Kaspersky Endpoint Detection and Response

13 февраля 2024

ID 249504

Все данные, которые приложение хранит локально на компьютере, будут удалены с компьютера при удалении Kaspersky Endpoint Security.

Данные о результатах выполнения задачи Поиск IOC (стандартная задача)

Kaspersky Endpoint Security автоматически передает данные о результатах выполнения задач Поиск IOC в Kaspersky Security Center.

Данные в результатах выполнения задач Поиск IOC могут содержать следующую информацию:

  • IP-адрес из ARP-таблицы.
  • Физический адрес из ARP-таблицы.
  • Тип и имя записи DNS.
  • IP-адрес защищаемого компьютера.
  • Физический адрес (MAC) защищаемого компьютера.
  • Идентификатор записи в журнале событий.
  • Имя источника данных в журнале.
  • Имя журнала.
  • Время события.
  • MD5 и SHA256-хеши файла.
  • Полное имя файла (включая путь).
  • Размер файла.
  • Удаленные IP-адрес и порт, с которыми было установлено соединение в момент проверки.
  • IP-адрес локального адаптера.
  • Порт, открытый на локальном адаптере.
  • Протокол в виде числа (в соответствии со стандартом IANA).
  • Имя процесса.
  • Аргументы процесса.
  • Путь к файлу процесса.
  • Windows идентификатор процесса (PID).
  • Windows идентификатор родительского процесса (PID).
  • Имя учетной записи пользователя, запустившего процесс.
  • Дата и время запуска процесса.
  • Имя службы.
  • Описание службы.
  • Путь и имя DLL-службы (для svchost).
  • Путь и имя исполняемого файла службы.
  • Windows идентификатор службы (PID).
  • Тип службы (например, драйвер ядра или адаптер).
  • Статус службы.
  • Режим запуска службы.
  • Имя учетной записи пользователя.
  • Наименование тома.
  • Буква тома.
  • Тип тома.
  • Значение реестра Windows.
  • Значение куста реестра.
  • Путь к ключу реестра (без куста и без имени значения).
  • Параметр реестра.
  • Система (окружение).
  • Имя и версия операционной системы, установленной на компьютере.
  • Сетевое имя защищаемого компьютера.
  • Домен или группа, к которому принадлежит защищаемый компьютер.
  • Имя браузера.
  • Версия браузера.
  • Время последнего обращения к веб-ресурсу.
  • URL из HTTP-запроса.
  • Имя учетной записи, под которой выполнен HTTP-запрос.
  • Имя файла процесса, выполнившего HTTP-запрос.
  • Полный путь к файлу процесса, выполнившего HTTP-запрос.
  • Windows идентификатор (PID) процесса, выполнившего HTTP-запрос.
  • HTTP referer (URL источника HTTP-запроса).
  • URI ресурса, запрошенного по протоколу HTTP.
  • Информация о HTTP агенте пользователя (приложении, выполнившем HTTP-запрос).
  • Время выполнения HTTP-запроса.
  • Уникальный идентификатор процесса, выполнившего HTTP-запрос.

Данные для построения цепочки развития угрозы

Данные для построения цепочки развития угрозы по умолчанию хранятся семь дней. Эти данные автоматически передаются в Kaspersky Security Center.

Данные для построения цепочки развития угрозы могут содержать следующую информацию:

  • Дата и время инцидента.
  • Имя обнаружения.
  • Режим проверки.
  • Статус последнего действия, связанного с обнаружением.
  • Причина неудачной обработки обнаружения.
  • Тип обнаруженного объекта.
  • Имя обнаруженного объекта.
  • Статус угрозы после обработки объекта.
  • Причина неудачного выполнения действий над объектом.
  • Действия, выполняемые для отката вредоносных действий.
  • Об обрабатываемом объекте:
    • Уникальный идентификатор процесса.
    • Уникальный идентификатор родительского процесса.
    • Уникальный идентификатор файла процесса.
    • Идентификатор процесса Windows (PID).
    • Командная строка процесса.
    • Имя учетной записи пользователя, запустившего процесс.
    • Код сеанса входа в систему, в котором запущен процесс.
    • Тип сеанса, в котором запущен процесс.
    • Уровень целостности обрабатываемого процесса.
    • Принадлежность учетной записи пользователя, запустившего процесс, к привилегированным локальным и доменным группам.
    • Идентификатор обрабатываемого объекта.
    • Полное имя обрабатываемого объекта.
    • Идентификатор защищаемого устройства.
    • Полное имя объекта (имя локального файла или веб-адрес загружаемого файла).
    • MD5 и SHA256-хеши обрабатываемого объекта.
    • Тип обрабатываемого объекта.
    • Дата создания обрабатываемого объекта.
    • Дата последнего изменения обрабатываемого объекта.
    • Размер обрабатываемого объекта.
    • Атрибуты обрабатываемого объекта.
    • Организация, подписавшая обрабатываемый объект.
    • Результат проверки цифрового сертификата обрабатываемого объекта.
    • Идентификатор безопасности (SID) обрабатываемого объекта.
    • Идентификатор часового пояса обрабатываемого объекта.
    • Веб-адрес загрузки обрабатываемого объекта (только для файла на диске).
    • Название приложения, загрузившего файл.
    • MD5 и SHA256-хеши приложения, загрузившего файл.
    • Название приложения, последний раз изменившего файл.
    • MD5 и SHA256-хеши приложения, последний раз изменившего файл.
    • Количество запусков обрабатываемого объекта.
    • Дата и время первого запуска обрабатываемого объекта.
    • Уникальный идентификатор файла.
    • Полное имя файла (имя локального файла или веб-адрес загружаемого файла).
    • Путь к обрабатываемой переменной реестра Windows.
    • Имя обрабатываемой переменной реестра Windows.
    • Значение обрабатываемой переменной реестра Windows.
    • Тип обрабатываемой переменной реестра Windows.
    • Показатель принадлежности обрабатываемого ключа реестра к точке автозапуска.
    • Веб-адрес обрабатываемого веб-запроса.
    • Источник ссылок обрабатываемого веб-запроса.
    • Агент пользователя обрабатываемого веб-запроса.
    • Тип обрабатываемого веб-запроса (GET или POST).
    • Локальный IP-порт для обрабатываемого веб-запроса.
    • Удаленный IP-порт для обрабатываемого веб-запроса.
    • Направление соединения (входящее или исходящее) обрабатываемого веб-запроса.
    • Идентификатор процесса, в который произошло внедрение вредоносного кода.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!