Поддержка

Поддержка приложений для бизнеса

Kaspersky Endpoint Security 12 для Linux

Предоставление данных

Данные, предоставляемые при использовании Kaspersky Endpoint Detection and Response Optimum

Kaspersky Endpoint Security 12 для Linux
Нет результатов
Нет результатов
База знаний Онлайн-справка
FAQ Скачать Купить Продлить Форум Запрос в поддержку Утилиты для лечения

Данные, предоставляемые при использовании Kaspersky Endpoint Detection and Response Optimum

20 августа 2024

ID 273443

Скачать PDF

Данные, передаваемые вместе с результатами выполнения задач Поиск IOC

Kaspersky Endpoint Security автоматически передает данные о результатах выполнения задач Поиск IOC в Kaspersky Security Center.

Данные о результатах выполнения задач Поиск IOC могут содержать следующую информацию:

  • Сетевую информацию:
    • IP-адрес из таблицы протокола разрешения адресов (Address Resolution Protocol, ARP);
    • MAC-адрес из таблицы протокола разрешения адресов;
    • тип и имя записи DNS;
    • IP-адрес защищаемого устройства;
    • MAC-адрес защищаемого устройства;
    • IP-адрес удаленного соединения и порт;
    • IP-адрес локального сетевого адаптера;
    • номер порта, открытого на локальном адаптере;
    • номер протокола согласно стандарту Internet Assigned Numbers Authority (IANА).
  • Информацию о процессах:
    • имя процесса;
    • аргументы процесса;
    • путь к исполняемому файлу процесса;
    • идентификатор процесса (PID);
    • идентификатор родительского процесса (PPID);
    • имя пользователя, запустившего процесс;
    • дату и время запуска процесса.
  • Информацию о службах:
    • имя службы;
    • описание службы;
    • путь и имя исполняемого файла службы;
    • идентификатор службы;
    • тип службы (драйвер ядра, адаптер и т.д.);
    • статус службы;
    • режим запуска службы;
    • имя пользователя, под которым запущена служба.
  • Информацию о файловой системе:
    • имя тома;
    • букву тома;
    • тип тома.
  • Информацию об операционной системе:
    • имя и версию операционной системы;
    • сетевое имя защищаемого устройства;
    • домен или группу, к которым принадлежит устройство.
  • Информацию о веб-активности:
    • имя браузера;
    • версию браузера;
    • время последнего обращения к веб-ресурсу;
    • веб-адрес HTTP-запроса;
    • имя пользователя, выполнившего HTTP-запрос;
    • имя процесса, выполнившего HTTP-запрос;
    • путь к исполняемому файлу процесса, выполнившего HTTP-запрос;
    • идентификатор процесса, выполнившего HTTP-запрос;
    • веб-адрес источника HTTP-запроса;
    • веб-адрес запрошенного ресурса;
    • агент пользователя обрабатываемого веб-запроса (HTTP User-Agent);
    • время выполнения HTTP-запроса;
    • уникальный идентификатор процесса, выполнившего HTTP-запрос.

Данные для построения цепочки развития угрозы

Данные для построения цепочки развития угрозы могут содержать следующую информацию:

  • Общую информацию об алерте:
    • дату и время алерта;
    • имя объекта;
    • режим проверки;
    • статус последнего действия, связанного с алертом;
    • причину неудачной обработки алерта.
  • Информацию об обрабатываемом объекте:
    • идентификатор процесса;
    • идентификатор родительского процесса;
    • идентификатор файла процесса;
    • командную строку процесса;
    • имя пользователя, запустившего процесс;
    • идентификатор сеанса, в котором запущен процесс;
    • тип сеанса, в котором запущен процесс;
    • уровень целостности обрабатываемого процесса;
    • принадлежность пользователя к привилегированным группам;
    • идентификатор обрабатываемого объекта;
    • полное имя обрабатываемого объекта;
    • идентификатор защищаемого устройства;
    • полное имя объекта (локальный файл или веб-адрес);
    • хеш-суммы MD5 и SHA256 обрабатываемого объекта;
    • тип обрабатываемого объекта;
    • дату создания и последнего изменения объекта;
    • размер обрабатываемого объекта;
    • атрибуты обрабатываемого объекта;
    • информацию об организации, подписавшей объект;
    • результат проверки цифрового сертификата объекта;
    • идентификатор безопасности (SID) объекта;
    • идентификатор часового пояса объекта;
    • веб-адрес загрузки объекта (только для файлов);
    • название приложения, загрузившего файл;
    • хеш-суммы MD5 и SHA256 приложения, загрузившего файл;
    • название приложения, последний раз изменившего файл;
    • хеш-суммы MD5 и SHA256 приложения, последний раз изменившего файл;
    • количество запусков обрабатываемого объекта;
    • дату и время первого запуска объекта;
    • уникальный идентификатор файла;
    • полное имя файла (локальный файл или веб-адрес);
    • веб-адрес обрабатываемого веб-запроса;
    • источник ссылок обрабатываемого веб-запроса (HTTP referer);
    • агент пользователя обрабатываемого веб-запроса;
    • тип обрабатываемого веб-запроса (GET или POST);
    • локальный IP-порт для обрабатываемого веб-запроса;
    • удаленный IP-порт для обрабатываемого веб-запроса;
    • направление соединения (входящее или исходящее) обрабатываемого веб-запроса;
    • идентификатор процесса, в который произошло внедрение вредоносного кода.

Kaspersky Endpoint Security для Linux — надежная защита без ущерба для производительности
Обнаруживает и блокирует даже продвинутые угрозы. Купите в составе Endpoint Security для бизнеса Расширенный.
Расширенная техническая поддержка (MSA) — приоритетная обработка инцидентов
Поддержка по телефону или через веб‑портал. Быстрое реагирование, мониторинг и проверка. Подайте заявку и активируйте контракт.
Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!