技术支持

企业产品

Kaspersky Endpoint Security 12 for Windows

数据提供

使用 Detection and Response 解决方案时的数据提供

Kaspersky Endpoint Detection and Response

Kaspersky Endpoint Security 12 for Windows
Нет результатов
Нет результатов
在线帮助
常见问题解答 系统要求 下载 购买 续订 论坛 联系支持 恢复工具 产品视频

Kaspersky Endpoint Detection and Response

2024年4月18日

ID 249504

另存为 PDF

当卸载 Kaspersky Endpoint Security 时,应用程序本地存储在计算机上的所有数据将从计算机中删除。

作为“IOC 扫描”任务执行(标准任务)结果收到的数据

Kaspersky Endpoint Security 自动提交“IOC 扫描”任务执行结果数据到 Kaspersky Security Center。

IOC 扫描”任务执行结果中的数据可能包含以下信息:

  • ARP 表中的 IP 地址
  • ARP 表中的物理地址
  • DNS 记录类型和名称
  • 受保护计算机的 IP 地址
  • 受保护计算机的物理地址(MAC 地址)
  • 事件日志条目中的标识符
  • 日志中的数据源名称
  • 日志名称
  • 事件时间
  • 文件的 MD5 和 SHA256 哈希值
  • 文件的全名(包括路径)
  • 文件大小
  • 扫描期间建立连接的远程 IP 地址和端口
  • 本地适配器 IP 地址
  • 在本地适配器上打开端口
  • 协议作为数字(符合 IANA 标准)
  • 进程名称
  • 处理参数
  • 进程文件的路径
  • 进程的 Windows 标识符 (PID)
  • 父进程的 Windows 标识符 (PID)
  • 启动进程的用户账户
  • 进程开始的日期和时间
  • 服务名称
  • 服务说明
  • DLL 服务的路径和名称(对于 svchost)
  • 服务可执行文件的路径和名称
  • 服务的 Windows 标识符 (PID)
  • 服务类型(例如,内核驱动程序或适配器)
  • 服务状态
  • 服务启动模式
  • 用户账户名称
  • 卷名
  • 卷字母
  • 卷类型
  • Windows 注册表值
  • 注册表巢值
  • 注册表项路径(没有巢和值名称)
  • 注册表设置
  • 系统(环境)
  • 计算机上安装的操作系统的名称和版本
  • 受保护计算机的网络名称
  • 受保护计算机所属的域或组
  • 浏览器名称
  • 浏览器版本
  • 上次访问 Web 资源的时间
  • 来自 HTTP 请求的 URL
  • 用于 HTTP 请求的账户名称
  • 发出 HTTP 请求的进程的文件名
  • 发出 HTTP 请求的进程文件的完整路径
  • 发出 HTTP 请求的进程的 Windows 标识符 (PID)
  • HTTP Referer(HTTP 请求源 URL)
  • 通过 HTTP 请求的资源的 URI
  • 有关 HTTP 用户代理(发出 HTTP 请求的应用程序)的信息
  • HTTP 请求执行时间
  • 发出 HTTP 请求的进程的唯一标识符

用于创建威胁发展链的数据

创建威胁发展链的数据默认保存 7 天。数据会自动发送到 Kaspersky Security Center。

用于创建威胁发展链的数据可能包含以下信息:

  • 事件日期和时间
  • 检测名称
  • 扫描模式
  • 与检测相关的最后一个操作的状态
  • 检测处理失败的原因
  • 检测到的对象类型
  • 检测到的对象名称
  • 对象处理后的威胁状态
  • 对对象执行操作失败的原因
  • 为回滚恶意操作而执行的操作
  • 已处理对象的相关信息:
    • 进程的唯一标识符
    • 父进程的唯一标识符
    • 进程文件的唯一标识符
    • Windows 进程标识符(PID)
    • 进程命令行
    • 启动进程的用户账户
    • 运行进程的登录会话的代码
    • 运行进程的会话类型
    • 正在处理的进程的完整性级别
    • 在特权本地和域组中启动进程的用户账户的成员身份
    • 已处理对象的标识符
    • 已处理对象的全名
    • 受保护设备的标识符
    • 对象的全名(本地文件名或已下载文件网址)
    • 已处理对象的 MD5 或 SHA256 哈希
    • 已处理对象的类型
    • 已处理对象的创建日期
    • 已处理对象最后修改的日期
    • 已处理对象的大小
    • 已处理对象的属性
    • 签署已处理对象的组织
    • 已处理对象数字证书校验结果
    • 已处理对象的安全标识符 (SID)
    • 已处理对象的时区标识
    • 已处理对象下载网址(仅适用于磁盘文件)
    • 下载文件的应用程序的名称
    • 下载文件的应用程序的 MD5 和 SHA256 哈希
    • 最后修改文件的应用程序的名称
    • 最后修改文件的应用程序的 MD5 和 SHA256 哈希
    • 已处理对象启动数
    • 已处理对象首次启动的日期和时间
    • 文件的唯一标识符
    • 文件全名(本地文件名或下载文件网址)
    • 已处理的 Windows 注册表变量的路径
    • 已处理的 Windows 注册表变量的名称
    • 已处理的 Windows 注册表变量的值
    • 已处理的 Windows 注册表变量的类型
    • 自动运行点中已处理注册表项成员关系的指示器
    • 已处理的 Web 请求的网址
    • 已处理的 Web 请求的链接源
    • 已处理的 Web 请求的用户代理
    • 已处理的 Web 请求的类型(GETPOST
    • 已处理的 Web 请求的本地 IP 端口
    • 已处理的 Web 请求的远程 IP 端口
    • 已处理的 Web 请求的连接方向(入站或出站)
    • 嵌入恶意代码的进程的标识符

Did you find this article helpful?
What can we do better?
Thank you for your feedback! You're helping us improve.
Thank you for your feedback! You're helping us improve.