Kaspersky Sandbox

当卸载 Kaspersky Endpoint Security 时，应用程序本地存储在计算机上的所有数据将从计算机中删除。

服务数据

Kaspersky Endpoint Security 存储在自动响应期间处理的以下数据：

• 在配置 Kaspersky Endpoint Security 的内置代理期间由用户输入的已处理文件和数据：
  • 已隔离的文件
  • 用于与 Kaspersky Sandbox 集成的证书的公钥
• Kaspersky Endpoint Security 内置代理的缓存：
  • 扫描结果写入缓存的时间
  • 扫描任务的 MD5 哈希
  • 扫描任务标识符
  • 对象的扫描结果
• 对象扫描请求队列：
  • 队列中对象的 ID
  • 对象放入队列的时间
  • 队列中对象的处理状态
  • 创建对象扫描任务的操作系统中用户会话的 ID
  • 其账户用于创建任务的操作系统用户的系统标识符 (SID)
  • 对象扫描任务的 MD5 哈希
• 有关 Kaspersky Endpoint Security 内置代理正在等待来自 Kaspersky Sandbox 的扫描结果的任务的信息：
  • 收到对象扫描任务的时间
  • 对象处理状态
  • 创建对象扫描任务的操作系统中用户会话的 ID
  • 对象扫描任务的标识符
  • 对象扫描任务的 MD5 哈希
  • 其账户用于创建任务的操作系统用户的系统标识符 (SID)
  • 自动创建的 IOC 的 XML Schema
  • 扫描对象的 MD5 或 SHA256 哈希
  • 处理错误
  • 为其创建任务的对象的名称
  • 对象的扫描结果

Kaspersky Sandbox 请求中的数据

来自 Kaspersky Endpoint Security 内置代理对 Kaspersky Sandbox 的请求的以下数据存储在本地计算机上：

• 扫描任务的 MD5 哈希
• 扫描任务标识符
• 已扫描对象和所有相关文件

作为“IOC 扫描”任务执行（独立任务）结果接收的数据

Kaspersky Endpoint Security 自动提交“IOC 扫描”任务执行结果数据到 Kaspersky Security Center。

“IOC 扫描”任务执行结果中的数据可能包含以下信息：

• ARP 表中的 IP 地址
• ARP 表中的物理地址
• DNS 记录类型和名称
• 受保护计算机的 IP 地址
• 受保护计算机的物理地址（MAC 地址）
• 事件日志条目中的标识符
• 日志中的数据源名称
• 日志名称
• 事件时间
• 文件的 MD5 和 SHA256 哈希值
• 文件的全名（包括路径）
• 文件大小
• 扫描期间建立连接的远程 IP 地址和端口
• 本地适配器 IP 地址
• 在本地适配器上打开端口
• 协议作为数字（符合 IANA 标准）
• 进程名称
• 处理参数
• 进程文件的路径
• 进程的 Windows 标识符 (PID)
• 父进程的 Windows 标识符 (PID)
• 启动进程的用户账户
• 进程开始的日期和时间
• 服务名称
• 服务说明
• DLL 服务的路径和名称（对于 svchost）
• 服务可执行文件的路径和名称
• 服务的 Windows 标识符 (PID)
• 服务类型（例如，内核驱动程序或适配器）
• 服务状态
• 服务启动模式
• 用户账户名称
• 卷名
• 卷字母
• 卷类型
• Windows 注册表值
• 注册表巢值
• 注册表项路径（没有巢和值名称）
• 注册表设置
• 系统（环境）
• 计算机上安装的操作系统的名称和版本
• 受保护计算机的网络名称
• 受保护计算机所属的域或组
• 浏览器名称
• 浏览器版本
• 上次访问 Web 资源的时间
• 来自 HTTP 请求的 URL
• 用于 HTTP 请求的账户名称
• 发出 HTTP 请求的进程的文件名
• 发出 HTTP 请求的进程文件的完整路径
• 发出 HTTP 请求的进程的 Windows 标识符 (PID)
• HTTP Referer（HTTP 请求源 URL）
• 通过 HTTP 请求的资源的 URI
• 有关 HTTP 用户代理（发出 HTTP 请求的应用程序）的信息
• HTTP 请求执行时间
• 发出 HTTP 请求的进程的唯一标识符