Apoio

Suporte técnico para soluções empresariais

Kaspersky Endpoint Security 12 for Windows

Fornecimento de dados

Fornecimento de dados ao usar soluções de Detection and Response

Kaspersky Endpoint Detection and Response

Kaspersky Endpoint Security 12 for Windows
Нет результатов
Нет результатов
Ajuda online
Perguntas frequentes Requisitos do sistema Transferir Comprar Renovar Fórum Contactar suporte Ferramentas de recuperação Vídeos do produto

Kaspersky Endpoint Detection and Response

14 de fevereiro de 2024

ID 249504

Guardar como PDF

Todos os dados que a aplicação armazena localmente no computador, são eliminados do computador quando o Kaspersky Endpoint Security for desinstalado.

Dados recebidos como resultado da execução da tarefa Verificação IOC (tarefa padrão)

O Kaspersky Endpoint Security envia dados automaticamente nos resultados da execução da tarefa Verificação IOC para o Kaspersky Security Center.

Os dados nos resultados da execução da tarefa Verificação IOC podem conter as seguintes informações:

  • Endereço IP da tabela ARP
  • Morada física da tabela ARP
  • Tipo e nome do registo DNS
  • Endereço IP do computador protegido
  • Endereço físico (endereço MAC) do computador protegido
  • Identificador na entrada do registo de eventos
  • Nome da origem de dados no registo
  • Nome do registo
  • Hora do evento
  • Hashes MD5 e SHA256 do ficheiro
  • Nome completo do ficheiro (incluindo caminho)
  • Tamanho do ficheiro
  • Endereço IP remoto e porta ao qual a ligação foi estabelecida durante a verificação
  • Endereço IP do adaptador local
  • Porta aberta no adaptador local
  • Protocolo como um número (de acordo com o padrão da IANA)
  • Nome do processo
  • Argumentos do processo
  • Caminho para o ficheiro do processo
  • Identificador do Windows (PID) do processo
  • Identificador do Windows (PID) do processo principal
  • Conta do utilizador que iniciou o processo
  • Data e hora em que o processo foi iniciado
  • Nome do serviço
  • Descrição do serviço
  • Caminho e nome do serviço DLL (para svchost)
  • Caminho e nome do ficheiro executável do serviço
  • Identificador do Windows (PID) do serviço
  • Tipo de serviço (por exemplo, um controlador ou adaptador de kernel)
  • Estado do serviço
  • Modo de inicialização do serviço
  • Credenciais da conta do utilizador
  • Nome do volume
  • Letra do volume
  • Tipo do volume
  • Valor de registo do Windows
  • Valor do ramo de registo
  • Caminho da chave do registo (sem ramo e nome do valor)
  • Configuração do registo
  • Sistema (ambiente)
  • Nome e versão do sistema operativo que está instalado no computador
  • Nome da rede do computador protegido
  • Domínio ou grupo a que o computador protegido pertence
  • Nome do navegador de Internet
  • Versão do navegador de Internet
  • Hora em que o recurso da web foi acedido pela última vez
  • URL da solicitação HTTP
  • Nome da conta usada para a solicitação HTTP
  • Nome do ficheiro do processo que fez a solicitação HTTP
  • Caminho completo para o ficheiro do processo que fez a solicitação HTTP
  • Identificador do Windows (PID) do processo que fez a solicitação HTTP
  • Referenciador HTTP (URL de origem da solicitação HTTP)
  • URI do recurso solicitado por HTTP
  • Informações sobre o agente do utilizador HTTP (a aplicação que fez a solicitação HTTP)
  • Tempo de execução da solicitação HTTP
  • Identificador exclusivo do processo que fez a solicitação HTTP

Dados para criar uma cadeia de desenvolvimento de ameaças

Os dados para criar uma cadeia de desenvolvimento de ameaças são armazenados durante sete dias por predefinição. Os dados são enviados automaticamente para o Kaspersky Security Center.

Os dados para criar uma cadeia de desenvolvimento de ameaças podem conter as seguintes informações:

  • Data e hora do incidente
  • Nome da deteção
  • Modo de verificação
  • Estado da última ação relacionada com a deteção
  • Razão pela qual o processamento de deteção falhou
  • Tipo de objeto detetado
  • Nome do objeto detetado
  • Estado da ameaça após o processamento do objeto
  • Razão pela qual a execução de ações no objeto falhou
  • Ações executadas para reverter ações maliciosas
  • Informações sobre o objeto processado:
    • Identificador único do processo
    • Identificador exclusivo do processo principal
    • Identificador exclusivo do ficheiro do processo
    • Identificador do processo do Windows (PID)
    • Linha de comandos do processo
    • Conta do utilizador que iniciou o processo
    • Código da sessão de início de sessão em que o processo está em execução
    • Tipo da sessão em que o processo está a ser executado
    • Nível de integridade do processo que está a ser executado
    • Associação da conta de utilizador que iniciou o processo nos grupos locais e de domínio privilegiados
    • Identificador do objeto processado
    • Nome completo do objeto processado
    • Identificador do dispositivo protegido
    • Nome completo do objeto (nome do ficheiro local ou endereço da Internet do ficheiro transferido)
    • Hash MD5 ou SHA256 do objeto processado
    • Tipo de objeto processado
    • Data de criação do objeto processado
    • Data em que o objeto processado foi modificado pela última vez
    • Tamanho do objeto processado
    • Atributos do objeto processado
    • Organização que assinou o objeto processado
    • Resultado da verificação do certificado digital do objeto processado
    • Identificador de segurança (SID) do objeto processado
    • Identificador de fuso horário do objeto processado
    • Endereço da Internet da transferência do objeto processado (apenas para ficheiros em disco)
    • Nome da aplicação que transferiu o ficheiro
    • Hashes MD5 e SHA256 da aplicação que transferiu o ficheiro
    • Nome da aplicação que modificou o ficheiro pela última vez
    • Hashes MD5 e SHA256 da aplicação que modificou o ficheiro pela última vez
    • Número de inicializações de objetos processados
    • Data e hora em que o objeto processado foi iniciado pela primeira vez
    • Identificadores exclusivos do ficheiro
    • Nome completo do ficheiro (nome do ficheiro local ou endereço da Internet do ficheiro transferido)
    • Caminho para a variável de registo do Windows processada
    • Nome da variável de registo do Windows processada
    • Valor da variável de registo do Windows processada
    • Tipo da variável de registo do Windows processada
    • Indicador da associação da chave de registo processada no ponto de execução automática
    • Endereço da Internet do pedido Web processado
    • Origem da ligação do pedido Web processado
    • Agente do utilizador do pedido Web processado
    • Tipo do pedido Web processado (GET ou POST)
    • Porta IP local do pedido Web processado
    • Porta IP remota do pedido Web processado
    • Direção da ligação (entrada ou saída) do pedido Web processado
    • Identificador do processo em que o código malicioso foi integrado

Achou este artigo útil?
O que podemos melhorar?
Agradecemos o seu comentário! Está a ajudar-nos a melhorar.
Agradecemos o seu comentário! Está a ajudar-nos a melhorar.