Kaspersky Endpoint Detection and Response

Uygulamanın bilgisayarda yerel olarak depoladığı tüm veriler, Kaspersky Endpoint Security kaldırıldığında bilgisayardan silinir.

IOC Taraması görevinin yürütülmesi (standart görev) sonucunda alınan veriler

Kaspersky Endpoint Security, IOC Taraması görevi yürütme sonuçlarına ilişkin verileri otomatik olarak Kaspersky Security Center'a gönderir.

IOC Taraması görevi yürütme sonuçlarındaki veriler şu bilgileri içerebilir:

• ARP tablosundan IP adresi
• ARP tablosundan fiziksel adres
• DNS kayıt türü ve adı
• Korunan bilgisayarın IP adresi
• Korunan bilgisayarın fiziksel adresi (MAC adresi)
• Olay günlüğü girişindeki tanımlayıcı
• Günlükteki veri kaynağı adı
• Günlük adı
• Olay zamanı
• Dosyanın MD5 ve SHA256 karmaları
• Dosyanın tam adı (yol dahil olmak üzere)
• Dosya boyutu
• Tarama sırasında bağlantı kurulan uzak IP adresi ve bağlantı noktası
• Yerel bağdaştırıcı IP adresi
• Yerel bağdaştırıcıda açık bağlantı noktası
• Sayı olarak protokol (IANA standardına uygun olarak)
• İşlem adı
• İşlem argümanları
• İşlem dosyasının yolu
• İşlemin Windows tanımlayıcısı (PID)
• Ana işlemin Windows tanımlayıcısı (PID)
• İşlemi başlatan kullanıcı hesabı
• İsteğin başladığı tarih ve saat
• Hizmet adı
• Hizmet açıklaması
• DLL hizmetinin yolu ve adı (svchost için)
• Hizmet yürütülebilir dosyasının yolu ve adı
• Hizmetin Windows tanımlayıcısı (PID)
• Hizmet türü (örneğin, bir çekirdek sürücüsü veya bağdaştırıcı)
• Hizmet durumu
• Hizmet başlatma modu
• Kullanıcı hesabı adı
• Birim adı
• Birim harfi
• Birim tipi
• Windows kayıt defteri değeri
• Kayıt defteri kovanı değeri
• Kayıt anahtarı yolu (kovan ve değer adı olmadan)
• Kayıt defteri ayarı
• Sistem (ortam)
• Bilgisayarda yüklü olan işletim sisteminin adı ve sürümü
• Korunan bilgisayarın ağ adı
• Korunan bilgisayarın ait olduğu etki alanı veya grup
• Tarayıcı adı
• Tarayıcı sürümü
• Web kaynağına en son erişim zamanı
• HTTP isteğinden URL
• HTTP isteği için kullanılan hesabın adı
• HTTP isteğini yapan işlemin dosya adı
• HTTP isteğini yapan işlemin dosyasının tam yolu
• HTTP isteğini yapan işlemin Windows tanımlayıcısı (PID)
• HTTP yönelten (HTTP istek kaynağı URL'si)
• HTTP üzerinden istenen kaynağın URI'si
• HTTP kullanıcı aracısı (HTTP isteğini yapan uygulama) hakkında bilgi
• HTTP isteği yürütme süresi
• HTTP isteğini yapan işlemin benzersiz tanımlayıcısı

Tehdit geliştirme zinciri oluşturmak için veriler

Bir tehdit geliştirme zinciri oluşturmak için kullanılan veriler varsayılan olarak yedi gün boyunca saklanır. Veriler otomatik olarak Kaspersky Security Center'a gönderilir.

Bir tehdit geliştirme zinciri oluşturmaya yönelik veriler şu bilgileri içerebilir:

• Olay tarihi ve saati
• Tespit adı
• Tarama modu
• Tespitle ilgili son eylemin durumu
• Tespit işleminin başarısız olmasının nedeni
• Tespit edilen nesne türü
• Tespit edilen nesne adı
• Nesne işlendikten sonra tehdit durumu
• Nesne üzerindeki eylemlerin yürütülmesinin başarısız olmasının nedeni
• Kötü amaçlı eylemleri geri almak için gerçekleştirilen eylemler
• İşlenen nesne hakkında bilgiler:
  • İşlemin benzersiz tanımlayıcısı
  • Ana işlemin benzersiz tanımlayıcısı
  • İşlem dosyasının benzersiz tanımlayıcısı
  • Windows işlem tanımlayıcısı (PID)
  • İşlem komut satırı
  • İşlemi başlatan kullanıcı hesabı
  • İşlemin çalıştığı giriş oturumunun kodu
  • İşlemin çalıştığı oturumun türü
  • İşlemnlemkte İşlenmekte olan işlemin bütünlük düzeyi
  • İşlemi başlatan kullanıcı hesabının ayrıcalıklı yerel ve etki alanı gruplarındaki üyeliği
  • İşlenen nesnenin tanımlayıcısı
  • İşlenen nesnenin tam adı
  • Korunan aygıtın tanımlayıcısı
  • Nesnenin tam adı (yerel dosya adı veya indirilen dosya web adresi)
  • İşlenen nesnenin MD5 veya SHA256 karması
  • İşlenen nesnenin türü
  • İşlenen nşlenen nesnenin oluşturulma tarihi
  • İşlenen nesnenin en son değiştirildiği tarih
  • İşlenen nesnenin boyutu
  • İşlenen nesnenin öznitelikleri
  • İşlenen nesneyi imzalayan kuruluş
  • İşlenen nesne dijital sertifika doğrulamasının sonucu
  • İşlenen nesnenin güvenlik tanımlayıcısı (SID)
  • İşlenen nesnenin saat dilimi tanımlayıcısı
  • İşlenen nesnenin indirileceği web adresi (yalnızca diskteki dosyalar için)
  • Dosyayı indiren uygulamanın adı
  • Dosyayı indiren uygulamanın MD5 ve SHA256 karmaları
  • Dosyayı en son değiştiren uygulamanın adı
  • Dosyayı en son değiştiren uygulamanın MD5 ve SHA256 karmaları
  • İşlenen nesne başlangıçlarının sayısı
  • İşlenen nesnenin ilk başlatıldığı tarih ve saat
  • Dosyanın benzersiz tanımlayıcıları
  • Dosyanın tam adı (yerel dosya adı veya indirilen dosya web adresi)
  • İşlenen Windows kayıt defteri değişkeninin yolu
  • İşlenen Windows kayıt defteri değişkeninin adı
  • İşlenen Windows kayıt defteri değişkeninin değeri
  • İşlenen Windows kayıt defteri değişkeninin türü
  • Otomatik çalıştırma noktasında işlenen kayıt defteri anahtarı üyeliğinin göstergesi
  • İşlenen web isteğinin web adresi
  • İşlenen web isteğinin bağlantı kaynağı
  • İşlenen web isteğinin kullanıcı aracısı
  • İşlenen web isteğinin türü (GET veya POST)
  • İşlenen web isteğinin yerel IP bağlantı noktası
  • İşlenen web isteğinin uzak IP bağlantı noktası
  • İşlenen web isteğinin bağlantı yönü (gelen veya giden)
  • Kötü amaçlı kodun gömülü olduğu işlemin tanımlayıcısı