应用程序组件之间传输的数据
中央节点、Kaspersky Endpoint Agent for Windows、Kaspersky Endpoint Security for Windows
Kaspersky Endpoint Agent for Windows 和 Kaspersky Endpoint Security for Windows 应用程序将以下内容发送到中央节点组件:有关正在运行的任务的报告、有关在运行这些应用程序的计算机上发生的事件和警报的信息以及有关终端会话的信息。
如果没有与中央节点组件的连接,所有需要发送的数据将会累积起来,直到被发送至中央节点组件,或直到 Kaspersky Endpoint Agent for Windows 或 Kaspersky Endpoint Security for Windows 被从计算机移除为止,但不会超过 21 天。
如果用户计算机上发生事件,则应用程序向事件数据库发送以下数据:
- 所有事件的一般信息:
- 事件类型。
- 事件时间。
- 为其生成事件的用户账户。
- 发生事件的主机的名称。
- 主机的 IP 地址。
- 主机上安装的操作系统类型。
- 文件创建事件。
- 有关创建文件的进程的信息:进程文件名、进程文件的 MD5 哈希和 SHA256 哈希。
- 文件名。
- 文件路径。
- 文件全名。
- 文件的 MD5 哈希和 SHA256 哈希。
- 文件创建和修改日期。
- 文件大小。
- 注册表监控事件。
- 有关修改了注册表的进程的信息:进程 ID、进程文件名称、进程文件的 MD5 哈希和 SHA256 哈希。
- 注册表项路径。
- 注册表值名称。
- 注册表值数据。
- 注册表值类型。
- 以前的注册表项路径。
- 以前的注册表值数据。
- 以前的注册表值类型。
- 驱动程序加载事件。
- 文件名。
- 文件路径。
- 文件全名。
- 文件的 MD5 哈希和 SHA256 哈希。
- 文件大小。
- 文件创建和修改日期。
- 监听端口开放事件。
- 有关开放监听端口的进程的详细信息:进程文件名和进程文件的 MD5 哈希和 SHA256 哈希。
- 端口号。
- 适配器 IP 地址。
- 操作系统日志中的事件。
- 事件时间、发生事件的主机和用户账户名称。
- 事件 ID。
- 信道/日志名称。
- 日志中的事件 ID。
- 提供商名称。
- 认证事件子类型。
- 域名。
- 远程 IP 地址。
- 事件标题字段:ProviderName, EventId, Version, Level, Task, Opcode, Keywords, TimeCreatedSystemTime, EventRecordId, CorellationActivityId, ExecutionProcessID, ThreadID, Channel, Computer。
- 事件主体字段:AccessList, AccessMask, AccountExpires, AllowedToDelegateTo, Application, AuditPolicyChanges, AuthenticationPackageName, CategoryId, CommandLine, DisplayName, Dummy, ElevatedToken, EventCode, EventProcessingFailure, FailureReason, FilterRTID, HandleId, HomeDirectory, HomePath, ImpersonationLevel, IpAddress, IpPort, KeyLength, LayerName, LayerRTID, LmPackageName, LogonGuid, LogonHours, LogonProcessName, LogonType, MandatoryLabel, MemberName, MemberSid, NewProcessId, NewProcessName, NewUacValue, NewValue, NewValueType, ObjectName, ObjectServer, ObjectType, ObjectValueName, OldUacValue, OldValue, OldValueType, OperationType, PackageName, ParentProcessName, PasswordLastSet, PrimaryGroupId, PriviledgeList, ProcessId, ProcessName, ProfileChanged, ProfilePath, Protocol, PublisherId, ResourceAttributes, RestrictedAdminMode, SamAccountName, ScriptPath, ServiceAccount, ServiceFileName, ServiceName, ServiceStartType, ServiceType, SettingType, SettingValue, ShareLocalPath, ShareName, SidHistory, SourceAddress, SourcePort, Status, SubcategoryGuid, SubcategoryId, SubjectDomainName, SubjectLogonId, SubjectUserName, SubjectUserSid, SubStatus, TargetDomainName, TargetLinkedLogonId, TargetLogonId, TargetOutboundDomainName, TargetOutboundUserName, TargetUserName, TargetUserSid, TaskContent, TaskName, TokenElevationType, TransmittedServices, UserAccountControl, UserParameters, UserPrincipalName, UserWorkstations, VirtualAccount, Workstation, WorkstationName。
