Kaspersky Anti Targeted Attack Platform
7.0
Русский
Предоставление данных  >  Данные, пересылаемые между компонентами приложения

Данные, пересылаемые между компонентами приложения

Central Node и компонент Endpoint Agent

Приложения, которые выступают в роли компонента Endpoint Agent, отправляют на компонент Central Node отчеты о выполнении задач, информацию о событиях и обнаружениях, произошедших на компьютерах с этими приложениями, а также информацию о терминальных сессиях.

Если связь с компонентом Central Node отсутствует, все данные, предназначенные для отправки, накапливаются до тех пор, пока они не будут отправлены на компонент Central Node или приложение, которое выступает в роли компонента Endpoint Agent, не будет удалено с компьютера, но не более 21 дня.

Общие сведения для всех событий

Если событие произошло на компьютере пользователя, приложения отправляют следующие данные в базу событий:

  • Тип события.
  • Время события.
  • Идентификатор события.
  • Версия схемы события.
  • Время обработки события сервером Central Node.
  • Учетная запись пользователя, от имени которой было совершено событие.
  • Имя хоста, на котором произошло событие.
  • IP-адрес хоста.
  • Тип операционной системы, установленной на хосте.
  • Семейство ОС.
  • Имя ОС.
  • Версия ОС.
  • IP-адрес сетевого адаптера, через который приложение, используемое в роли компонента Endpoint Agent, подключается к серверу Central Node или Sensor.
  • Версия приложения, которое используется в роли компонента Endpoint Agent.
  • Дата последнего обновления баз KBD.
  • Дата последнего обновления баз SW.
  • Дата индекса.
  • При разметке событий по правилам TAA(IOA) передается следующая информация:
    • Идентификатор сработавшего индикатора атаки.
    • Заключение сработавшего индикатора атаки.
    • Источник сработавшего индикатора атаки.
    • Версия сработавшего индикатора атаки.
    • Код техники MITRE.
    • Код тактики MITRE.
    • Важность обнаружения в соответствии с тем, какое влияние это обнаружение может оказать на безопасность компьютера или локальной сети вашей организации, по опыту "Лаборатории Касперского".
    • Надежность обнаружения в зависимости от вероятности ложных срабатываний правила.

Central Node и Kaspersky Endpoint Agent для Windows

Если событие произошло на компьютере пользователя, приложение отправляет следующие данные в базу событий:

  1. Событие создания файла.
    • Сведения о процессе, создавшем файл: имя файла процесса, MD5-, SHA256-хеш файла процесса.
    • Имя файла.
    • Путь к файлу.
    • Полное имя файла.
    • MD5-, SHA256-хеш файла.
    • Дата создания и изменения файла.
    • Размер файла.
  2. Событие мониторинга реестра.
    • Сведения о процессе, изменившем реестр: ID процесса, имя файла процесса, MD5-, SHA256-хеш файла процесса.
    • Путь к ключу реестра.
    • Имя параметра реестра.
    • Значение параметра реестра.
    • Тип параметра реестра.
    • Предыдущий путь к ключу реестра.
    • Предыдущее значение параметра реестра.
    • Предыдущий тип параметра реестра.
  3. Событие загрузки драйвера.
    • Имя файла.
    • Путь к файлу.
    • Полное имя файла.
    • MD5-, SHA256-хеш файла.
    • Размер файла.
    • Дата создания и изменения файла.
  4. Событие открытия порта на прослушивание.
    • Сведения о процессе, открывшем порт на прослушивание: имя файла процесса, MD5-, SHA256-хеш файла процесса.
    • Номер порта.
    • IP-адрес адаптера.
  5. Событие в журнале ОС.
    • Время события, хост, на котором произошло событие, имя учетной записи пользователя.
    • ID события.
    • Имя журнала/канала.
    • ID события в журнале.
    • Имя провайдера.
    • Подтип события аутентификации.
    • Имя домена.
    • Удаленный IP-адрес.
    • Поля заголовка события: ProviderName, EventId, Version, Level, Task, Opcode, Keywords, TimeCreatedSystemTime, EventRecordId, CorellationActivityId, ExecutionProcessID, ThreadID, Channel, Computer.
    • Поля тела события: AccessList, AccessFiles mask, AccountExpires, AllowedToDelegateTo, Application, AuditPolicyChanges, AuthenticationPackageName, CategoryId, CommandLine, DisplayName, Dummy, ElevatedToken, EventCode, EventProcessingFailure, FailureReason, FilterRTID, HandleId, HomeDirectory, HomePath, ImpersonationLevel, IpAddress, IpPort, KeyLength, LayerName, LayerRTID, LmPackageName, LogonGuid, LogonHours, LogonProcessName, LogonType, MandatoryLabel, MemberName, MemberSid, NewProcessId, NewProcessName, NewUacValue, NewValue, NewValueType, ObjectName, ObjectServer, ObjectType, ObjectValueName, OldUacValue, OldValue, OldValueType, OperationType, PackageName, ParentProcessName, PasswordLastSet, PrimaryGroupId, PriviledgeList, ProcessId, ProcessName, ProfileChanged, ProfilePath, Protocol, PublisherId, ResourceAttributes, RestrictedAdminMode, SamAccountName, ScriptPath, ServiceAccount, ServiceFileName, ServiceName, ServiceStartType, ServiceType, SettingType, SettingValue, ShareLocalPath, ShareName, SidHistory, SourceAddress, SourcePort, Status, SubcategoryGuid, SubcategoryId, SubjectDomainName, SubjectLogonId, SubjectUserName, SubjectUserSid, SubStatus, TargetDomainName, TargetLinkedLogonId, TargetLogonId, TargetOutboundDomainName, TargetOutboundUserName, TargetUserName, TargetUserSid, TaskContent, TaskName, TokenElevationType, TransmittedServices, UserAccountControl, UserParameters, UserPrincipalName, UserWorkstations, VirtualAccount, Workstation, WorkstationName.
  6. Событие запуска процесса.
    • Сведения о файле процесса: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла, дата создания и изменения файла, имя организации, выпустившей цифровой сертификат файла, результат проверки цифровой подписи файла.
    • UniquePID.
    • Параметры запуска процесса.
    • Время запуска процесса.
    • Сведения о родительском процессе: путь к файлу, UniquePID, MD5-, SHA256-хеш файла процесса, параметры запуска процесса.
  7. Событие остановки процесса.
    • Сведения о файле процесса: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла, время завершения процесса.
    • UniquePID.
    • Параметры запуска процесса.
    • Сведения о родительском процессе: путь к файлу, UniquePID, MD5-, SHA256-хеш файла процесса, параметры запуска процесса.
  8. Событие загрузки модуля.
    • Сведения о файле, загрузившем модуль: UniquePID, имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла.
    • Имя DLL.
    • Путь к DLL.
    • Полное имя DLL.
    • MD5-, SHA256-хеш DLL.
    • Размер DLL.
    • Дата создания и изменения DLL.
    • Имя организации, выпустившей цифровой сертификат DLL.
    • Результат проверки цифровой подписи DLL.
  9. Событие блокирования запуска процесса.
    • Сведения о файле, который пытались выполнить: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла, дата создания и изменения файла.
    • Параметры командной строки.
  10. Событие блокирования запуска файла.
    • Сведения о файле, который пытались открыть: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, тип контрольной суммы, по которой произведена блокировка, размер файла (0 – MD5, !=0 – SHA256, для поиска не используется).
    • Сведения об исполняемом файле: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла, дата создания и изменения файла.
    • Сведения о родительском процессе: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, PID, UniquePID.
  11. Событие обнаружения и результата его обработки (при интеграции Kaspersky Endpoint Agent для Windows с Kaspersky Endpoint Security для Windows).
    • Результат проверки.
    • Название обнаруженного объекта.
    • Идентификатор записи в базах приложения.
    • Время выпуска баз приложения, с помощью которых было выполнено обнаружение.
    • Режим обработки объекта.
    • Категория обнаруженного объекта (например, название вируса).
    • MD5-хеш обнаруженного объекта.
    • SHA256-хеш обнаруженного объекта.
    • Уникальный идентификатор процесса.
    • PID процесса, отображаемый в диспетчере задач Windows.
    • Командная строка запуска процесса.
    • Причина ошибки при обработке объекта.
    • Содержание скрипта, проверенного с помощью AMSI.
  12. Событие AMSI-проверки.
    • Содержание скрипта, проверенного с помощью AMSI.

