Kaspersky Endpoint Detection and Response

A Kaspersky Endpoint Security eltávolításakor az alkalmazás által a számítógépen helyileg tárolt összes adat törlődik a számítógépről.

Az IOC vizsgálat feladat végrehajtásának eredményeképpen kapott adatok (standard feladat)

A Kaspersky Endpoint Security automatikusan elküldi az IOC vizsgálat feladat végrehajtási eredményadatait a Kaspersky Security Centernek.

Az IOC vizsgálat feladat végrehajtási eredményadatai a következő információkat tartalmazhatják:

• IP-cím az ARP-tábláról
• Fizikai cím az ARP-tábláról
• DNS-rekord típusa és neve
• A védett számítógép IP-címe
• A védett számítógép fizikai címe (MAC-címe)
• Azonosító az eseménynapló-bejegyzésben
• Adatforrás neve a naplóban
• Napló neve
• Esemény ideje
• A fájl MD5 és SHA256 hash kivonatai
• A fájl teljes neve (az elérési úttal együtt)
• Fájlméret
• A távoli IP-cím és port, amellyel kapcsolat létesült a vizsgálat során
• Helyi adapter IP-címe
• Nyitott port a helyi adapteren
• Protokoll számként (az IANA szabványnak megfelelően)
• Folyamatnév
• Folyamat argumentumai
• A folyamatfájl elérési útja
• A folyamat Windows-azonosítója (PID)
• A szülőfolyamat Windows-azonosítója (PID)
• A folyamatot elindító felhasználói fiók
• A folyamat elindításának dátuma és időpontja
• A szolgáltatás neve
• A szolgáltatás leírása
• A DLL-szolgáltatás elérési útja és neve (svchost-hoz)
• A szolgáltatás futtatható fájljának elérési útja és neve
• A szolgáltatás Windows-azonosítója (PID)
• A szolgáltatás típusa (például kernel-illesztőprogram vagy adapter)
• A szolgáltatás állapota
• A szolgáltatás indítási módja
• Felhasználói fiók neve
• Kötet neve
• Kötet betűjele
• Kötet típusa
• Windows-beállításazonosító
• Rendszerleíró adatbázis értéke
• A beállításkulcs elérési útja (struktúra és értéknév nélkül)
• Rendszerleíró adatbázis beállítása
• Rendszer (környezet)
• A számítógépre telepített operációs rendszer neve és verziója
• A védett számítógép hálózatneve
• Tartomány vagy csoport, amelyhez a védett számítógép tartozik
• Böngésző neve
• Böngésző verziója
• A webes erőforráshoz való legutóbbi hozzáférés időpontja
• URL-cím a HTTP-kérésből
• A HTTP-kéréshez használt fiók neve
• A HTTP-kérést létrehozó folyamat fájlneve
• A HTTP-kérést létrehozó folyamat fájljának teljes elérési útja
• A HTTP-kérést létrehozó folyamat Windows-azonosítója (PID)
• HTTP hivatkozója (HTTP-kérés forrás URL-je)
• A HTTP-n keresztül kért erőforrás URI-ja
• A HTTP felhasználói ügynökre (a HTTP-kérést létrehozó alkalmazásra) vonatkozó információk
• A HTTP-kérés végrehajtási ideje
• A HTTP-kérést létrehozó folyamat egyedi azonosítója

Adatok egy fenyegetésfejlődési lánc létrehozásához

A fenyegetésfejlődési lánc létrehozásához felhasználható adatokat a rendszer alapértelmezés szerint hét napig tárolja. Az adatokat a rendszer automatikusan elküldi a Kaspersky Security Centernek.

A fenyegetésfejlődési lánc létrehozásához használható adatok a következő információkat tartalmazhatják:

• Incidens dátuma és időpontja
• Észlelés neve
• Vizsgálat módja
• Az észleléssel összefüggésben lévő utolsó művelet állapota
• Az észlelésfeldolgozás meghiúsulásának oka
• Észlelt objektum típusa
• Észlelt objektum neve
• Fenyegetés állapota az objektum feldolgozását követően
• Az ok, amiért a műveletek végrehajtása az objektumon meghiúsult
• A rosszindulatú műveletek visszaállítása céljából elvégzett műveletek
• Információk a feldolgozott objektumról:
  • A folyamat egyedi azonosítója
  • A szülőfolyamat egyedi azonosítója
  • A folyamatfájl egyedi azonosítója
  • Windows-folyamatazonosító (PID)
  • Folyamat parancssora
  • A folyamatot elindító felhasználói fiók
  • A bejelentkezési munkamenet kódja, amelyben a folyamat fut
  • A munkamenet típusa, amelyben a folyamat fut
  • A feldolgozás alatt álló folyamat integritási szintje
  • A folyamatot a jogosultsággal rendelkező helyi és tartománycsoportokban elindító felhasználói fiók tagsága
  • A feldolgozott objektum azonosítója
  • A feldolgozott objektum teljes neve
  • A védett eszköz azonosítója
  • Az objektum teljes neve (helyi fájlnév vagy a letöltött fájl webcíme)
  • A feldolgozott objektum MD5 vagy SHA256 hash kivonata
  • A feldolgozott objektum típusa
  • A feldolgozott objektum létrehozásának dátuma
  • A feldolgozott objektum legutóbbi módosításának dátuma
  • A feldolgozott objektum mérete
  • A feldolgozott objektum attribútumai
  • A feldolgozott objektumot aláíró szervezet
  • A feldolgozott objektumhoz tartozó digitális tanúsítvány ellenőrzésének eredménye
  • A feldolgozott objektum biztonsági azonosítója (SID)
  • A feldolgozott objektum időzóna-azonosítója
  • A feldolgozott objektum letöltési webcíme (csak lemezre mentett fájlok esetében)
  • A fájlt letöltő alkalmazás neve
  • A fájlt letöltő alkalmazás MD5 és SHA256 hash kivonata
  • A fájlt legutóbb módosító alkalmazás neve
  • A fájlt legutóbb módosító alkalmazás MD5 és SHA256 hash kivonata
  • A feldolgozott objektumindítások száma
  • A feldolgozott objektum első indításának dátuma és időpontja
  • A fájl egyedi azonosítói
  • A fájl teljes neve (helyi fájlnév vagy a letöltött fájl webcíme)
  • A Windows beállításjegyzék feldolgozott változójának elérési útja
  • A Windows beállításjegyzék feldolgozott változójának neve
  • A Windows beállításjegyzék feldolgozott változójának értéke
  • A Windows beállításjegyzék feldolgozott változójának típusa
  • A feldolgozott beállításkulcs tagságának jelzése az automatikus futtatási ponton
  • A feldolgozott webes kérés webcíme
  • A feldolgozott webes kérés hivatkozási forrása
  • A feldolgozott webes kérés felhasználói ügynöke
  • A feldolgozott webes kérés típusa (GET vagy POST)
  • A feldolgozott webes kérés helyi IP-portja
  • A feldolgozott webes kérés távoli IP-portja
  • A feldolgozott webes kérés kapcsolatának iránya (bejövő vagy kimenő)
  • Annak a folyamatnak az azonosítója, amelybe a rosszindulatú kód beágyazódott