- 进程启动事件。
- 有关进程文件的信息:文件名、文件路径、文件的 MD5 或 SHA256 哈希、文件大小、创建和修改日期、颁发文件数字证书的组织名称、数字签名验证结果。
- UniquePID。
- 进程启动选项。
- 进程启动时间。
- 有关父进程的信息:文件路径、进程文件的 UniquePID、MD5 或 SHA256 哈希值、进程启动选项。
- 进程停止事件。
- 有关进程的文件的信息:文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希、文件大小以及进程结束时间。
- UniquePID。
- 进程启动选项。
- 有关父进程的信息:文件路径、进程文件的 UniquePID、MD5 或 SHA256 哈希值、进程启动选项。
- 模块加载事件。
- 有关加载模块的文件的详细信息:UniquePID、文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希以及文件大小。
- DLL 名称。
- DLL 的路径。
- DLL 全名。
- DLL 的 MD5 哈希或 SHA256 哈希。
- DLL 大小。
- DLL 创建和修改日期。
- 颁发 DLL 数字证书的组织名称。
- DLL 数字签名验证结果。
- 进程启动阻止事件。
- 有关尝试运行的文件的详细信息:文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希、文件大小以及文件创建和修改日期。
- 命令行参数。
- 文件启动阻止事件。
- 有关尝试打开的文件的详细信息:文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希、用于文件大小阻止的校验和类型((0 – MD5, !=0 – SHA256,不用于搜索)。
- 有关可执行文件的详细信息:文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希、文件大小以及文件创建和修改日期。
- 有关父进程的详细信息:文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希以及 UniquePID。
- Kaspersky Endpoint Security for Windows 的事件。
- 扫描结果。
- 检测到的对象的名称。
- 应用程序数据库中记录的 ID。
- 用于生成警报的应用程序数据库的发布时间。
- 对象处理模式。
- 检测到的对象的类别(例如,病毒的名称)。
- 检测到的对象的 MD5 哈希。
- 检测到的对象的 SHA256 哈希。
- 进程的唯一 ID。
- Windows任务管理器中显示的进程 PID。
- 进程启动命令行。
- 处理对象时出错的原因。
- 使用 AMSI 扫描的脚本内容。
- AMSI 扫描事件。
- 使用 AMSI 扫描的脚本内容。
中央节点,Kaspersky Endpoint Security for Linux
Kaspersky Endpoint Security for Linux 向中央节点组件发送以下内容:任务完成报告、安装有此应用程序的计算机上发生的事件和警报的信息以及有关终端会话的信息。
如果没有与中央节点组件的连接,所有待定信息将会累积起来,直到被发送至中央节点组件,或直到 Kaspersky Endpoint Security for Linux 被从计算机移除为止,但不会超过 21 天。
如果用户计算机上发生事件,则 Kaspersky Endpoint Security for Linux 向事件数据库发送以下数据:
- 所有事件的一般信息:
- 事件类型。
- 事件时间。
- 为其生成事件的用户账户。
- 发生事件的主机的名称。
- 主机的 IP 地址。
- 主机上安装的操作系统的类型和版本。
- 用于远程登录系统的主机名称。
- 在系统中注册时被分配的用户的名称。
- 用户所属的组。
- 用于登录系统的用户名。
- 用于登录系统的用户组。
- 创建任务的用户的名称。
- 其用户可以修改或删除文件的组的名称。
- 可用于获取文件访问权限的权限。
- 继承的文件权限。
- 进程启动事件。
- 进程文件的信息:文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希以及文件大小。
- UniquePID。
- 用于启动进程的命令。
- 进程类型。
- 进程的环境变量。
- 进程启动时间。
- 进程结束时间。
- 有关父进程的信息:文件路径、进程文件的 UniquePID、MD5 或 SHA256 哈希、用于启动进程的命令。