Central Node и Kaspersky Endpoint Security для Windows

Если событие произошло на компьютере пользователя, приложение отправляет следующие данные в базу событий:

  1. Событие изменения файла.
    • Сведения о процессе, создавшем файл: имя файла процесса, MD5-, SHA256-хеш файла процесса.
    • Сведения о созданном или измененном файле: имя, путь, полное имя, тип, MD5-хеш, SHA256-хеш, дата создания, дата изменения, атрибуты, дата изменения атрибутов, размер, атрибуты,идентификатор зоны, имя приложения файла, производитель, имя организации, выпустившей цифровой сертификат, описание, результат проверки цифровой подписи, время цифровой подписи, исходное имя, имя до изменения, путь до изменения, полное имя до изменения.
    • Сведения о файле, на который была создана ссылка: MD5-хеш, SHA256-хеш, дата создания, дата изменения, атрибуты, дата изменения атрибутов, размер, тип, идентификатор зоны, имя приложения файла, исходное имя, имя организации, выпустившей цифровой сертификат, описание, субъект подписи, результат проверки цифровой подписи, время цифровой подписи, полное имя файла-ссылки.
  2. Событие мониторинга реестра.
    • Сведения о процессе, изменившем реестр: ID процесса, имя файла процесса, MD5-, SHA256-хеш файла процесса.
    • Путь к ключу реестра.
    • Имя параметра реестра.
    • Значение параметра реестра.
    • Тип параметра реестра.
    • Предыдущий путь к ключу реестра.
    • Предыдущее значение параметра реестра.
    • Предыдущий тип параметра реестра.
    • Тип операции с реестром.
    • Путь к файлу, в который был сохранен ключ реестра.
  3. Событие загрузки драйвера.
    • Имя файла.
    • Исходное имя файла.
    • Путь к файлу.
    • Полное имя файла.
    • MD5-, SHA256-хеш файла.
    • Размер файла.
    • Дата создания и изменения файла.
    • Дата изменения атрибутов файла.
    • Размер файла.
    • Тип файла.
    • Атрибуты файла.
    • Идентификатор зоны файла.
    • Производитель файла.
    • Описание файла.
    • Имя организации, выпустившей цифровой сертификат.
    • Субъект подписи.
    • Результат проверки цифровой подписи.
    • Время цифровой подписи.
    • URL-адрес, с которого был получен файл.
    • Мета-данные о письме, из которого был получен файл.
  4. Событие открытия порта на прослушивание.
    • Сведения о процессе, открывшем порт на прослушивание: имя файла процесса, MD5-, SHA256-хеш файла процесса.
    • Номер порта.
    • IP-адрес адаптера.
    • Статус операции.
  5. Событие удаленного соединения.
    • Сведения о локальном компьютере: IP-адрес, номер порта.
    • Сведения об удаленном компьютере: IP-адрес, порт, номер порта, FQDN.
    • Сведения о TLS-шифровании соединения: версия протокола, SNI, зашифрованный SNI, MD5-хеш файла сертификата, SHA1-хеш файла сертификата, имя издателя сертификата, серийный номер сертификата, результат проверки сертификата, срок действия сертификата, Ja3, Ja3s, MD5-хеш Ja3, MD5-хеш Ja3s, тип разъема (socket).
    • Номер LANA.
    • HTTP-метод.
    • URL-адрес, по которому был совершен переход.
    • Статус процесса.
    • Направление соединения.
  6. Событие DNS-поиска.
    • IP-адрес запрашиваемого DNS-сервера в формате IPv4.
    • Бинарная маска выполняемого DNS-запроса.
    • Код ошибки DNS-ответа.
    • Идентификатор типа DNS-запроса.
    • Имя домена, для которого требуется разрешить запись DNS.
    • Дата DNS-ответа.
  7. Событие LDAP.
    • Область поиска.
    • Фильтр поискового запроса.
    • Атрибуты, заданные в запросе в качестве возвращаемых.
    • Путь к LDAP-контейнеру, в котором будет производиться поиск.
  8. Событие запуска процесса.

