지원

기업용 솔루션에 대한 지원

Kaspersky Endpoint Security 12 for Windows

데이터 제공

Detection and Response 솔루션 사용 시 데이터 제공

Kaspersky Endpoint Detection and Response

Kaspersky Endpoint Security 12 for Windows
Нет результатов
Нет результатов
온라인 도움말
FAQ 시스템 요구 사항 다운로드 구매 갱신 포럼 고객 지원 담당자 복원 도구 제품 동영상

Kaspersky Endpoint Detection and Response

2024년 2월 14일

ID 249504

PDF로 저장

Kaspersky Endpoint Security가 제거되면 애플리케이션이 컴퓨터에 로컬로 저장한 모든 데이터가 삭제됩니다.

IOC 스캔 작업 예외의 결과로 수신된 데이터(표준 작업)

Kaspersky Endpoint Security는 IOC 스캔 작업 실행 결과 데이터를 Kaspersky Security Center에 자동으로 제출합니다.

IOC 스캔 작업 실행 결과의 데이터에는 다음 정보가 포함될 수 있습니다.

  • ARP 테이블의 IP 주소
  • ARP 테이블의 물리적 주소
  • DNS 레코드 유형 및 이름
  • 보호 대상 컴퓨터의 IP 주소
  • 보호 대상 컴퓨터의 물리적 주소(MAC 주소)
  • 이벤트 로그 항목 내 식별자
  • 로그에 있는 데이터 소스 이름
  • 로그 이름
  • 이벤트 시간
  • 파일의 MD5 및 SHA256 해시
  • 파일의 전체 이름(경로 포함)
  • 파일 크기
  • 검사 중에 연결이 설정된 원격 IP 주소 및 포트
  • 로컬 어댑터 IP 주소
  • 로컬 어댑터에서 열린 포트
  • 숫자로서의 프로토콜(IANA 표준에 따름)
  • 프로세스 이름
  • 프로세스 인수
  • 프로세스 파일 경로
  • 프로세스의 Windows 식별자(PID)
  • 부모 프로세스의 Windows 식별자(PID)
  • 프로세스가 시작된 사용자 계정
  • 프로세스가 시작된 날짜 및 시간
  • 서비스 이름
  • 서비스 설명
  • DLL 서비스의 경로 및 이름(svchost용)
  • 서비스 실행 파일의 경로 및 이름
  • 서비스의 Windows 식별자(PID)
  • 서비스 유형(예: 커널 드라이버 또는 어댑터)
  • 서비스 상태
  • 서비스 시작 모드
  • 사용자 계정 이름
  • 볼륨 이름
  • 볼륨 문자
  • 볼륨 유형
  • Windows 레지스트리 값
  • 레지스트리 하이브 값
  • 레지스트리 키 경로(하이브 및 값 이름 없음)
  • 레지스트리 설정
  • 시스템(환경)
  • 컴퓨터에 설치된 운영 체제 이름 및 버전
  • 보호 대상 컴퓨터의 네트워크 이름
  • 보호 대상 컴퓨터가 속한 도메인 또는 그룹
  • 브라우저 이름
  • 브라우저 버전
  • 웹 리소스에 마지막으로 액세스한 시간
  • HTTP 요청의 URL
  • HTTP 요청에 사용하는 계정의 이름
  • HTTP 요청을 수행한 프로세스의 파일 이름
  • HTTP 요청을 수행한 프로세스 파일의 전체 경로
  • HTTP 요청을 수행한 프로세스의 Windows 식별자(PID)
  • HTTP 리퍼러(HTTP 요청 소스 URL)
  • HTTP를 통해 요청된 리소스의 URI
  • HTTP 사용자 에이전트(HTTP 요청을 수행한 애플리케이션) 관련 정보
  • HTTP 요청 실행 시간
  • HTTP 요청을 수행한 프로세스의 고유 식별자

보안 위협 개발 체인 생성용 데이터

보안 위협 개발 체인 생성용 데이터는 기본적으로 7일 동안 저장됩니다. 데이터는 Kaspersky Security Center로 자동 전송됩니다.

보안 위협 개발 체인 생성용 데이터에는 다음 정보가 포함될 수 있습니다.

  • 사건 날짜 및 시간
  • 탐지 이름
  • 검사 모드
  • 탐지와 관련된 마지막 조치의 상태
  • 탐지 처리가 실패한 이유
  • 탐지된 개체 유형
  • 탐지된 개체 이름
  • 개체 처리 후 보안 위협 상태
  • 개체에 대한 작업 실행이 실패한 이유
  • 악의적인 작업을 롤백하기 위해 수행되는 작업
  • 처리된 개체 관련 정보:
    • 프로세스의 고유 식별자
    • 부모 프로세스의 고유 식별자
    • 프로세스 파일의 고유 식별자
    • Windows 프로세스 식별자(PID)
    • 프로세스 명령줄
    • 프로세스가 시작된 사용자 계정
    • 프로세스가 실행 중인 로그온 세션의 코드
    • 프로세스가 실행 중인 세션 유형
    • 처리 중인 프로세스의 통합 레벨
    • 권한 있는 로컬 및 도메인 그룹에서 프로세스를 시작한 사용자 계정의 멤버십
    • 처리된 개체의 식별자
    • 처리된 개체의 전체 이름
    • 보호 대상 장치의 식별자
    • 개체의 전체 이름(로컬 파일 이름 또는 다운로드한 파일 웹 주소)
    • 처리된 개체의 MD5 또는 SHA256 해시
    • 처리된 개체의 유형
    • 처리된 개체를 만든 날짜
    • 처리된 객체가 마지막으로 수정된 날짜
    • 처리된 개체의 크기
    • 처리된 객체의 특성
    • 처리된 개체를 서명한 조직
    • 처리된 개체 전자 인증서 검증 결과
    • 처리된 개체의 보안 식별자(SID)
    • 처리된 개체의 시간대 식별자
    • 처리된 개체 다운로드의 웹 주소(디스크에 있는 파일만 해당)
    • 파일을 다운로드한 애플리케이션의 이름
    • 파일을 다운로드한 애플리케이션의 MD5 및 SHA256 해시
    • 파일을 마지막으로 수정한 애플리케이션의 이름
    • 파일을 마지막으로 수정한 애플리케이션의 MD5 및 SHA256 해시
    • 처리된 개체 시작 수
    • 처리된 개체가 처음 시작된 날짜 및 시간
    • 파일의 고유 식별자
    • 파일의 전체 이름(로컬 파일 이름 또는 다운로드한 파일 웹 주소)
    • 처리된 Windows 레지스트리 변수의 경로
    • 처리된 Windows 레지스트리 변수의 이름
    • 처리된 Windows 레지스트리 변수의 값
    • 처리된 Windows 레지스트리 변수의 유형
    • 자동 실행 포인트에 있는 처리된 레지스트리 키 멤버십의 표시기
    • 처리된 웹 요청의 웹 주소
    • 처리된 웹 요청의 링크 소스
    • 처리된 웹 요청의 사용자 에이전트
    • 처리된 웹 요청 유형(GET 또는 POST)
    • 처리된 웹 요청의 로컬 IP 포트
    • 처리된 웹 요청의 원격 IP 포트
    • 처리된 웹 요청의 연결 방향(인바운드 또는 아웃바운드)
    • 악성 코드가 포함된 프로세스의 식별자

이 글이 도움이 되었습니까?
무엇을 더 개선할 수 있겠습니까?
피드백을 주셔서 감사합니다! 개선에 도움이 됩니다.
피드백을 주셔서 감사합니다! 개선에 도움이 됩니다.