Данные в обнаружениях и событиях

Данные о событиях хранятся в бинарном виде в папке C:\ProgramData\Kaspersky Lab\Endpoint Agent\protected\kata в открытом незашифрованном виде.

По умолчанию при включенной самозащите доступ к файлам на чтение имеют только пользователи с правами System и Administrator. При выключенной самозащите пользователи с правами System и Administrator могут также удалять файлы, изменять их содержимое и изменять права доступа к ним. Программа Kaspersky Endpoint Agent не управляет правами доступа к данной папке и ее файлам. Доступ определяет системный администратор.

Данные о событиях могут содержать следующую информацию:

• Об исполняемых модулях.
• О сетевых соединениях.
• Об операционной системе, установленной на компьютере с Kaspersky Endpoint Agent.
• О пользовательских сессиях в операционной системе.
• Об учетных записях пользователей операционной системы.
• О журнале событий Windows.
• Об обнаружениях Kaspersky Endpoint Security для Windows.
• Об организационных подразделениях (OU) Active Directory.
• Заголовки протокола HTTP.
• Полное доменное имя компьютера.
• MD5-, SHA256-хеш файлов и их фрагментов.
• Уникальный идентификатор компьютера с Kaspersky Endpoint Agent.
• Уникальные идентификаторы сертификатов.
• Издатель сертификата.
• Субъект сертификата.
• Название алгоритма, при помощи которого выполнен отпечаток сертификата.
• Адрес и порт локального сетевого интерфейса.
• Адрес и порт удаленного сетевого интерфейса.
• Поставщик программы.
• Название программы.
• Имя переменной реестра Windows.
• Путь к ключу реестра Windows.
• Данные переменной реестра Windows.
• Имя обнаруженного объекта.
• Идентификатор Агента администрирования Kaspersky Security Center.
• Содержимое файла hosts.
• Командная строка запуска процесса.