    Сведения о файлах родительского и прародительского процессов, процессов-загрузчиков, процессов-создателей, запущенных процессах: имя, путь, полное имя, MD5-хеш, SHA256-хеш, дата и время создания, дата и время изменения, атрибуты, дата и время изменения атрибутов, размер, идентификатор зоны, , производитель, имя организации, выпустившей цифровой сертификат, описание, исходное имя, субъект цифровой подписи, результат проверки цифровой подписи, дата и время цифровой подписи, , версия файла, тип входа в систему, идентификатор сессии входа, тип учетной записи, имя пользователя, идентификатор учетной записи, IP-адрес компьютера, с которого был совершен вход, уровень целостности, идентификатор процесса, текущая директория.

  9. Событие остановки процесса.
    • Сведения о файле процесса: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла, время завершения процесса.
    • Уникальный идентификатор процесса.
    • Параметры запуска процесса.
    • Сведения о родительском процессе: путь к файлу, UniquePID, MD5- и SHA256-хеш, параметры запуска.
  10. Событие доступа к процессу.
    • Тип операции.
    • Права доступа к процессу.
    • Стек вызовов.
    • Сведения о файле процесса-реципиента и файле процесса, из которого был продублирован дескриптор: имя, путь, полный путь, MD5-и SHA256-хеш, дата и время создания, дата и время изменения, дата и время изменения атрибутов, размер, уникальный идентификатор, системный идентификатор, параметры командной строки, URL-адрес, с которого был получен файл, мета-данные о письме, из которого был получен файл.
  11. Событие загрузки модуля.
    • Сведения о файле, загрузившем модуль: UniquePID, имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла.
    • Имя DLL.
    • Путь к DLL.
    • Полное имя DLL.
    • MD5-, SHA256-хеш DLL.
    • Размер DLL.
    • Атрибуты DLL.
    • Идентификатор зоны DLL.
    • Имя приложения DLL.
    • Исходное имя DLL.
    • Дата создания и изменения DLL.
    • Имя организации, выпустившей цифровой сертификат DLL.
    • Результат проверки цифровой подписи DLL.
    • Дата цифровой подписи DLL.
    • Путь к замененной DLL.
    • Тип файла DLL.
    • URL-адрес. с которого был получен файл.
    • Мета-данные об электронном письме, из которого был получен файл.
    • Имя сборки .NET.
    • Флаги сборки .NET.
    • Флаги модуля .NET.
  12. Событие блокирования запуска процесса.
    • Сведения о файле, который пытались выполнить: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла, дата создания и изменения файла.
    • Параметры командной строки.
  13. Событие блокирования запуска файла.
    • Сведения о файле, который пытались открыть: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, тип контрольной суммы, по которой произведена блокировка, размер файла (0 – MD5, !=0 – SHA256, для поиска не используется), URL-адрес сайта, с которого был скачан запускаемый файл, метаданные о письме, из вложения которого был скачан файл.
    • Сведения об исполняемом файле: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла, дата создания и изменения файла.
    • Сведения о родительском процессе: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, PID, UniquePID.
  14. Событие открытия именованного канала и подключения к нему.
    • Имя файла процесса, создавшего именованный канал или подключившегося к нему.
    • Тип операции с каналом.
  15. Событие обнаружения угрозы и результата обработки обнаружения.
    • Имя обнаруженного объекта.
    • MD5-хеш обнаруженного объекта.
    • SHA256-хеш обнаруженного объекта.
    • Тип обнаруженного объекта.
    • Результат проверки.
    • Идентификатор записи в базах приложения.
    • Версия баз приложения, с помощью которых было выполнено обнаружение.
    • Режим обработки объекта.
    • Категория обнаруженного объекта (например, название вируса).
    • Протокол.
    • IP-адрес локального компьютера в формате IPv4 или IPv6.
    • Номер локального порта.
    • IP-адрес удаленного компьютера в формате IPv4 или IPv6.
    • Номер удаленного порта.
    • URL-адрес, с которого был получен файл.
    • Электронный адрес отправителя, если файл был получен из электронного письма.
    • Полное имя, MD5-, SHA256-хеш загрузчика файла.
    • Уникальный идентификатор процесса.
    • PID процесса, отображаемый в диспетчере задач Windows.
    • Командная строка запуска процесса.
    • Причина ошибки при обработке объекта.
    • Содержание и тип скрипта, проверенного с помощью AMSI.
  16. Событие запуска службы WMI.
    • Тип операции.
    • Признак удаленного запуска службы WMI.
    • Имя компьютера, на котором была запущена служба WMI.
    • Имя пользователя, под учетной записью которого была запущена служба WMI.
    • Пространство имен WMI.
    • Имя фильтра потребителя событий.
    • Имя созданного потребителя событий.
    • Исходный код потребителя событий.
  17. Событие AMSI-проверки.
    • Содержание скрипта, проверенного с помощью AMSI.
    • Тип содержимого, переданного на проверку скрипта.
    • Имя переданного на проверку скрипта.
    • MD5-хеш файла скрипта.
    • SHA256-хеш файла скрипта.
  18. Событие внедрения кода.
    • Сведения о процессе-реципиенте: имя приложения, полное имя приложения, путь к приложению, MD5-хеш файла, SHA256-хеш файла, URL-адрес, с которого был скачан файл, метаданные о письме, из вложения которого был скачан файл, уникальный идентификатор приложения, системный идентификатор приложения, командная строка запуска, имя DLL процесса, путь к DLL процесса, адрес процесса в адресном пространстве.
    • Метод внедрения.
    • Измененная командная строка запуска процесса.
    • Параметры системного вызова.
    • Стек API-вызовов на момент перехвата функции, связанной с внедрением.
  19. Событие интерпретированного запуска файла.

