Kaspersky Sandbox
Wszystkie dane, które aplikacja przechowuje lokalnie na komputerze, są usuwane z komputera po odinstalowaniu Kaspersky Endpoint Security.
Dane serwisowe
Kaspersky Endpoint Security przechowuje następujące dane przetwarzane podczas automatycznego reagowania:
- Przetwarzane pliki i dane wprowadzone przez użytkownika podczas konfigurowania wbudowanego agenta Kaspersky Endpoint Security:
- Pliki poddane kwarantannie
- Klucz publiczny certyfikatu używanego do zintegrowania z serwerem Kaspersky Sandbox
- Pamięć podręczna wbudowanego agenta Kaspersky Endpoint Security:
- Czas zapisania wyników skanowania w pamięci podręcznej
- Skrót MD5 zadania skanowania
- Identyfikator zadania skanowania
- Wynik skanowania obiektu
- Kolejka żądań skanowania obiektów:
- Identyfikator obiektu w kolejce
- Czas umieszczenia obiektu w kolejce
- Stan przetwarzania obiektu w kolejce
- Identyfikator sesji użytkownika w systemie operacyjnym, w którym utworzono zadanie skanowania obiektów
- Identyfikator systemu (SID) użytkownika systemu operacyjnego, którego konto zostało użyte do utworzenia zadania
- Skrót MD5 zadania skanowania obiektów
- Informacje o zadaniach, dla których wbudowany agent Kaspersky Endpoint Security oczekuje na wyniki skanowania z serwera Kaspersky Sandbox:
- Godzina odebrania zadania skanowania obiektu
- Stan przetwarzania obiektu
- Identyfikator sesji użytkownika w systemie operacyjnym, w którym utworzono zadanie skanowania obiektów
- Identyfikator zadania skanowania obiektów
- Skrót MD5 zadania skanowania obiektów
- Identyfikator systemu (SID) użytkownika systemu operacyjnego, którego konto zostało użyte do utworzenia zadania
- Schemat XML automatycznie tworzonego wskaźnika IOC
- Skrót MD5 lub SHA256 skanowanego obiektu
- Błędy przetwarzania
- Nazwy obiektów, dla których utworzono zadanie
- Wynik skanowania obiektu
Dane uwzględnione w żądaniach kierowanych do serwera Kaspersky Sandbox
Następujące dane z żądań z wbudowanego agenta Kaspersky Endpoint Security do Kaspersky Sandbox są przechowywane lokalnie na komputerze:
- Skrót MD5 zadania skanowania
- Identyfikator zadania skanowania
- Zeskanowany obiekt i wszystkie powiązane pliki
Dane otrzymane w wyniku wykonania zadania Skanowanie IOC (zadanie autonomiczne)
Kaspersky Endpoint Security automatycznie przesyła dane dotyczące wyników wykonania zadania skanowania Skanowanie IOC do Kaspersky Security Center.
Dane uwzględnione w wynikach wykonania zadania Skanowanie IOC mogą zawierać następujące informacje:
- Adres IP z tablicy ARP
- Adres fizyczny z tablicy ARP
- Typ i nazwa rekordu DNS
- Adres IP chronionego urządzenia
- Adres fizyczny (adres MAC) chronionego urządzenia
- Identyfikator uwzględniony we wpisie dziennika zdarzeń
- Nazwa źródła danych zapisana w dzienniku
- Nazwa dziennika
- Czas zdarzenia
- Skróty MD5 i SHA256 pliku
- Pełna nazwa pliku (łącznie ze ścieżką)
- Rozmiar pliku
- Zdalny adres IP, z którym nawiązano połączenie podczas skanowania
- Adres IP lokalnej karty sieciowej
- Port otwarty na lokalnej karcie sieciowej
- Numer protokołu (zgodnie ze standardem IANA)
- Nazwa procesu
- Argumenty procesu
- Ścieżka do pliku procesu
- Identyfikator procesu (PID) systemu Windows
- Identyfikator procesu nadrzędnego (PID) systemu Windows
- Konto użytkownika, które rozpoczęło proces
- Data i godzina rozpoczęcia procesu
- Nazwa usługi
- Opis usługi
- Ścieżka i nazwa usługi DLL (svchost)
- Ścieżka i nazwa pliku wykonywalnego usługi
- Identyfikator usługi (PID) systemu Windows
- Typ usługi (na przykład sterownik jądra lub karta sieciowa)
- Stan usługi
- Tryb uruchomienia usługi
- Nazwa konta użytkownika
- Nazwa woluminu
- Litera woluminu
- Typ woluminu
- Wartość rejestru systemu Windows
- Wartość gałęzi rejestru
- Ścieżka klucza rejestru (bez gałęzi i nazwy wartości)
- Ustawienie rejestru
- System (środowisko)
- Nazwa i wersja systemu operacyjnego zainstalowanego na urządzeniu
- Nazwa sieciowa chronionego urządzenia
- Domena lub grupa, do której należy chronione urządzenie
- Nazwa przeglądarki
- Wersja przeglądarki
- Czas ostatniego dostępu do zasobu internetowego
- Adres URL z żądania HTTP
- Nazwa konta użyta w żądaniu HTTP
- Nazwa pliku procesu, który wykonał żądanie HTTP
- Pełna ścieżka do pliku procesu, który wykonał żądanie HTTP
- Identyfikator procesu (PID) systemu Windows, który wykonał żądanie HTTP
- Strona odsyłająca HTTP (adres URL źródła żądania HTTP)
- Identyfikator URI zasobu żądanego przez HTTP
- Informacje o kliencie użytkownika HTTP (aplikacji, która wysłała żądanie HTTP)
- Czas wykonania żądania HTTP
- Unikalny identyfikator procesu, który wykonał żądanie HTTP