- 文件创建事件。
- 有关创建文件的进程的信息:进程文件名、进程文件的 MD5 哈希和 SHA256 哈希。
- 文件名。
- 文件路径。
- 文件全名。
- 文件类型。
- 文件的 MD5 哈希和 SHA256 哈希。
- 文件创建和修改日期。
- 文件大小。
- 操作系统日志中的事件。
- 事件时间。
- 事件类型。
- 操作结果。
- 有关父进程的信息:文件路径、进程文件的 UniquePID、MD5 或 SHA256 哈希、用于启动进程的命令。
- 进程停止事件。
- 有关进程的文件的信息:文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希、文件大小以及进程结束时间。
- UniquePID。
- 进程启动选项。
- 有关父进程的信息:文件路径、进程文件的 UniquePID、MD5 或 SHA256 哈希值、进程启动选项。
- Kaspersky Endpoint Security for Linux 事件。
- 扫描结果。
- 检测到的对象的名称。
- 应用程序数据库中记录的 ID。
- 用于生成警报的应用程序数据库的发布时间。
- 对象处理模式。
- 检测到的对象的类别(例如,病毒的名称)。
- 检测到的对象的 MD5 哈希。
- 检测到的对象的 SHA256 哈希。
- 进程的唯一 ID。
- 进程的 PID。
- 进程启动命令行。
- 处理对象时出错的原因。
中央节点,Kaspersky Endpoint Security for Mac
Kaspersky Endpoint Security for Mac 向中央节点组件发送以下内容:任务完成报告、有关在安装有此应用程序的计算机上发生的事件和警报的信息。
如果没有与中央节点组件的连接,所有待定信息将会累积起来,直到被发送至中央节点组件,或直到 Kaspersky Endpoint Security for Mac 被从计算机移除为止,但不会超过 21 天。
如果用户计算机上发生事件,则 Kaspersky Endpoint Security for Mac 向事件数据库发送以下数据:
- 所有事件的一般信息:
- 事件类型。
- 事件时间。
- 为其生成事件的用户账户。
- 发生事件的主机的名称。
- 主机的 IP 地址。
- 主机上安装的操作系统的类型和版本。
- 用于远程登录系统的主机名称。
- 在系统中注册时被分配的用户的名称。
- 用户所属的组。
- 用于登录系统的用户名。
- 用于登录系统的用户组。
- 创建任务的用户的名称。
- 其用户可以修改或删除文件的组的名称。
- 可用于获取文件访问权限的权限。
- 进程启动事件。
- 进程文件的信息:文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希以及文件大小。
- UniquePID。
- 用于启动进程的命令。
- 进程类型。
- 进程的环境变量。
- 进程启动时间。
- 进程结束时间。
- 有关父进程的信息:文件路径、进程文件的 UniquePID、MD5 或 SHA256 哈希、用于启动进程的命令。
- 文件创建事件。
- 有关创建文件的进程的信息:进程文件名、进程文件的 MD5 哈希和 SHA256 哈希。
- 文件名。
- 文件路径。
- 文件全名。
- 文件类型。
- 文件的 MD5 哈希和 SHA256 哈希。
- 文件创建和修改日期。
- 文件大小。
- 进程停止事件。
- 有关进程的文件的信息:文件名、文件路径、文件全名、文件的 MD5 哈希和 SHA256 哈希、文件大小以及进程结束时间。
- UniquePID。
- 进程启动选项。
- 有关父进程的信息:文件路径、进程文件的 UniquePID、MD5 或 SHA256 哈希值、进程启动选项。
- Kaspersky Endpoint Security for Mac 事件。
- 扫描结果。
- 检测到的对象的名称。
- 应用程序数据库中记录的 ID。
- 用于生成警报的应用程序数据库的发布时间。
- 对象处理模式。
- 检测到的对象的类别(例如,病毒的名称)。
- 检测到的对象的 MD5 哈希。
- 检测到的对象的 SHA256 哈希。
- 进程的唯一 ID。
- 进程的 PID。
- 进程启动命令行。
- 处理对象时出错的原因。
中央节点和沙箱
中央节点组件向沙箱组件发送文件以及从网络和邮件流量中提取的 URL。在发送前,文件不会做任何形式的改动。沙箱组件将扫描结果发送至中央节点组件。
中央节点和传感器
该应用程序可以在中央节点和传感器组件之间传输以下数据:
- 文件和电子邮件。
- 入侵检测系统和URL信誉技术生成的警报数据。
- 授权许可信息。
- 被从扫描中排除的数据列表。
- 如果已配置与代理服务器的集成,则端点传感器应用程序的数据。
- 如果已配置从中央节点组件接收数据库更新,则为应用程序数据库。
具有 PCN 和 SCN 角色的服务器
如果应用程序在分布式解决方案模式下运行,则在 PCN 和连接的 SCN 之间传输以下数据:
- 警报数据。
- 事件数据。
- 任务数据。
- 策略数据。
- 使用 IOC、TAA (IOA)、IDS、YARA 用户规则扫描的数据。
- 存储中的文件数据。
- 关于用户账户的数据。
- 关于授权许可。
- 具有端点代理组件的计算机列表。
- 放在存储中的对象。
- 在具有端点代理组件的计算机上被隔离的对象。
- 附加到警报的文件。
- IOC 和 YARA 文件。