    Сведения об интерпретированном файле: имя, путь, полное имя, MD5, SHA256, дата и время создания файла, дата и время изменения файла, размер, тип, атрибуты, дата и время изменения атрибутов, оригинальное имя, описание, идентификатор зоны, имя организации, выпустившей цифровой сертификат, результат проверки цифровой подписи, дата и время цифровой подписи, субъект цифровой подписи, URL-адрес, с которого был получен файл, метаданные о письме, из вложения которого был скачан файл.

  20. Событие в журнале ОС.
    • Время события, хост, на котором произошло событие, имя учетной записи пользователя.
    • ID события.
    • Имя журнала/канала.
    • ID события в журнале.
    • Имя провайдера.
    • Подтип события аутентификации.
    • Имя домена.
    • Удаленный IP-адрес.
    • Поля заголовка события: ProviderName, EventId, Version, Level, Task, Opcode, Keywords, TimeCreatedSystemTime, EventRecordId, CorellationActivityId, ExecutionProcessID, ThreadID, Channel, Computer.
    • Поля тела события: AccessList, AccessFiles mask, AccountExpires, AllowedToDelegateTo, Application, AuditPolicyChanges, AuthenticationPackageName, CategoryId, CommandLine, DisplayName, Dummy, ElevatedToken, EventCode, EventProcessingFailure, FailureReason, FilterRTID, HandleId, HomeDirectory, HomePath, ImpersonationLevel, IpAddress, IpPort, KeyLength, LayerName, LayerRTID, LmPackageName, LogonGuid, LogonHours, LogonProcessName, LogonType, MandatoryLabel, MemberName, MemberSid, NewProcessId, NewProcessName, NewUacValue, NewValue, NewValueType, ObjectName, ObjectServer, ObjectType, ObjectValueName, OldUacValue, OldValue, OldValueType, OperationType, PackageName, ParentProcessName, PasswordLastSet, PrimaryGroupId, PriviledgeList, ProcessId, ProcessName, ProfileChanged, ProfilePath, Protocol, PublisherId, ResourceAttributes, RestrictedAdminMode, SamAccountName, ScriptPath, ServiceAccount, ServiceFileName, ServiceName, ServiceStartType, ServiceType, SettingType, SettingValue, ShareLocalPath, ShareName, SidHistory, SourceAddress, SourcePort, Status, SubcategoryGuid, SubcategoryId, SubjectDomainName, SubjectLogonId, SubjectUserName, SubjectUserSid, SubStatus, TargetDomainName, TargetLinkedLogonId, TargetLogonId, TargetOutboundDomainName, TargetOutboundUserName, TargetUserName, TargetUserSid, TaskContent, TaskName, TokenElevationType, TransmittedServices, UserAccountControl, UserParameters, UserPrincipalName, UserWorkstations, VirtualAccount, Workstation, WorkstationName, System, SystemProvider, SystemProviderName, SystemProviderGuid, SystemProviderEventSourceName, SystemEventID, SystemEventIDQualifiers, SystemEventRecordID, SystemChannel, SystemTask, SystemOpcode, SystemVersion, SystemLevel, SystemKeywords, SystemTimeCreated, SystemTimeCreatedSystemTime, SystemCorrelation, SystemCorrelationActivityID, SystemExecution, SystemExecutionProcessID, SystemExecutionThreadID, SystemComputer, SystemSecurity, SystemSecurityUserID, UserData, UserDataEventProcessingFailure, UserDataEventProcessingFailureError, UserDataEventProcessingFailureErrorCode, UserDataEventProcessingFailureEventID, UserDataEventProcessingFailurePublisherID, UserDataLogFileCleared, UserDataLogFileClearedSubjectUserSid, UserDataLogFileClearedSubjectUserName, UserDataLogFileClearedSubjectDomainName, UserDataLogFileClearedSubjectLogonId, UserDataFileIsFull, UserDataOperationStartedOperationalProviderName, UserDataOperationStartedOperationalCode, UserDataOperationStartedOperationalHostProcess, UserDataOperationStartedOperationalProcessID, UserDataOperationStartedOperationalProviderPath, UserDataServiceShutdown, UserDataOperationClientFailure, UserDataOperationClientFailureId, UserDataOperationClientFailureClientMachine, UserDataOperationClientFailureUser, UserDataOperationClientFailureClientProcessId, UserDataOperationClientFailureComponent, UserDataOperationClientFailureOperation, UserDataOperationClientFailureResultCode, UserDataOperationClientFailurePossibleCause, EventData, EventDataData, EventDataDataTaskName, EventDataDataPrivilegeList, EventDataDataAttributeLDAPDisplayName, EventDataDataOperationType, EventDataDataObjectClass, EventDataDataAttributeValue, EventDataDataObjectDN, EventDataDataRelativeTargetName, EventDataDataWorkstationName, EventDataDataServiceName, EventDataDataAllowedToDelegateTo, EventDataDataUserAccountControl, EventDataDataProfileChanged, EventDataDataRuleId, EventDataDataRuleName, EventDataDataSubjectUserSid, EventDataDataSubjectUserName, EventDataDataSubjectDomainName, EventDataDataSubjectLogonId, EventDataDataPreviousTime, EventDataDataNewTime, EventDataDataProcessId, EventDataDataProcessName, EventDataDataObjectType, EventDataDataObjectName, EventDataDataAccessList, EventDataDataAccessMask, EventDataDataServiceFileName, EventDataDataServiceType, EventDataDataServiceStartType, EventDataDataServiceAccount, EventDataDataDomainName, EventDataDataDomainSid, EventDataDataTdoType, EventDataDataTdoDirection, EventDataDataTdoAttributes, EventDataDataSidFilteringEnabled, EventDataDataTargetSid, EventDataDataAccessGranted, EventDataDataTargetUserName, EventDataDataTargetDomainName, EventDataDataSamAccountName, EventDataDataSidHistory, EventDataDataDomainPolicyChanged, EventDataDataMinPasswordAge, EventDataDataMaxPasswordAge, EventDataDataForceLogoff, EventDataDataLockoutThreshold, EventDataDataLockoutObservationWindow, EventDataDataLockoutDuration, EventDataDataProperties, EventDataDataPasswordProperties, EventDataDataMinPasswordLength, EventDataDataPasswordHistoryLength, EventDataDataMachineAccountQuota, EventDataDataMixedDomainMode, EventDataDataDomainBehaviorVersion, EventDataDataOemInformation, EventDataDataGroupTypeChange, EventDataDataLogonGuid, EventDataDataTargetUserSid, EventDataDataTargetLogonId, EventDataDataTargetLogonGuid, EventDataDataSidList, EventDataDataWorkstation, EventDataDataStatus, EventDataDataCallerProcessId, EventDataDataCallerProcessName, EventDataDataForestRoot, EventDataDataForestRootSid, EventDataDataOperationId, EventDataDataEntryType, EventDataDataFlags, EventDataDataTopLevelName, EventDataDataDnsName, EventDataDataNetbiosName, EventDataDataAuditSourceName, EventDataDataEventSourceId, EventDataDataErrorCode, EventDataDataGPOList, EventDataDataDestinationDRA, EventDataDataSourceDRA, EventDataDataSourceAddr, EventDataDataNamingContext, EventDataDataOptions, EventDataDataStatusCode, EventDataDataSessionID, EventDataDataStartUSN, EventDataDataPackageName, EventDataDataAuthenticationPackageName, EventDataDataFailureReason, EventDataDataSubStatus, EventDataDataCategoryId, EventDataDataSubcategoryGuid, EventDataDataAuditPolicyChanges, EventDataDataUserPrincipalName, EventDataDataHomeDirectory, EventDataDataHomePath, EventDataDataScriptPath, EventDataDataProfilePath, EventDataDataUserWorkstations, EventDataDataPasswordLastSet, EventDataDataAccountExpires, EventDataDataPrimaryGroupId, EventDataDataOldUacValue, EventDataDataNewUacValue, EventDataDataUserParameters, EventDataDataLogonHours, EventDataDataMemberName, EventDataDataMemberSid, EventDataDataServiceSid, EventDataDataTicketOptions, EventDataDataTicketEncryptionType, EventDataDataPreAuthType, EventDataDataCertIssuerName, EventDataDataCertSerialNumber, EventDataDataCertThumbprint, EventDataDataSettingType, EventDataDataSettingValue, EventDataDataShareName, EventDataDataShareLocalPath, EventDataDataApplication, EventDataDataSourceAddress, EventDataDataSourcePort, EventDataDataProtocol, EventDataDataFilterRTID, EventDataDataLayerName, EventDataDataLayerRTID, EventDataDataLogonType, EventDataDataLogonProcessName, EventDataDataTransmittedServices, EventDataDataLmPackageName, EventDataDataKeyLength, EventDataDataIpAddress, EventDataDataIpPort, EventDataDataImpersonationLevel, EventDataDataRestrictedAdminMode, EventDataDataTargetOutboundUserName, EventDataDataTargetOutboundDomainName, EventDataDataVirtualAccount, EventDataDataTargetLinkedLogonId, EventDataDataElevatedToken, EventDataDataTaskContentNew, EventDataDataTaskContentNewTask, EventDataDataTaskContentNewTaskRegistrationInfo, EventDataDataTaskContentNewTaskRegistrationInfoDate, EventDataDataTaskContentNewTaskRegistrationInfoAuthor, EventDataDataTaskContentNewTaskTriggers, EventDataDataTaskContentNewTaskPrincipals, EventDataDataTaskContentNewTaskPrincipalsPrincipal, EventDataDataTaskContentNewTaskPrincipalsPrincipalid, EventDataDataTaskContentNewTaskPrincipalsPrincipalRunLevel, EventDataDataTaskContentNewTaskPrincipalsPrincipalUserId, EventDataDataTaskContentNewTaskPrincipalsPrincipalLogonType, EventDataDataTaskContentNewTaskSettings, EventDataDataTaskContentNewTaskSettingsMultipleInstancesPolicy, EventDataDataTaskContentNewTaskSettingsDisallowStartIfOnBatteries, EventDataDataTaskContentNewTaskSettingsStopIfGoingOnBatteries, EventDataDataTaskContentNewTaskSettingsAllowHardTerminate, EventDataDataTaskContentNewTaskSettingsStartWhenAvailable, EventDataDataTaskContentNewTaskSettingsRunOnlyIfNetworkAvailable, EventDataDataTaskContentNewTaskSettingsIdleSettings, EventDataDataTaskContentNewTaskSettingsIdleSettingsStopOnIdleEnd, EventDataDataTaskContentNewTaskSettingsIdleSettingsRestartOnIdle, EventDataDataTaskContentNewTaskSettingsAllowStartOnDemand, EventDataDataTaskContentNewTaskSettingsEnabled, EventDataDataTaskContentNewTaskSettingsHidden, EventDataDataTaskContentNewTaskSettingsRunOnlyIfIdle, EventDataDataTaskContentNewTaskSettingsWakeToRun, EventDataDataTaskContentNewTaskSettingsExecutionTimeLimit, EventDataDataTaskContentNewTaskSettingsPriority, EventDataDataTaskContentNewTaskActions