使用 Kaspersky Endpoint Detection and Response Optimum 时提供的数据
使用 Kaspersky Endpoint Detection and Response Optimum 时提供的数据
与IOC 扫描任务结果一起传输的数据
Kaspersky Endpoint Security 会自动将有关IOC 扫描任务结果的数据发送到 Kaspersky Security Center。
IOC扫描任务结果数据可能包含以下信息:
- 网络信息:
- 地址解析协议 (ARP) 表中的 IP 地址
- 地址解析协议表中的 MAC 地址
- DNS 记录的类型和名称
- 受保护设备的 IP 地址
- 受保护设备的 MAC 地址
- 远程连接的 IP 地址和端口
- 本地网络适配器的 IP 地址
- 本地适配器上的开放端口号
- 根据互联网号码分配机构 (IANA) 标准的协议编号
- 有关进程的信息:
- 进程名称
- 进程参数
- 进程的可执行文件路径
- 进程 ID (PID)
- 父进程 ID
- 启动进程的用户的名称
- 进程启动的日期和时间
- 有关服务的信息:
- 服务名称
- 服务说明
- 服务可执行文件的路径和名称
- 服务 ID
- 服务类型(内核驱动程序、适配器等)
- 服务状态
- 服务启动模式
- 启动服务的用户的名称
- 有关文件系统的信息:
- 卷名
- 卷函
- 卷类型
- 有关操作系统的信息:
- 操作系统的名称和版本
- 受保护设备的网络名称
- 设备所属的域或组
- 有关 Web 活动的信息:
- 浏览器名称
- 浏览器版本
- 上次访问 Web 资源的时间
- HTTP 请求的网址
- 发出 HTTP 请求的用户的姓名
- 发出 HTTP 请求的进程的名称
- 发出 HTTP 请求的进程的可执行文件的路径
- 发出 HTTP 请求的进程的 ID
- HTTP referer(HTTP 请求来源的网址)
- 请求资源的网址
- 已处理的 Web 请求的用户代理 (HTTP User-Agent)
- HTTP 请求执行时间
- 发出 HTTP 请求的进程的唯一 ID
用于创建威胁发展链的数据
用于创建威胁发展链的数据可能包含以下信息:
- 警报常规信息:
- 警报日期和时间
- 对象名称
- 扫描模式
- 与警报相关的最后一个操作的状态
- 警报处理失败的原因
- 已处理对象的信息:
- 进程标识符
- 父进程 ID
- 进程文件 ID
- 进程的命令行
- 启动进程的用户的名称
- 进程在其中启动的会话的 ID
- 进程在其中启动的会话的类型
- 已处理对象的完整性级别
- 用户是否属于特权组
- 已处理对象的 ID
- 已处理对象的全称
- 受保护设备的的 ID
- 对象的完整名称(本地文件或网址)
- 已处理对象的 MD5 和 SHA256 校验和
- 已处理对象的类型
- 对象创建和最后修改的日期
- 已处理对象的大小
- 已处理对象的属性
- 有关签署该对象的组织的信息
- 对象数字证书验证结果
- 对象的安全标识符 (SID)
- 对象的时区 ID
- 对象从其下载的网址(仅适用于文件)
- 下载文件的应用程序的名称
- 下载文件的应用程序的 MD5 和 SHA256 校验和
- 上次修改文件的应用程序名称
- 上次修改文件的应用程序的 MD5 和 SHA256 校验和
- 已处理对象的启动次数
- 已处理对象首次启动的日期和时间
- 文件的唯一 ID
- 文件全名(本地文件或网址)
- 已处理的 Web 请求的网址
- 已处理的 Web 请求的链接来源(HTTP referer)
- 已处理的 Web 请求的用户代理
- 已处理的 Web 请求的类型(GET 或 POST)
- 已处理的 Web 请求的本地 IP 端口
- 已处理的 Web 请求的远程 IP 端口
- 已处理的 Web 请求的连接方向(入站或出站)
- 被注入恶意代码的进程的 ID
您觉得这篇文章有帮助吗?
我们可以做什么更好?
感谢您的反馈!你正在帮助我们进步。
感谢您的反馈!你正在帮助我们进步。