Soporte

Soporte para empresas

Kaspersky Endpoint Security 12 para Windows

Suministro de datos

Provisión de datos al utilizar las soluciones de Detection and Response

Kaspersky Endpoint Detection and Response

Kaspersky Endpoint Security 12 para Windows
Нет результатов
Нет результатов
Ayuda Online
FAQ Requisitos del sistema Descargar Comprar Renovar Foro Contactar Asistencia Instrumentos de recuperación Videos del producto

Kaspersky Endpoint Detection and Response

14 de febrero de 2024

ID 249504

Guardar como PDF

Todos los datos que la aplicación almacena localmente en el equipo se eliminan de este cuando se desinstala Kaspersky Endpoint Security.

Datos recibidos como resultado de la ejecución de la tarea Análisis de IOC (tarea estándar)

Kaspersky Endpoint Security envía automáticamente datos sobre los resultados de la ejecución de la tarea Análisis de IOC a Kaspersky Security Center.

Los datos de los resultados de la ejecución de la tarea Análisis de IOC pueden contener la siguiente información:

  • Dirección IP de la tabla ARP
  • Dirección física de la tabla ARP
  • Nombre y tipo de registro DNS
  • Dirección IP del equipo protegido
  • Dirección física (dirección MAC) del equipo protegido
  • Identificador en la entrada del registro de eventos
  • Nombre de la fuente de datos en el registro
  • Nombre del registro
  • Hora del evento
  • Hashes MD5 y SHA256 del archivo
  • Nombre completo del archivo (incluida la ruta)
  • Tamaño del archivo
  • Dirección IP remota y puerto con los que se estableció la conexión durante el análisis
  • Dirección IP del adaptador local
  • Puerto abierto en el adaptador local
  • Protocolo como un número (de acuerdo con el estándar IANA)
  • Nombre del proceso
  • Argumentos del proceso
  • Ruta al archivo del proceso
  • Identificador de Windows (PID) del proceso
  • Identificador de Windows (PID) del proceso principal
  • Cuenta de usuario que inició el proceso
  • Fecha y hora en que comenzó el proceso
  • Nombre del servicio
  • Descripción del servicio
  • Ruta y nombre del servicio DLL (para svchost)
  • Ruta y nombre del archivo ejecutable del servicio
  • Identificador de Windows (PID) del servicio
  • Tipo de servicio (por ejemplo, un controlador o adaptador de kernel)
  • Estado del servicio
  • Modo de lanzamiento del servicio
  • Nombre de cuenta del usuario
  • Nombre del volumen
  • Letra del volumen
  • Tipo de volumen
  • Valor de registro de Windows
  • Valor de colmena de registro
  • Ruta de la clave de registro (sin colmena ni nombre de valor)
  • Configuración del registro
  • Sistema (entorno)
  • Nombre y versión del sistema operativo instalado en el equipo
  • Nombre de red del equipo protegido
  • Dominio o grupo al que pertenece el equipo protegido
  • Nombre del navegador
  • Versión del navegador
  • Hora en que se accedió por última vez al recurso web
  • URL de la solicitud HTTP
  • Nombre de la cuenta utilizada para la solicitud HTTP
  • Nombre de archivo del proceso que realizó la solicitud HTTP
  • Ruta completa al archivo del proceso que realizó la solicitud HTTP
  • Identificador de Windows (PID) del proceso que realizó la solicitud HTTP
  • Referencia HTTP (URL de origen de la solicitud HTTP)
  • URI del recurso solicitado a través de HTTP
  • Información sobre el agente de usuario HTTP (la aplicación que realizó la solicitud HTTP)
  • Tiempo de ejecución de la solicitud HTTP
  • Identificador único del proceso que realizó la solicitud HTTP

Datos para crear una cadena de desarrollo de la amenaza

Los datos para crear una cadena de desarrollo de la amenaza se almacenan durante siete días de manera predeterminada. Los datos se envían automáticamente a Kaspersky Security Center.

Los datos para crear una cadena de desarrollo de la amenaza pueden contener la siguiente información:

  • Fecha y hora del incidente
  • Nombre de detección
  • Modo de análisis
  • Estado de la última acción relacionada con la detección
  • Razón por la que falló el procesamiento de detección
  • Tipo de objeto detectado
  • Nombre del objeto detectado
  • Estado de amenaza después de que se procesa el objeto
  • Razón por la que falló la ejecución de acciones en el objeto
  • Acciones realizadas para revertir acciones maliciosas
  • Información sobre el objeto procesado:
    • Identificador único del proceso
    • Identificador único del proceso principal
    • Identificador único del archivo de proceso
    • Identificador de proceso de Windows (PID)
    • Línea de comando del proceso
    • Cuenta de usuario que inició el proceso
    • Código de la sesión de inicio de sesión en la que se está ejecutando el proceso
    • Tipo de sesión en la que se está ejecutando el proceso
    • Nivel de integridad del proceso que se está procesando
    • Membresía de la cuenta de usuario que inició el proceso en los grupos locales y de dominio privilegiados
    • Identificador del objeto procesado
    • Nombre completo del objeto procesado
    • Identificador del dispositivo protegido
    • Nombre completo del objeto (nombre de archivo local o dirección web del archivo descargado)
    • Hash MD5 o SHA256 del objeto procesado
    • Tipo de objeto procesado
    • Fecha de creación del objeto procesado
    • Fecha en que se modificó por última vez el objeto procesado
    • Tamaño del objeto procesado
    • Atributos del objeto procesado
    • Organización que firmó el objeto procesado
    • Resultado de la verificación del certificado digital del objeto procesado
    • Identificador de seguridad (SID) del objeto procesado
    • Identificador de zona horaria del objeto procesado
    • Dirección web de la descarga del objeto procesado (solo para archivos en disco)
    • Nombre de la aplicación que descargó el archivo
    • Hashes MD5 y SHA256 de la aplicación que descargó el archivo
    • Nombre de la aplicación que modificó por última vez el archivo
    • Hashes MD5 y SHA256 de la aplicación que modificó por última vez el archivo
    • Número de inicios de objetos procesados
    • Fecha y hora en que se inició por primera vez el objeto procesado
    • Identificadores únicos del archivo
    • Nombre completo del archivo (nombre del archivo local o dirección web del archivo descargado)
    • Ruta a la variable de registro de Windows procesada
    • Nombre de la variable de registro de Windows procesada
    • Valor de la variable de registro de Windows procesada
    • Tipo de la variable de registro de Windows procesada
    • Indicador de la membresía de la clave de registro procesada en el punto de ejecución automática
    • Dirección web de la solicitud web procesada
    • Origen del vínculo de la solicitud web procesada
    • Agente de usuario de la solicitud web procesada
    • Tipo de solicitud web procesada (GET o POST)
    • Puerto IP local de la solicitud web procesada
    • Puerto IP remoto de la solicitud web procesada
    • Dirección de conexión (entrante o saliente) de la solicitud web procesada
    • Identificador del proceso en el que se incrustó el código malicioso

¿El artículo le resultó útil?
¿En qué podemos mejorar?
¡Gracias por sus comentarios! Nos está ayudando a mejorar.
¡Gracias por sus comentarios! Nos está ayudando a mejorar.