, EventDataDataTaskContentNewTaskActionsContext, EventDataDataTaskContentNewTaskActionsExec, EventDataDataTaskContentNewTaskActionsExecCommand, EventDataDataOldSd, EventDataDataNewSd, EventDataDataNotificationPackageName, EventDataDataSecurityPackageName, EventDataDataStopTime, EventDataDataContextInfo, EventDataDataUserData, EventDataDataPayload, EventDataDataOpCorrelationID, EventDataDataAppCorrelationID, EventDataDataDSName, EventDataDataDSType, EventDataDataObjectGUID, EventDataDataFileName, EventDataDataLinkName, EventDataDataTransactionId, EventDataDataOldObjectDN, EventDataDataNewObjectDN, EventDataDatabcdCCID, EventDataDatabMaxSlotIndex, EventDataDatabVoltageSupport, EventDataDatadwProtocols, EventDataDatadwDefaultClock, EventDataDatadwMaximumClock, EventDataDatabNumClockSupported, EventDataDatadwDataRate, EventDataDatadwMaxDataRate, EventDataDatabNumDataRateSupported, EventDataDatadwMaxIFSD, EventDataDatadwSyncProtocols, EventDataDatadwMechanical, EventDataDatadwFeatures, EventDataDataObjectValueName, EventDataDataHandleId, EventDataDataOldValueType, EventDataDataOldValue, EventDataDataNewValueType, EventDataDataNewValue, EventDataDataSubjectUserDomainName, EventDataDataObjectCollectionName, EventDataDataObjectIdentifyingProperties, EventDataDataObjectProperties, EventDataDataparam, EventDataDataCVEID, EventDataDataAdditionalDetails, EventDataDataObjectServer, EventDataDataTaskContent, EventDataDataTaskContentTask, EventDataDataTaskContentTaskRegistrationInfo, EventDataDataTaskContentTaskRegistrationInfoDate, EventDataDataTaskContentTaskRegistrationInfoAuthor, EventDataDataTaskContentTaskTriggers, EventDataDataTaskContentTaskPrincipals, EventDataDataTaskContentTaskPrincipalsPrincipal, EventDataDataTaskContentTaskPrincipalsPrincipalid, EventDataDataTaskContentTaskPrincipalsPrincipalRunLevel, EventDataDataTaskContentTaskPrincipalsPrincipalUserId, EventDataDataTaskContentTaskPrincipalsPrincipalLogonType, EventDataDataTaskContentTaskSettings, EventDataDataTaskContentTaskSettingsMultipleInstancesPolicy, EventDataDataTaskContentTaskSettingsDisallowStartIfOnBatteries, EventDataDataTaskContentTaskSettingsStopIfGoingOnBatteries, EventDataDataTaskContentTaskSettingsAllowHardTerminate, EventDataDataTaskContentTaskSettingsStartWhenAvailable, EventDataDataTaskContentTaskSettingsRunOnlyIfNetworkAvailable, EventDataDataTaskContentTaskSettingsIdleSettings, EventDataDataTaskContentTaskSettingsIdleSettingsStopOnIdleEnd, EventDataDataTaskContentTaskSettingsIdleSettingsRestartOnIdle, EventDataDataTaskContentTaskSettingsAllowStartOnDemand, EventDataDataTaskContentTaskSettingsEnabled, EventDataDataTaskContentTaskSettingsHidden, EventDataDataTaskContentTaskSettingsRunOnlyIfIdle, EventDataDataTaskContentTaskSettingsWakeToRun, EventDataDataTaskContentTaskSettingsExecutionTimeLimit, EventDataDataTaskContentTaskSettingsPriority, EventDataDataTaskContentTaskActions, EventDataDataTaskContentTaskActionsContext, EventDataDataTaskContentTaskActionsExec, EventDataDataTaskContentTaskActionsExecCommand, EventDataDataOldTargetUserName, EventDataDataNewTargetUserName, EventDataDataDeviceId, EventDataDataDeviceDescription, EventDataDataClassId, EventDataDataClassName, EventDataDataVendorIds, EventDataDataCompatibleIds, EventDataDataLocationInformation, EventDataDataAccountName, EventDataDataAccountDomain, EventDataDataLogonID, EventDataDataSessionName, EventDataDataClientName, EventDataDataClientAddress, EventDataDataMajorVersion, EventDataDataMinorVersion, EventDataDataBuildVersion, EventDataDataQfeVersion, EventDataDataServiceVersion, EventDataDataBootMode, EventDataDataStartTime, EventDataDataOldRemark, EventDataDataNewRemark, EventDataDataOldMaxUsers, EventDataDataNewMaxUsers, EventDataDataOldShareFlags, EventDataDataNewShareFlags, EventDataDataOldSD, EventDataDataNewSD, EventDataDataTreeDelete, EventDataDataPuaCount, EventDataDataPuaPolicyId, EventDataDataResourceAttributes, EventDataDataModifiedObjectProperties, EventDataDataDisplayName, EventDataDataDnsHostName, EventDataDataServicePrincipalNames, EventDataDataAttributeSyntaxOID, EventDataDataDummy, EventDataDataComputerAccountChange, EventDataDataMessageNumber, EventDataDataMessageTotal, EventDataDataScriptBlockText, EventDataDataScriptBlockId, EventDataDataPath, EventDataDataImagePath, EventDataDataStartType, EventDataDataAppName, EventDataDataAppVersion, EventDataDataTerminationTime, EventDataDataExeFileName, EventDataDataReportId, EventDataDataPackageFullName, EventDataDataPackageRelativeAppId, EventDataDataHangType, EventDataDataAccessReason, EventDataDataTargetServerName, EventDataDataTargetInfo, EventDataDataTargetProcessId, EventDataDataTargetProcessName, EventDataDataKerberosPolicyChange, EventDataDataSubcategoryId, EventDataBinary.

