Данные для построения цепочки развития угрозы

Данные для построения цепочки развития угрозы хранятся в папке %ProgramData%\Kaspersky Lab\Endpoint Agent\4.0\Data\killchain\detects в открытом незашифрованном виде. По умолчанию данные хранятся 7 дней. Эти данные автоматически передаются в Kaspersky Security Center.

Все данные, которые программа хранит локально на устройстве, кроме файлов трассировки и дампов, удаляются с устройства при удалении программы.

По умолчанию доступ на чтение к файлам имеют только пользователи с правами System и Administrator. Kaspersky Endpoint Agent не управляет правами доступа к этой папке и ее файлам. Доступ определяет системный администратор.

Данные для построения Цепочки развития угрозы могут содержать следующую информацию:

• Дата и время инцидента.
• Имя обнаружения.
• Режим проверки.
• Статус последнего действия, связанного с обнаружением.
• Причина неудачной обработки обнаружения.
• Тип обнаруженного объекта.
• Имя обнаруженного объекта.
• Статус угрозы после обработки объекта программой EPP.
• Причина неудачного выполнения действий над объектом.
• Действия, выполняемые EPP для отката вредоносных действий (для EPP, поддерживающих Откат вредоносных действий).
• Об обрабатываемом объекте:
  • Уникальный идентификатор процесса.
  • Уникальный идентификатор родительского процесса.
  • Уникальный идентификатор файла процесса.
  • Идентификатор процесса Windows.
  • Командная строка процесса.
  • Имя учетной записи пользователя, запустившего процесс.
  • Код сеанса входа в систему, в котором запущен процесс.
  • Тип сеанса (например, "интерактивный", "удаленный интерактивный"), в котором запущен процесс.
  • Уровень целостности обрабатываемого процесса.
  • Принадлежность учетной записи пользователя, запустившего процесс, к привилегированным локальным и доменным группам (например, "Администраторы", "Администраторы домена", "Администраторы предприятия", "Администраторы схемы").
  • Идентификатор обрабатываемого объекта.
  • Полное имя обрабатываемого объекта.
  • Идентификатор защищаемого устройства.
  • Полное имя объекта (имя локального файла или веб-адрес загружаемого файла).
  • MD5-хеш обрабатываемого объекта.
  • SHA256-хеш обрабатываемого объекта.
  • Тип обрабатываемого объекта.
  • Дата создания обрабатываемого объекта.
  • Дата последнего изменения обрабатываемого объекта.
  • Размер обрабатываемого объекта.
  • Атрибуты обрабатываемого объекта.
  • Организация, подписавшая обрабатываемый объект.
  • Результат проверки цифрового сертификата обрабатываемого объекта.
  • Идентификатор безопасности (SID) обрабатываемого объекта.
  • Идентификатор часового пояса обрабатываемого объекта.
  • Веб-адрес загрузки обрабатываемого объекта (только для файла на диске).
  • Название программы, загрузившей файл.
  • MD5-хеш программы, загрузившей файл.
  • SHA256-хеш программы, загрузившей файл.
  • Название программы, последний раз модифицировавшей файл.
  • MD5-хеш программы, последний раз модифицировавшей файл.
  • SHA256-хеш программы, последний раз модифицировавшей файл.
  • Количество запусков обрабатываемого объекта.
  • Дата и время первого запуска обрабатываемого объекта.
  • Уникальный идентификатор файла.
  • Полное имя файла (имя локального файла или веб-адрес загружаемого файла).
  • Путь к обрабатываемой переменной реестра Windows.
  • Имя обрабатываемой переменной реестра Windows.
  • Значение обрабатываемой переменной реестра Windows.
  • Тип обрабатываемой переменной реестра Windows.
  • Показатель принадлежности обрабатываемого ключа реестра к точке автозапуска.
  • Веб-адрес обрабатываемого веб-запроса.
  • Источник ссылок обрабатываемого веб-запроса.
  • Агент пользователя обрабатываемого веб-запроса.
  • Тип обрабатываемого веб-запроса ("GET" или "POST").
  • Локальный IP-порт для обрабатываемого веб-запроса.
  • Удаленный IP-порт для обрабатываемого веб-запроса.
  • Направление соединения ("входящее" или "исходящее") обрабатываемого веб-запроса.
  • Идентификатор процесса, в который произошло внедрение вредоносного кода.