支援

企業解決方案支援

Kaspersky Endpoint Security 12 for Windows

資料提供

使用 Detection and Response 解決方案時的資料提供

Kaspersky Endpoint Detection and Response

Kaspersky Endpoint Security 12 for Windows
Нет результатов
Нет результатов
線上說明
常見問題 系統要求 下載 購買 續訂 論壇 聯絡支援 修復工具 產品影片

Kaspersky Endpoint Detection and Response

2024年2月14日

ID 249504

另存為 PDF

若 Kaspersky Endpoint Security 被解除安裝,則應用程式本機儲存在電腦上的所有資料將被從電腦中刪除。

由於 IOC 掃描 工作執行(標準工作)收到的資料

Kaspersky Endpoint Security 會自動提交 IOC 掃描 工作執行結果的資料到卡巴斯基安全管理中心。

IOC 掃描工作執行結果中的資料可能包含以下資訊:

  • 來自 ARP 表的 IP 位址
  • 來自 ARP 表的實體地址
  • DNS 記錄類型和名稱
  • 受防護電腦的 IP 位址
  • 受防護電腦的實體地址(MAC 位址)
  • 事件日誌項目中的識別碼
  • 記錄中的資料來源名稱
  • 記錄名稱
  • 事件時間
  • 檔案的 MD5 和 SHA256 雜湊
  • 檔案的完整名稱(包括路徑)
  • 檔案大小
  • 掃描期間建立連線的遠端 IP 位址和連接埠
  • 本機介面卡 IP 位址
  • 本機介面卡上開啟的連接埠
  • 數字形式的通訊協定(符合 IANA 標準)
  • 處理程序名稱
  • 處理程序引數
  • 處理程序檔案的路徑
  • 處理程序的 Windows 識別碼 (PID)
  • 父處理程序的 Windows 識別碼 (PID)
  • 啟動處理程序的使用者帳戶
  • 處理程序開始的日期和時間
  • 服務名稱
  • 服務說明
  • DLL 服務的路徑和名稱(對於 svchost)
  • 服務可執行檔的路徑和名稱
  • 服務的 Windows 識別碼 (PID)
  • 服務類型(例如,內核驅動程式或介面卡)
  • 服務狀態
  • 服務啟動模式
  • 使用者帳戶名稱
  • 磁碟區名稱
  • 磁碟區字母
  • 磁碟區類型
  • Windows 登錄值
  • 登錄區值
  • 登錄機碼路徑(沒有登錄區和值名稱)
  • 登錄設定
  • 系統(環境)
  • 電腦上安裝的作業係統的名稱和版本
  • 受防護電腦的網路名稱
  • 受防護電腦所屬的網域或群組
  • 瀏覽器名稱
  • 瀏覽器版本
  • 上次存取 Web 資源的時間
  • 來自 HTTP 請求的 URL
  • 用於 HTTP 請求的帳戶名稱
  • 發出 HTTP 請求的處理程序的檔案名稱
  • 發出 HTTP 請求的處理程序的檔案的完整路徑
  • 發出 HTTP 請求的處理程序的 Windows 識別碼 (PID)
  • HTTP 推薦者(HTTP 請求來源 URL)
  • 透過 HTTP 請求的資源的 URI
  • 有關 HTTP 使用者代理(發出 HTTP 請求的應用程式)的資訊
  • HTTP 請求執行時間
  • 發出 HTTP 請求的處理程序的唯一識別碼

用於建立威脅發展鏈的資料

用於建立威脅發展鏈的資料預設儲存 7 天。資料會自動傳送到卡巴斯基安全管理中心。

用於建立威脅發展鏈的資料可能包含以下資訊:

  • 事件日期和時間
  • 偵測名稱
  • 掃描模式
  • 與偵測相關的最後一個動作的狀態
  • 偵測處理失敗的原因
  • 偵測到的物件類型
  • 偵測到的物件名稱
  • 物件被處理後的威脅狀態
  • 對物件執行操作失敗的原因
  • 為回溯惡意操作而執行的操作
  • 被處理物件的相關資訊:
    • 處理程序的唯一識別碼
    • 父處理程序的唯一識別碼
    • 處理程序檔案的唯一識別碼
    • Windows 處理程序識別碼 (PID)
    • 處理程序指令行
    • 啟動處理程序的使用者帳戶
    • 執行處理程序的登錄工作階段的代碼
    • 執行處理程序的工作階段的類型
    • 被處理的處理程序的完整性級別
    • 在特權本機和網域群組中啟動處理程序的使用者帳戶的成員身份
    • 被處理物件的識別碼
    • 被處理物件的全名
    • 受防護裝置的識別碼
    • 物件全名(本機檔案名稱或下載的檔案網址)
    • 被處理物件的 MD5 或 SHA256 雜湊
    • 被處理物件的類型
    • 被處理物件的建立日期
    • 最後修改被處理物件的日期
    • 被處理物件的大小
    • 被處理物件的屬性
    • 簽署被處理物件的組織
    • 被處理物件數位憑證校驗結果
    • 被處理物件的安全識別碼 (SID)
    • 被處理物件的時區識別碼
    • 被處理物件下載網址(僅適用於磁碟上的檔案)
    • 下載檔案的應用程式的名稱
    • 下載檔案的應用程式的 MD5 和 SHA256 雜湊
    • 最後修改檔案的應用程式的名稱
    • 最後修改檔案的應用程式的 MD5 和 SHA256 雜湊
    • 被處理物件啟動的數目
    • 首次啟動被處理物件的日期和時間
    • 檔案的唯一識別碼
    • 檔案全名(本機檔案名稱或下載的檔案網址)
    • 被處理的 Windows 登錄變數的路徑
    • 被處理的 Windows 登錄變數的名稱
    • 被處理的 Windows 登錄變數的值
    • 被處理的 Windows 登錄變數的類型
    • 自動執行點中被處理登錄機碼成員資格指示器
    • 被處理的 Web 請求的網址
    • 被處理的 Web 請求的連接來源
    • 被處理的 Web 請求的使用者代理
    • 被處理的 Web 請求的類型(GET or POST
    • 被處理的 Web 請求的本機 IP 連接埠
    • 被處理的 Web 請求的遠端 IP 連接埠
    • 被處理的 Web 請求的連線方向(傳入或傳出)
    • 嵌入惡意代碼的處理程序的識別碼

此文章對您有幫助嗎?
我們可以如何改善?
感謝您的意見回饋!您正協助我們改善。
感謝您的意見回饋!您正協助我們改善。