Kaspersky Endpoint Detection and Response
Kaspersky Endpoint Detection and Response
当卸载 Kaspersky Endpoint Security 时,应用程序本地存储在计算机上的所有数据将从计算机中删除。
作为“IOC 扫描”任务执行(标准任务)结果收到的数据
Kaspersky Endpoint Security 自动提交“IOC 扫描”任务执行结果数据到 Kaspersky Security Center。
“IOC 扫描”任务执行结果中的数据可能包含以下信息:
- ARP 表中的 IP 地址
- ARP 表中的物理地址
- DNS 记录类型和名称
- 受保护计算机的 IP 地址
- 受保护计算机的物理地址(MAC 地址)
- 事件日志条目中的标识符
- 日志中的数据源名称
- 日志名称
- 事件时间
- 文件的 MD5 和 SHA256 哈希值
- 文件的全名(包括路径)
- 文件大小
- 扫描期间建立连接的远程 IP 地址和端口
- 本地适配器 IP 地址
- 在本地适配器上打开端口
- 协议作为数字(符合 IANA 标准)
- 进程名称
- 处理参数
- 进程文件的路径
- 进程的 Windows 标识符 (PID)
- 父进程的 Windows 标识符 (PID)
- 启动进程的用户账户
- 进程开始的日期和时间
- 服务名称
- 服务说明
- DLL 服务的路径和名称(对于 svchost)
- 服务可执行文件的路径和名称
- 服务的 Windows 标识符 (PID)
- 服务类型(例如,内核驱动程序或适配器)
- 服务状态
- 服务启动模式
- 用户账户名称
- 卷名
- 卷字母
- 卷类型
- Windows 注册表值
- 注册表巢值
- 注册表项路径(没有巢和值名称)
- 注册表设置
- 系统(环境)
- 计算机上安装的操作系统的名称和版本
- 受保护计算机的网络名称
- 受保护计算机所属的域或组
- 浏览器名称
- 浏览器版本
- 上次访问 Web 资源的时间
- 来自 HTTP 请求的 URL
- 用于 HTTP 请求的账户名称
- 发出 HTTP 请求的进程的文件名
- 发出 HTTP 请求的进程文件的完整路径
- 发出 HTTP 请求的进程的 Windows 标识符 (PID)
- HTTP Referer(HTTP 请求源 URL)
- 通过 HTTP 请求的资源的 URI
- 有关 HTTP 用户代理(发出 HTTP 请求的应用程序)的信息
- HTTP 请求执行时间
- 发出 HTTP 请求的进程的唯一标识符
用于创建威胁发展链的数据
创建威胁发展链的数据默认保存 7 天。数据会自动发送到 Kaspersky Security Center。
用于创建威胁发展链的数据可能包含以下信息:
- 事件日期和时间
- 检测名称
- 扫描模式
- 与检测相关的最后一个操作的状态
- 检测处理失败的原因
- 检测到的对象类型
- 检测到的对象名称
- 对象处理后的威胁状态
- 对对象执行操作失败的原因
- 为回滚恶意操作而执行的操作
- 已处理对象的相关信息:
- 进程的唯一标识符
- 父进程的唯一标识符
- 进程文件的唯一标识符
- Windows 进程标识符(PID)
- 进程命令行
- 启动进程的用户账户
- 运行进程的登录会话的代码
- 运行进程的会话类型
- 正在处理的进程的完整性级别
- 在特权本地和域组中启动进程的用户账户的成员身份
- 已处理对象的标识符
- 已处理对象的全名
- 受保护设备的标识符
- 对象的全名(本地文件名或已下载文件网址)
- 已处理对象的 MD5 或 SHA256 哈希
- 已处理对象的类型
- 已处理对象的创建日期
- 已处理对象最后修改的日期
- 已处理对象的大小
- 已处理对象的属性
- 签署已处理对象的组织
- 已处理对象数字证书校验结果
- 已处理对象的安全标识符 (SID)
- 已处理对象的时区标识
- 已处理对象下载网址(仅适用于磁盘文件)
- 下载文件的应用程序的名称
- 下载文件的应用程序的 MD5 和 SHA256 哈希
- 最后修改文件的应用程序的名称
- 最后修改文件的应用程序的 MD5 和 SHA256 哈希
- 已处理对象启动数
- 已处理对象首次启动的日期和时间
- 文件的唯一标识符
- 文件全名(本地文件名或下载文件网址)
- 已处理的 Windows 注册表变量的路径
- 已处理的 Windows 注册表变量的名称
- 已处理的 Windows 注册表变量的值
- 已处理的 Windows 注册表变量的类型
- 自动运行点中已处理注册表项成员关系的指示器
- 已处理的 Web 请求的网址
- 已处理的 Web 请求的链接源
- 已处理的 Web 请求的用户代理
- 已处理的 Web 请求的类型(“GET”或“POST”)。
- 已处理的 Web 请求的本地 IP 端口
- 已处理的 Web 请求的远程 IP 端口
- 已处理的 Web 请求的连接方向(入站或出站)
- 嵌入恶意代码的进程的标识符
您觉得这篇文章有帮助吗?
我们可以做什么更好?
感谢您的反馈!你正在帮助我们进步。
感谢您的反馈!你正在帮助我们进步。