Kaspersky Endpoint Detection and Response
Kaspersky Endpoint Detection and Response
若 Kaspersky Endpoint Security 被解除安裝,則應用程式本機儲存在電腦上的所有資料將被從電腦中刪除。
由於 IOC 掃描 工作執行(標準工作)收到的資料
Kaspersky Endpoint Security 會自動提交 IOC 掃描 工作執行結果的資料到卡巴斯基安全管理中心。
IOC 掃描工作執行結果中的資料可能包含以下資訊:
- 來自 ARP 表的 IP 位址
- 來自 ARP 表的實體地址
- DNS 記錄類型和名稱
- 受防護電腦的 IP 位址
- 受防護電腦的實體地址(MAC 位址)
- 事件日誌項目中的識別碼
- 記錄中的資料來源名稱
- 記錄名稱
- 事件時間
- 檔案的 MD5 和 SHA256 雜湊
- 檔案的完整名稱(包括路徑)
- 檔案大小
- 掃描期間建立連線的遠端 IP 位址和連接埠
- 本機介面卡 IP 位址
- 本機介面卡上開啟的連接埠
- 數字形式的通訊協定(符合 IANA 標準)
- 處理程序名稱
- 處理程序引數
- 處理程序檔案的路徑
- 處理程序的 Windows 識別碼 (PID)
- 父處理程序的 Windows 識別碼 (PID)
- 啟動處理程序的使用者帳戶
- 處理程序開始的日期和時間
- 服務名稱
- 服務說明
- DLL 服務的路徑和名稱(對於 svchost)
- 服務可執行檔的路徑和名稱
- 服務的 Windows 識別碼 (PID)
- 服務類型(例如,內核驅動程式或介面卡)
- 服務狀態
- 服務啟動模式
- 使用者帳戶名稱
- 磁碟區名稱
- 磁碟區字母
- 磁碟區類型
- Windows 登錄值
- 登錄區值
- 登錄機碼路徑(沒有登錄區和值名稱)
- 登錄設定
- 系統(環境)
- 電腦上安裝的作業係統的名稱和版本
- 受防護電腦的網路名稱
- 受防護電腦所屬的網域或群組
- 瀏覽器名稱
- 瀏覽器版本
- 上次存取 Web 資源的時間
- 來自 HTTP 請求的 URL
- 用於 HTTP 請求的帳戶名稱
- 發出 HTTP 請求的處理程序的檔案名稱
- 發出 HTTP 請求的處理程序的檔案的完整路徑
- 發出 HTTP 請求的處理程序的 Windows 識別碼 (PID)
- HTTP 推薦者(HTTP 請求來源 URL)
- 透過 HTTP 請求的資源的 URI
- 有關 HTTP 使用者代理(發出 HTTP 請求的應用程式)的資訊
- HTTP 請求執行時間
- 發出 HTTP 請求的處理程序的唯一識別碼
用於建立威脅發展鏈的資料
用於建立威脅發展鏈的資料預設儲存 7 天。資料會自動傳送到卡巴斯基安全管理中心。
用於建立威脅發展鏈的資料可能包含以下資訊:
- 事件日期和時間
- 偵測名稱
- 掃描模式
- 與偵測相關的最後一個動作的狀態
- 偵測處理失敗的原因
- 偵測到的物件類型
- 偵測到的物件名稱
- 物件被處理後的威脅狀態
- 對物件執行操作失敗的原因
- 為回溯惡意操作而執行的操作
- 被處理物件的相關資訊:
- 處理程序的唯一識別碼
- 父處理程序的唯一識別碼
- 處理程序檔案的唯一識別碼
- Windows 處理程序識別碼 (PID)
- 處理程序指令行
- 啟動處理程序的使用者帳戶
- 執行處理程序的登錄工作階段的代碼
- 執行處理程序的工作階段的類型
- 被處理的處理程序的完整性級別
- 在特權本機和網域群組中啟動處理程序的使用者帳戶的成員身份
- 被處理物件的識別碼
- 被處理物件的全名
- 受防護裝置的識別碼
- 物件全名(本機檔案名稱或下載的檔案網址)
- 被處理物件的 MD5 或 SHA256 雜湊
- 被處理物件的類型
- 被處理物件的建立日期
- 最後修改被處理物件的日期
- 被處理物件的大小
- 被處理物件的屬性
- 簽署被處理物件的組織
- 被處理物件數位憑證校驗結果
- 被處理物件的安全識別碼 (SID)
- 被處理物件的時區識別碼
- 被處理物件下載網址(僅適用於磁碟上的檔案)
- 下載檔案的應用程式的名稱
- 下載檔案的應用程式的 MD5 和 SHA256 雜湊
- 最後修改檔案的應用程式的名稱
- 最後修改檔案的應用程式的 MD5 和 SHA256 雜湊
- 被處理物件啟動的數目
- 首次啟動被處理物件的日期和時間
- 檔案的唯一識別碼
- 檔案全名(本機檔案名稱或下載的檔案網址)
- 被處理的 Windows 登錄變數的路徑
- 被處理的 Windows 登錄變數的名稱
- 被處理的 Windows 登錄變數的值
- 被處理的 Windows 登錄變數的類型
- 自動執行點中被處理登錄機碼成員資格指示器
- 被處理的 Web 請求的網址
- 被處理的 Web 請求的連接來源
- 被處理的 Web 請求的使用者代理
- 被處理的 Web 請求的類型(GET 或 POST)。
- 被處理的 Web 請求的本機 IP 連接埠
- 被處理的 Web 請求的遠端 IP 連接埠
- 被處理的 Web 請求的連線方向(傳入或傳出)
- 嵌入惡意代碼的處理程序的識別碼
此文章對您有幫助嗎?
我們可以如何改善?
感謝您的意見回饋!您正協助我們改善。
感謝您的意見回饋!您正協助我們改善。