Central Node и Kaspersky Endpoint Security для Linux

Если событие произошло на компьютере пользователя, приложение отправляет следующие данные в базу событий:

  1. Событие изменения файла.
    • Сведения о процессе, создавшем файл: имя файла процесса, MD5-, SHA256-хеш файла процесса.
    • Сведения о созданном или измененном файле: имя, путь, полное имя, тип, MD5-хеш, SHA256-хеш, дата создания, дата изменения, атрибуты, дата изменения атрибутов, размер, атрибуты,идентификатор зоны, имя приложения файла, производитель, имя организации, выпустившей цифровой сертификат, описание, результат проверки цифровой подписи, время цифровой подписи, исходное имя, имя до изменения, путь до изменения, полное имя до изменения.
    • Сведения о файле, на который была создана ссылка: MD5-хеш, SHA256-хеш, дата создания, дата изменения, атрибуты, дата изменения атрибутов, размер, тип, идентификатор зоны, имя приложения файла, исходное имя, имя организации, выпустившей цифровой сертификат, описание, субъект подписи, результат проверки цифровой подписи, время цифровой подписи, полное имя файла-ссылки.
    • Тип файла.
    • Идентификатор владельца.
    • Идентификатор группы-владельца.
    • Имя пользователя-владельца.
    • Имя группы-владельца.
    • URL-адрес, с которого был получен файл.
    • Мета-данные об электронном письме, из которого был получен файл.
    • Запрашиваемые флаги доступа.
    • Признак того, что файл будет удален после перезагрузки.
    • Флаги доступа к файлу.
  2. Событие в журнале ОС.
    • Время события.
    • Тип события.
    • Имя события.
    • Результат операции.
    • Сведения о родительском процессе: путь к файлу, UniquePID, MD5-, SHA256-хеш файла процесса, команда, с помощью которой был запущен процесс.
  3. Событие запуска процесса.

    Сведения о файлах родительского и прародительского процессов, процессов-загрузчиков, процессов-создателей, запущенных процессах: имя, путь, полное имя, MD5-хеш, SHA256-хеш, дата и время создания, дата и время изменения, атрибуты, дата и время изменения атрибутов, размер, идентификатор зоны, , производитель, имя организации, выпустившей цифровой сертификат, описание, исходное имя, субъект цифровой подписи, результат проверки цифровой подписи, дата и время цифровой подписи, , версия файла, тип входа в систему, идентификатор сессии входа, тип учетной записи, имя пользователя, идентификатор учетной записи, IP-адрес компьютера, с которого был совершен вход, уровень целостности, идентификатор процесса, текущая директория, идентификатор владельца, идентификатор группы-владельца, имя пользователя-владельца, имя группы-владельца, настоящее имя пользователя, настоящее имя группы, действующее имя группы, действующее имя пользователя, флаги прав доступа к файлу, URL-адрес, с которого был скачан файл, мета-данные о письме, из которого был получен файл, переменные окружения процесса, параметры командной строки, тип процесса.

