Kaspersky Endpoint Detection and Response

Wszystkie dane, które aplikacja przechowuje lokalnie na komputerze, są usuwane z komputera po odinstalowaniu Kaspersky Endpoint Security.

Dane otrzymane w wyniku wykonania zadania Skanowanie IOC (zadanie standardowe)

Kaspersky Endpoint Security automatycznie przesyła dane dotyczące wyników wykonania zadania skanowania Skanowanie IOC do Kaspersky Security Center.

Dane uwzględnione w wynikach wykonania zadania Skanowanie IOC mogą zawierać następujące informacje:

• Adres IP z tablicy ARP
• Adres fizyczny z tablicy ARP
• Typ i nazwa rekordu DNS
• Adres IP chronionego urządzenia
• Adres fizyczny (adres MAC) chronionego urządzenia
• Identyfikator uwzględniony we wpisie dziennika zdarzeń
• Nazwa źródła danych zapisana w dzienniku
• Nazwa dziennika
• Czas zdarzenia
• Skróty MD5 i SHA256 pliku
• Pełna nazwa pliku (łącznie ze ścieżką)
• Rozmiar pliku
• Zdalny adres IP, z którym nawiązano połączenie podczas skanowania
• Adres IP lokalnej karty sieciowej
• Port otwarty na lokalnej karcie sieciowej
• Numer protokołu (zgodnie ze standardem IANA)
• Nazwa procesu
• Argumenty procesu
• Ścieżka do pliku procesu
• Identyfikator procesu (PID) systemu Windows
• Identyfikator procesu nadrzędnego (PID) systemu Windows
• Konto użytkownika, które rozpoczęło proces
• Data i godzina rozpoczęcia procesu
• Nazwa usługi
• Opis usługi
• Ścieżka i nazwa usługi DLL (svchost)
• Ścieżka i nazwa pliku wykonywalnego usługi
• Identyfikator usługi (PID) systemu Windows
• Typ usługi (na przykład sterownik jądra lub karta sieciowa)
• Stan usługi
• Tryb uruchomienia usługi
• Nazwa konta użytkownika
• Nazwa woluminu
• Litera woluminu
• Typ woluminu
• Wartość rejestru systemu Windows
• Wartość gałęzi rejestru
• Ścieżka klucza rejestru (bez gałęzi i nazwy wartości)
• Ustawienie rejestru
• System (środowisko)
• Nazwa i wersja systemu operacyjnego zainstalowanego na urządzeniu
• Nazwa sieciowa chronionego urządzenia
• Domena lub grupa, do której należy chronione urządzenie
• Nazwa przeglądarki
• Wersja przeglądarki
• Czas ostatniego dostępu do zasobu internetowego
• Adres URL z żądania HTTP
• Nazwa konta użyta w żądaniu HTTP
• Nazwa pliku procesu, który wykonał żądanie HTTP
• Pełna ścieżka do pliku procesu, który wykonał żądanie HTTP
• Identyfikator procesu (PID) systemu Windows, który wykonał żądanie HTTP
• Strona odsyłająca HTTP (adres URL źródła żądania HTTP)
• Identyfikator URI zasobu żądanego przez HTTP
• Informacje o kliencie użytkownika HTTP (aplikacji, która wysłała żądanie HTTP)
• Czas wykonania żądania HTTP
• Unikalny identyfikator procesu, który wykonał żądanie HTTP

Dane do tworzenia łańcucha rozwoju zagrożeń

Dane do tworzenia łańcucha rozwoju zagrożeń są domyślnie przechowywane przez siedem dni. Dane są automatycznie wysyłane do aplikacji Kaspersky Security Center.

Dane do tworzenia łańcucha rozwoju zagrożeń mogą zawierać następujące informacje:

• Data i godzina incydentu
• Nazwa wykrywania
• Tryb skanowania
• Stan ostatniej akcji związanej z wykrywaniem
• Powód niepowodzenia przetwarzania wykrywania
• Typ wykrytego obiektu
• Nazwa wykrytego obiektu
• Stan zagrożenia po przetworzeniu obiektu
• Powód niepowodzenia wykonywania akcji w odniesieniu do obiektu
• Akcje wykonywane w celu wycofania złośliwych działań
• Informacje o przetwarzanym obiekcie:
  • Unikalny identyfikator procesu
  • Unikalny identyfikator procesu nadrzędnego
  • Unikalny identyfikator pliku procesu
  • Identyfikator procesu systemu Windows (PID)
  • Wiersz polecenia procesu
  • Konto użytkownika, które rozpoczęło proces
  • Kod sesji logowania, w której proces jest uruchomiony
  • Typ sesji, w której proces jest uruchomiony
  • Poziom integralności przetwarzanego obiektu
  • Członkostwo konta użytkownika, które rozpoczęło proces, w uprzywilejowanych grupach lokalnych i domenowych
  • Identyfikator przetwarzanego obiektu
  • Pełna nazwa przetwarzanego obiektu
  • Identyfikator chronionego urządzenia
  • Pełna nazwa obiektu (lokalna nazwa pliku lub adres internetowy pobranego pliku)
  • Skrót MD5 lub SHA256 przetwarzanego obiektu
  • Typ przetwarzanego obiektu
  • Data utworzenia przetwarzanego obiektu
  • Data ostatniej modyfikacji przetwarzanego obiektu
  • Rozmiar przetwarzanego obiektu
  • Atrybuty przetwarzanego obiektu
  • Organizacja sygnująca przetwarzany obiekt
  • Wynik weryfikacji certyfikatu cyfrowego przetwarzanego obiektu
  • Identyfikator zabezpieczeń (SID) przetwarzanego obiektu
  • Identyfikator strefy czasowej przetwarzanego obiektu
  • Adres internetowy pobierania przetwarzanego obiektu (tylko dla plików na dysku)
  • Nazwa aplikacji, która pobrała plik
  • Skróty MD5 i SHA256 aplikacji, która pobrała plik
  • Nazwa aplikacji, która ostatnio zmodyfikowała plik
  • Skróty MD5 i SHA256 aplikacji, która ostatnio zmodyfikowała plik
  • Liczba uruchomień przetwarzanego obiektu
  • Data i godzina pierwszego uruchomienia przetwarzanego obiektu
  • Unikalne identyfikatory pliku
  • Pełna nazwa pliku (lokalna nazwa pliku lub adres internetowy pobranego pliku)
  • Ścieżka do przetwarzanej zmiennej rejestru systemu Windows
  • Nazwa przetwarzanej zmiennej rejestru systemu Windows
  • Wartość przetwarzanej zmiennej rejestru systemu Windows
  • Typ przetwarzanej zmiennej rejestru systemu Windows
  • Wskaźnik członkostwa przetwarzanego klucza rejestru w punkcie automatycznego uruchamiania
  • Adres internetowy przetwarzanego żądania internetowego
  • Źródło łącza przetwarzanego żądania internetowego
  • Klient użytkownika przetwarzanego żądania internetowego
  • Typ przetwarzanego żądania internetowego (GET lub POST)
  • Lokalny port IP przetwarzanego żądania internetowego
  • Zdalny port IP przetwarzanego żądania internetowego
  • Kierunek połączenia (przychodzący lub wychodzący) przetwarzanego żądania internetowego
  • Identyfikator procesu, w którym osadzono złośliwy kod