Kaspersky Endpoint Detection and Response

Alle gegevens die het programma lokaal op de computer opslaat, worden van de computer verwijderd wanneer Kaspersky Endpoint Security wordt verwijderd.

Gegevens ontvangen als gevolg van IOC-scan taakuitvoering (standaardtaak)

Kaspersky Endpoint Security verzendt automatisch gegevens op de IOC-scan taakuitvoeringsresultaten naar Kaspersky Security Center.

De gegevens in de uitvoeringsresultaten van de IOC-scan-taak kunnen de volgende informatie bevatten:

• IP-adres uit de ARP-tabel
• Fysiek adres uit de ARP-tabel
• DNS-recordtype en -naam
• IP-adres van de beveiligde computer
• Fysiek adres (MAC-adres) van de beveiligde computer
• Identificatie in het gebeurtenislogboek
• Naam gegevensbron in het logboek
• Lognaam
• Het tijdstip van de gebeurtenis
• MD5- en SHA256-hashes van het bestand
• Volledige naam van het bestand (inclusief pad)
• Bestandsgrootte
• Extern IP-adres en poort waarmee tijdens het scannen verbinding is gemaakt
• IP-adres lokale adapter
• Poort open op de lokale adapter
• Protocol als nummer (volgens de IANA-standaard)
• De naam van het proces
• Argumenten verwerken
• Pad naar het procesbestand
• Windows-identificatie (PID) van het proces
• Windows-identificatie (PID) van het bovenliggende proces
• Gebruikersaccount waarmee het proces is gestart
• Datum en tijd waarop het proces is gestart
• Service naam
• Dienstbeschrijving
• Pad en naam van de DLL-service (voor svchost)
• Pad en naam van het uitvoerbare servicebestand
• Windows-ID (PID) van de service
• Servicetype (bijvoorbeeld een kernelstuurprogramma of adapter)
• Service status
• Servicestartmodus
• Gegevens van gebruikersaccount
• Volumenaam
• Volume brief
• Volumetype
• Windows-registerbestanden
• Registercomponentwaarde
• Pad naar registersleutel (zonder component en waardenaam)
• Register instelling
• Systeem (omgeving)
• Naam en versie van het besturingssysteem dat op de computer is geïnstalleerd
• Netwerknaam van de beveiligde computer
• Domein of groep waartoe de beveiligde computer behoort
• Browsernaam
• Versie van de browser
• Tijdstip waarop de webresource voor het laatst is geopend
• URL van het HTTP-verzoek
• Naam van het account dat wordt gebruikt voor het HTTP-verzoek
• Bestandsnaam van het proces dat het HTTP-verzoek heeft gedaan
• Volledig pad naar het bestand van het proces dat het HTTP-verzoek heeft gedaan
• Windows-identificatie (PID) van het proces dat het HTTP-verzoek heeft gedaan
• HTTP-verwijzer (HTTP-verzoek bron-URL)
• URI van de resource aangevraagd via HTTP
• Informatie over de HTTP-user-agent (de applicatie die het HTTP-verzoek heeft gedaan)
• Uitvoeringstijd van HTTP-verzoek
• Unieke identificatie van het proces dat het HTTP-verzoek heeft gedaan

Gegevens voor het maken van een ontwikkelingsketen voor bedreigingen

Gegevens voor het maken van een ontwikkelingsketen voor bedreigingen worden standaard zeven dagen bewaard. De gegevens worden automatisch naar Kaspersky Security Center verzonden.

Gegevens voor het maken van een ontwikkelingsketen voor bedreigingen kunnen de volgende informatie bevatten:

• Datum en tijd van het incident
• Detectie naam
• Scan-modus
• Status van de laatste actie met betrekking tot de detectie
• Reden waarom de detectieverwerking is mislukt
• Gedetecteerd objecttype
• Naam gedetecteerd object
• Bedreigingsstatus nadat het object is verwerkt
• Reden waarom uitvoering van acties op het object is mislukt
• Acties die zijn uitgevoerd om kwaadaardige acties ongedaan te maken
• Informatie over het verwerkte object:
  • Unieke identificatie van het proces
  • Unieke identificatie van het bovenliggende proces
  • Unieke identificatie van het procesbestand
  • Windows-proces-ID (PID)
  • Verwerk de opdrachtregel
  • Gebruikersaccount waarmee het proces is gestart
  • Code van de aanmeldingssessie waarin het proces wordt uitgevoerd
  • Type van de sessie waarin het proces wordt uitgevoerd
  • Integriteitsniveau van het verwerkte proces
  • Lidmaatschap van het gebruikersaccount waarmee het proces is gestart in de geprivilegieerde lokale en domeingroepen
  • Identificatie van het verwerkte object
  • Volledige naam van het verwerkte object
  • Identificatie van het beveiligde apparaat
  • Volledige naam van het object (lokale bestandsnaam of gedownload bestand webadres)
  • MD5- of SHA256-hash van het verwerkte object
  • Type van het verwerkte object
  • Aanmaakdatum van het verwerkte object
  • Datum waarop het verwerkte object voor het laatst is gewijzigd
  • Grootte van het verwerkte object
  • Attributen van het verwerkte object
  • Organisatie die het verwerkte object heeft ondertekend
  • Resultaat van de verificatie van het digitale certificaat van het verwerkte object
  • Beveiligings-ID (SID) van het verwerkte object
  • Tijdzone-ID van het verwerkte object
  • Webadres van de verwerkte objectdownload (alleen voor bestanden op schijf)
  • Naam van de toepassing die het bestand heeft gedownload
  • MD5 en SHA256-hashes van de toepassing die het bestand heeft gedownload
  • Naam van de toepassing die het bestand het laatst heeft gewijzigd
  • MD5 en SHA256-hashes van de toepassing die het bestand het laatst heeft gewijzigd
  • Aantal verwerkte objectstarts
  • Datum en tijd waarop het verwerkte object voor het eerst is gestart
  • Unieke ID's van het bestand
  • Volledige naam van het bestand (lokale bestandsnaam of gedownload bestand webadres)
  • Pad naar de verwerkte Windows-registervariabele
  • Naam van de verwerkte Windows-registervariabele
  • Waarde van de verwerkte Windows-registervariabele
  • Type van de verwerkte Windows-registervariabele
  • Indicator van het verwerkte lidmaatschap van de registersleutel in het punt voor automatisch starten
  • Webadres van het verwerkte webverzoek
  • Linkbron van het verwerkte webverzoek
  • User-agent van het verwerkte webverzoek
  • Type van het verwerkte webverzoek (GET of POST)
  • Lokale IP-poort van het verwerkte webverzoek
  • Externe IP-poort van het verwerkte webverzoek
  • Verbindingsrichting (inkomend of uitgaand) van het verwerkte webverzoek
  • Identificatie van het proces waarin de schadelijke code is ingebed