Kaspersky Endpoint Detection and Response
A Kaspersky Endpoint Security eltávolításakor az alkalmazás által a számítógépen helyileg tárolt összes adat törlődik a számítógépről.
Az IOC vizsgálat feladat végrehajtásának eredményeképpen kapott adatok (standard feladat)
A Kaspersky Endpoint Security automatikusan elküldi az IOC vizsgálat feladat végrehajtási eredményadatait a Kaspersky Security Centernek.
Az IOC vizsgálat feladat végrehajtási eredményadatai a következő információkat tartalmazhatják:
- IP-cím az ARP-tábláról
- Fizikai cím az ARP-tábláról
- DNS-rekord típusa és neve
- A védett számítógép IP-címe
- A védett számítógép fizikai címe (MAC-címe)
- Azonosító az eseménynapló-bejegyzésben
- Adatforrás neve a naplóban
- Napló neve
- Esemény ideje
- A fájl MD5 és SHA256 hash kivonatai
- A fájl teljes neve (az elérési úttal együtt)
- Fájlméret
- A távoli IP-cím és port, amellyel kapcsolat létesült a vizsgálat során
- Helyi adapter IP-címe
- Nyitott port a helyi adapteren
- Protokoll számként (az IANA szabványnak megfelelően)
- Folyamatnév
- Folyamat argumentumai
- A folyamatfájl elérési útja
- A folyamat Windows-azonosítója (PID)
- A szülőfolyamat Windows-azonosítója (PID)
- A folyamatot elindító felhasználói fiók
- A folyamat elindításának dátuma és időpontja
- A szolgáltatás neve
- A szolgáltatás leírása
- A DLL-szolgáltatás elérési útja és neve (svchost-hoz)
- A szolgáltatás futtatható fájljának elérési útja és neve
- A szolgáltatás Windows-azonosítója (PID)
- A szolgáltatás típusa (például kernel-illesztőprogram vagy adapter)
- A szolgáltatás állapota
- A szolgáltatás indítási módja
- Felhasználói fiók neve
- Kötet neve
- Kötet betűjele
- Kötet típusa
- Windows-beállításazonosító
- Rendszerleíró adatbázis értéke
- A beállításkulcs elérési útja (struktúra és értéknév nélkül)
- Rendszerleíró adatbázis beállítása
- Rendszer (környezet)
- A számítógépre telepített operációs rendszer neve és verziója
- A védett számítógép hálózatneve
- Tartomány vagy csoport, amelyhez a védett számítógép tartozik
- Böngésző neve
- Böngésző verziója
- A webes erőforráshoz való legutóbbi hozzáférés időpontja
- URL-cím a HTTP-kérésből
- A HTTP-kéréshez használt fiók neve
- A HTTP-kérést létrehozó folyamat fájlneve
- A HTTP-kérést létrehozó folyamat fájljának teljes elérési útja
- A HTTP-kérést létrehozó folyamat Windows-azonosítója (PID)
- HTTP hivatkozója (HTTP-kérés forrás URL-je)
- A HTTP-n keresztül kért erőforrás URI-ja
- A HTTP felhasználói ügynökre (a HTTP-kérést létrehozó alkalmazásra) vonatkozó információk
- A HTTP-kérés végrehajtási ideje
- A HTTP-kérést létrehozó folyamat egyedi azonosítója
Adatok egy fenyegetésfejlődési lánc létrehozásához
A fenyegetésfejlődési lánc létrehozásához felhasználható adatokat a rendszer alapértelmezés szerint hét napig tárolja. Az adatokat a rendszer automatikusan elküldi a Kaspersky Security Centernek.
A fenyegetésfejlődési lánc létrehozásához használható adatok a következő információkat tartalmazhatják:
- Incidens dátuma és időpontja
- Észlelés neve
- Vizsgálat módja
- Az észleléssel összefüggésben lévő utolsó művelet állapota
- Az észlelésfeldolgozás meghiúsulásának oka
- Észlelt objektum típusa
- Észlelt objektum neve
- Fenyegetés állapota az objektum feldolgozását követően
- Az ok, amiért a műveletek végrehajtása az objektumon meghiúsult
- A rosszindulatú műveletek visszaállítása céljából elvégzett műveletek
- Információk a feldolgozott objektumról:
- A folyamat egyedi azonosítója
- A szülőfolyamat egyedi azonosítója
- A folyamatfájl egyedi azonosítója
- Windows-folyamatazonosító (PID)
- Folyamat parancssora
- A folyamatot elindító felhasználói fiók
- A bejelentkezési munkamenet kódja, amelyben a folyamat fut
- A munkamenet típusa, amelyben a folyamat fut
- A feldolgozás alatt álló folyamat integritási szintje
- A folyamatot a jogosultsággal rendelkező helyi és tartománycsoportokban elindító felhasználói fiók tagsága
- A feldolgozott objektum azonosítója
- A feldolgozott objektum teljes neve
- A védett eszköz azonosítója
- Az objektum teljes neve (helyi fájlnév vagy a letöltött fájl webcíme)
- A feldolgozott objektum MD5 vagy SHA256 hash kivonata
- A feldolgozott objektum típusa
- A feldolgozott objektum létrehozásának dátuma
- A feldolgozott objektum legutóbbi módosításának dátuma
- A feldolgozott objektum mérete
- A feldolgozott objektum attribútumai
- A feldolgozott objektumot aláíró szervezet
- A feldolgozott objektumhoz tartozó digitális tanúsítvány ellenőrzésének eredménye
- A feldolgozott objektum biztonsági azonosítója (SID)
- A feldolgozott objektum időzóna-azonosítója
- A feldolgozott objektum letöltési webcíme (csak lemezre mentett fájlok esetében)
- A fájlt letöltő alkalmazás neve
- A fájlt letöltő alkalmazás MD5 és SHA256 hash kivonata
- A fájlt legutóbb módosító alkalmazás neve
- A fájlt legutóbb módosító alkalmazás MD5 és SHA256 hash kivonata
- A feldolgozott objektumindítások száma
- A feldolgozott objektum első indításának dátuma és időpontja
- A fájl egyedi azonosítói
- A fájl teljes neve (helyi fájlnév vagy a letöltött fájl webcíme)
- A Windows beállításjegyzék feldolgozott változójának elérési útja
- A Windows beállításjegyzék feldolgozott változójának neve
- A Windows beállításjegyzék feldolgozott változójának értéke
- A Windows beállításjegyzék feldolgozott változójának típusa
- A feldolgozott beállításkulcs tagságának jelzése az automatikus futtatási ponton
- A feldolgozott webes kérés webcíme
- A feldolgozott webes kérés hivatkozási forrása
- A feldolgozott webes kérés felhasználói ügynöke
- A feldolgozott webes kérés típusa (GET or POST).
- A feldolgozott webes kérés helyi IP-portja
- A feldolgozott webes kérés távoli IP-portja
- A feldolgozott webes kérés kapcsolatának iránya (bejövő vagy kimenő)
- Annak a folyamatnak az azonosítója, amelybe a rosszindulatú kód beágyazódott