警报与事件中的数据

事件数据以二进制并且开放未加密的形式保存在 C:\ProgramData\Kaspersky Lab\Endpoint Agent\protected\kata文件夹中。

启用自我防御时，默认情况下，只有具有系统和管理员权限的用户在启用自我防御时才具有对文件的读访问权限。禁用自我防御时，具有系统和管理员权限的用户还可以删除文件、修改其内容并修改对其的访问权限。Kaspersky Endpoint Agent 应用程序不管理对此文件夹或其中任何文件的访问权限。这是决定访问权限的系统管理员。

事件数据可以包含与以下内容相关的信息：

• 关于可执行模块的数据。
• 关于网络连接的数据。
• 关于安装在具有 Kaspersky Endpoint Agent 的计算机上的操作系统。
• 关于操作系统中用户会话的数据。
• 关于操作系统用户账户的数据。
• 关于 Windows 事件日志的数据。
• 关于 Kaspersky Endpoint Security for Windows 的警报。
• 关于活动目录的组织单位 (OU)。
• HTTP Referrer 标头。
• 计算机的完全合格域名。
• 文件及其片段的 MD5 哈希和 SHA256 哈希。
• 具有 Kaspersky Endpoint Agent 的计算机的唯一 ID。
• 证书的唯一 ID。
• 证书出版商。
• 证书主题。
• 用于生成证书指纹的算法的名称。
• 本地网络接口的地址和端口。
• 远程网络接口的地址和端口。
• 应用程序供应商。
• 应用程序名称。
• Windows 注册表变量名称。
• Windows 注册表项路径。
• Windows 注册表变量数据。
• 检测到的对象的名称。
• Kaspersky Security Center 网络代理 ID。
• hosts文件的内容。
• 进程启动命令行。