamat argumentumai
- A folyamatfájl elérési útja
- A folyamat Windows-azonosítója (PID)
- A szülőfolyamat Windows-azonosítója (PID)
- A folyamatot elindító felhasználói fiók
- A folyamat elindításának dátuma és időpontja
- A szolgáltatás neve
- A szolgáltatás leírása
- A DLL-szolgáltatás elérési útja és neve (svchost-hoz)
- A szolgáltatás futtatható fájljának elérési útja és neve
- A szolgáltatás Windows-azonosítója (PID)
- A szolgáltatás típusa (például kernel-illesztőprogram vagy adapter)
- A szolgáltatás állapota
- A szolgáltatás indítási módja
- Felhasználói fiók neve
- Kötet neve
- Kötet betűjele
- Kötet típusa
- Windows-beállításazonosító
- Rendszerleíró adatbázis értéke
- A beállításkulcs elérési útja (struktúra és értéknév nélkül)
- Rendszerleíró adatbázis beállítása
- Rendszer (környezet)
- A számítógépre telepített operációs rendszer neve és verziója
- A védett számítógép hálózatneve
- Tartomány vagy csoport, amelyhez a védett számítógép tartozik
- Böngésző neve
- Böngésző verziója
- A webes erőforráshoz való legutóbbi hozzáférés időpontja
- URL-cím a HTTP-kérésből
- A HTTP-kéréshez használt fiók neve
- A HTTP-kérést létrehozó folyamat fájlneve
- A HTTP-kérést létrehozó folyamat fájljának teljes elérési útja
- A HTTP-kérést létrehozó folyamat Windows-azonosítója (PID)
- HTTP hivatkozója (HTTP-kérés forrás URL-je)
- A HTTP-n keresztül kért erőforrás URI-ja
- A HTTP felhasználói ügynökre (a HTTP-kérést létrehozó alkalmazásra) vonatkozó információk
- A HTTP-kérés végrehajtási ideje
- A HTTP-kérést létrehozó folyamat egyedi azonosítója