Данные в результатах выполнения задач поиска IOC
Данные в результатах выполнения задач поиска IOC
28 ноября 2023
ID 200268
Kaspersky Endpoint Agent автоматически передает данные из результатов выполнения задач поиска IOC в Kaspersky Security Center для построения цепочки развития угрозы.
Данные хранятся в базах данных Kaspersky Security Center. По умолчанию данные хранятся 7 дней.
Данные в результатах выполнения задач поиска IOC могут содержать следующую информацию:
- IP-адрес из ARP-таблицы.
- Физический адрес из ARP-таблицы.
- Тип и имя записи DNS.
- IP-адрес защищаемого устройства.
- Физический адрес (MAC) защищаемого устройства.
- Идентификатор записи в журнале событий.
- Имя источника данных в журнале.
- Имя журнала.
- Пользователь.
- Время события.
- MD5-хеш файла.
- SHA256-хеш файла.
- Полное имя файла (включая путь).
- Размер файла.
- Удаленный IP-адрес, с которым было установлено соединение в момент проверки.
- Удаленный порт, с которым было установлено соединение в момент проверки.
- IP-адрес локального адаптера.
- Порт, открытый на локальном адаптере.
- Протокол в виде числа (в соответствии со стандартом IANA).
- Имя процесса.
- Аргументы процесса.
- Путь к файлу процесса.
- Windows идентификатор (PID) процесса.
- Windows идентификатор (PID) родительского процесса.
- Имя учетной записи пользователя, запустившего процесс.
- Дата и время запуска процесса.
- Имя службы.
- Описание службы.
- Путь и имя DLL-службы (для svchost).
- Путь и имя исполняемого файла службы.
- Windows идентификатор (PID) службы.
- Тип службы (например, драйвер ядра или адаптер).
- Статус службы.
- Режим запуска службы.
- Имя учетной записи пользователя.
- Наименование тома.
- Буква тома.
- Тип тома.
- Значение реестра Windows.
- Значение куста реестра.
- Путь к ключу реестра (без куста и без имени значения).
- Параметр реестра.
- Система (окружение).
- Имя ОС с версией.
- Сетевое имя защищаемого устройства.
- Домен или группа, к которой принадлежит защищаемое устройство.
- Имя браузера.
- Версия браузера.
- Время последнего обращения к веб-ресурсу.
- URL из HTTP-запроса.
- Имя учетной записи, под которой выполнен HTTP-запрос.
- Имя файла процесса, выполнившего HTTP-запрос.
- Полный путь к файлу процесса, выполнившего HTTP-запрос.
- Windows идентификатор (PID) процесса, выполнившего HTTP-запрос.
- HTTP referer (URL источника HTTP-запроса).
- URI ресурса, запрошенного по протоколу HTTP.
- Информация о HTTP агенте пользователя (приложении, выполнившем HTTP-запрос).
- Время выполнения HTTP-запроса.
- Уникальный идентификатор процесса, выполнившего HTTP-запрос.
Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!