  4. Событие остановки процесса.
    • Сведения о файле процесса: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла, время завершения процесса.
    • UniquePID.
    • Параметры запуска процесса.
    • Сведения о родительском процессе: путь к файлу, UniquePID, MD5-, SHA256-хеш файла процесса, параметры запуска процесса.
  5. Событие обнаружения и результата его обработки.
    • Результат проверки.
    • Название обнаруженного объекта.
    • Идентификатор записи в базах приложения.
    • Время выпуска баз приложения, с помощью которых было выполнено обнаружение.
    • Режим обработки объекта.
    • Категория обнаруженного объекта (например, название вируса).
    • MD5-хеш обнаруженного объекта.
    • SHA256-хеш обнаруженного объекта.
    • Уникальный идентификатор процесса.
    • PID процесса.
    • Командная строка запуска процесса.
    • Причина ошибки при обработке объекта.
  6. Событие DNS-поиска.
    • IP-адрес запрашиваемого DNS-сервера в формате IPv4.
    • Бинарная маска выполняемого DNS-запроса.
    • Код ошибки DNS-ответа.
    • Идентификатор типа DNS-запроса.
    • Имя домена, для которого требуется разрешить запись DNS.
    • Дата DNS-ответа.
  7. Событие внедрения кода.
    • Сведения о процессе-реципиенте: имя приложения, полное имя приложения, путь к приложению, MD5-хеш файла, SHA256-хеш файла, URL-адрес, с которого был скачан файл, метаданные о письме, из вложения которого был скачан файл, уникальный идентификатор приложения, системный идентификатор приложения, командная строка запуска, имя DLL процесса, путь к DLL процесса, адрес процесса в адресном пространстве.
    • Метод внедрения.
    • Измененная командная строка запуска процесса.
    • Параметры системного вызова.
    • Стек API-вызовов на момент перехвата функции, связанной с внедрением.

Central Node и Kaspersky Endpoint Security для Mac

Если событие произошло на компьютере пользователя, приложение отправляет следующие данные в базу событий:

  1. Событие создания файла.
    • Сведения о процессе, создавшем файл: имя файла процесса, MD5-, SHA256-хеш файла процесса.
    • Имя файла.
    • Путь к файлу.
    • Полное имя файла.
    • Тип файла.
    • MD5-, SHA256-хеш файла.
    • Дата создания и изменения файла.
    • Размер файла.
  2. Событие запуска процесса.

    Сведения о файлах родительского и прародительского процессов, процессов-загрузчиков, процессов-создателей, запущенных процессах: имя, путь, полное имя, MD5-хеш, SHA256-хеш, дата и время создания, дата и время изменения, атрибуты, дата и время изменения атрибутов, размер, идентификатор зоны, , производитель, имя организации, выпустившей цифровой сертификат, описание, исходное имя, субъект цифровой подписи, результат проверки цифровой подписи, дата и время цифровой подписи, , версия файла, тип входа в систему, идентификатор сессии входа, тип учетной записи, имя пользователя, идентификатор учетной записи, IP-адрес компьютера, с которого был совершен вход, уровень целостности, идентификатор процесса, текущая директория, идентификатор владельца, идентификатор группы-владельца, имя пользователя-владельца, имя группы-владельца, настоящее имя пользователя, настоящее имя группы, действующее имя группы, действующее имя пользователя, флаги прав доступа к файлу, URL-адрес, с которого был скачан файл, мета-данные о письме, из которого был получен файл, переменные окружения процесса, параметры командной строки, тип процесса.

  3. Событие остановки процесса.
    • Сведения о файле процесса: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла, время завершения процесса.
    • UniquePID.
    • Параметры запуска процесса.
    • Сведения о родительском процессе: путь к файлу, UniquePID, MD5-, SHA256-хеш файла процесса, параметры запуска процесса.
  4. Событие обнаружения угрозы и результата обработки обнаружения.
    • Результат проверки.
    • Название обнаруженного объекта.
    • Идентификатор записи в базах приложения.
    • Время выпуска баз приложения, с помощью которых было выполнено обнаружение.
    • Режим обработки объекта.
    • Категория обнаруженного объекта (например, название вируса).
    • MD5-хеш обнаруженного объекта.
    • SHA256-хеш обнаруженного объекта.
    • Уникальный идентификатор процесса.
    • PID процесса.
    • Командная строка запуска процесса.
    • Причина ошибки при обработке объекта.

Central Node и Sandbox

Компонент Central Node отправляет на компонент Sandbox файлы и URL-адреса, выделенные из сетевого или почтового трафика. Перед передачей файлы никак не изменяются. Компонент Sandbox отправляет компоненту Central Node результаты проверки.

Central Node и Sensor

Приложение может пересылать между компонентами Central Node и Sensor следующие данные:

  • Файлы и сообщения электронной почты.
  • Данные об обнаружениях, выполненных технологиями Intrusion Detection System и URL Reputation.
  • Информацию о лицензии.
  • Список данных, исключенных из проверки.
  • Данные приложения Kaspersky Endpoint Agent, если настроена интеграция с прокси-сервером.
  • Базы приложения, если настроено получение обновления баз от компонента Central Node.

Серверы с ролями PCN и SCN

Если приложение работает в режиме распределенного решения, то между PCN и подключенными SCN передаются следующие данные:

  • Об алертах.
  • О событиях.
  • О задачах.
  • О политиках.
  • О проверке по пользовательским правилам IOC, TAA (IOA), IDS, YARA.
  • О файлах в Хранилище.
  • Об учетных записях пользователей.
  • О лицензии.
  • Список компьютеров с компонентом Endpoint Agent.
  • Объекты, помещенные в Хранилище.
  • Объекты, помещенные на карантин на компьютерах с компонентом Endpoint Agent.
  • Файлы, прикрепленные к обнаружениям.
  • IOC- и YARA-файлы.

См. также

Служебные данные приложения

Данные компонентов Central Node и Sensor

Данные компонента Sandbox

Данные в файлах трассировки приложения

Данные Kaspersky Endpoint Agent для Windows

Данные Kaspersky Endpoint Security для Windows

Данные Kaspersky Endpoint Security для Linux

Данные Kaspersky Endpoint Security для Mac
Идентификатор статьи: 247488, Последнее изменение: 28 апр. 2025 г.
В начало