Kaspersky Endpoint Security 12 for Windows

Kaspersky Endpoint Detection and Response

8 luglio 2024

ID 249504

Tutti i dati che l'applicazione archivia in locale nel computer vengono eliminati dal computer quando Kaspersky Endpoint Security viene disinstallato.

Dati ricevuti dopo aver eseguito l'attività Scansione IOC (attività standard)

Kaspersky Endpoint Security invia automaticamente i dati sui risultati dell'esecuzione dell'attività Scansione IOC a Kaspersky Security Center.

I dati nei risultati dell'esecuzione dell'attività Scansione IOC possono contenere le seguenti informazioni:

  • Indirizzo IP dalla tabella ARP
  • Indirizzo fisico dalla tabella ARP
  • Tipo e nome del record DNS
  • Indirizzo IP del computer protetto
  • Indirizzo fisico (indirizzo MAC) del computer protetto
  • Identificatore nella voce del registro eventi
  • Nome dell'origine dati nel registro
  • Nome log
  • Ora dell'evento
  • Hash MD5 e SHA256 del file
  • Nome completo del file (incluso il percorso)
  • Dimensione del file
  • Indirizzo IP remoto e porta con cui è stata stabilita la connessione durante la scansione
  • Indirizzo IP della scheda locale
  • Porta aperta sulla scheda locale
  • Protocollo come numero (secondo lo standard IANA)
  • Nome del processo
  • Argomenti di processo
  • Percorso del file di processo
  • Identificatore di Windows (PID) del processo
  • Identificatore di Windows (PID) del processo entità superiore
  • Account utente che ha avviato il processo
  • Data e ora in cui è stato avviato il processo
  • Nome servizio
  • Descrizione del servizio
  • Percorso e nome del servizio DLL (per svchost)
  • Percorso e nome del file eseguibile del servizio
  • Identificatore di Windows (PID) del servizio
  • Tipo di servizio (ad esempio, una scheda o un driver kernel)
  • Stato del servizio
  • Modalità di avvio del servizio
  • Nome dell'account utente
  • Nome del volume
  • Lettera del volume
  • Tipo di volume
  • Valore del Registro di sistema di Windows
  • Valore hive del Registro di sistema
  • Percorso della chiave del Registro di sistema (senza hive e nome del valore)
  • Impostazione del Registro di sistema
  • Sistema (ambiente)
  • Nome e versione del sistema operativo installato nel computer
  • Nome della rete del computer protetto
  • Dominio o gruppo a cui appartiene il computer protetto
  • Nome del browser
  • Versione del browser
  • L'ora dell'ultimo accesso alla risorsa Web
  • URL dalla richiesta HTTP
  • Nome dell'account utilizzato per la richiesta HTTP
  • Nome file del processo che ha effettuato la richiesta HTTP
  • Percorso completo del file del processo che ha effettuato la richiesta HTTP
  • Identificatore di Windows (PID) del processo che ha effettuato la richiesta HTTP
  • Provenienza HTTP (URL di origine della richiesta HTTP)
  • URI della risorsa richiesta su HTTP
  • Informazioni sull'agente utente HTTP (l'applicazione che ha effettuato la richiesta HTTP)
  • Ora di esecuzione della richiesta HTTP
  • Identificatore univoco del processo che ha effettuato la richiesta HTTP

Dati per la creazione di una catena di sviluppo delle minacce

I dati per la creazione di una catena di sviluppo delle minacce vengono archiviati per sette giorni per impostazione predefinita. I dati vengono inviati automaticamente a Kaspersky Security Center.

I dati per la creazione di una catena di sviluppo delle minacce possono contenere le seguenti informazioni:

  • Data e ora dell'incidente
  • Nome del rilevamento
  • Modalità di scansione
  • Stato dell'ultima azione correlata al rilevamento
  • Motivo per cui l'elaborazione del rilevamento non è riuscita
  • Tipo di oggetto rilevato
  • Nome dell'oggetto rilevato
  • Stato della minaccia dopo l'elaborazione dell'oggetto
  • Motivo per cui l'esecuzione delle azioni sull'oggetto non è riuscita
  • Azioni eseguite per il rollback delle azioni dannose
  • Informazioni sull'oggetto elaborato:
    • Identificatore univoco del processo
    • Identificatore univoco del processo entità superiore
    • Identificatore univoco del file di processo
    • Identificatore di processo di Windows (PID)
    • Riga di comando del processo
    • Account utente che ha avviato il processo
    • Codice della sessione di accesso in cui è in esecuzione il processo
    • Tipo di sessione in cui è in esecuzione il processo
    • Livello di integrità del processo in elaborazione
    • Appartenenza dell'account utente che ha avviato il processo nei gruppi locali e di dominio con privilegi
    • Identificatore dell'oggetto elaborato
    • Nome completo dell'oggetto elaborato
    • Identificativo del dispositivo protetto
    • Nome completo dell'oggetto (nome del file locale o indirizzo Web del file scaricato)
    • Hash MD5 o SHA256 dell'oggetto elaborato
    • Tipo dell'oggetto elaborato
    • Data di creazione dell'oggetto elaborato
    • Data dell'ultima modifica dell'oggetto elaborato
    • Dimensione dell'oggetto elaborato
    • Attributi dell'oggetto elaborato
    • Organizzazione che ha firmato l'oggetto elaborato
    • Risultato della verifica dei certificati digitali dell'oggetto elaborato
    • Identificatore di sicurezza (SID) dell'oggetto elaborato
    • Identificatore del fuso orario dell'oggetto elaborato
    • Indirizzo Web del download dell'oggetto processato (solo per file su disco)
    • Nome dell'applicazione che ha scaricato il file
    • Hash MD5 e SHA256 dell'applicazione che ha scaricato il file
    • Nome dell'ultima applicazione che ha modificato il file
    • Hash MD5 e SHA256 dell'ultima applicazione che ha modificato il file
    • Numero di avviamenti di oggetti elaborati
    • Data e ora in cui l'oggetto elaborato è stato avviato per la prima volta
    • Identificatori univoci del file
    • Nome completo del file (nome file locale o indirizzo Web del file scaricato)
    • Percorso della variabile elaborata del Registro di sistema di Windows
    • Nome della variabile elaborata del Registro di sistema di Windows
    • Valore della variabile elaborata del Registro di sistema di Windows
    • Tipo della variabile elaborata del Registro di sistema di Windows
    • Indicatore dell'appartenenza alla chiave del Registro di sistema elaborata nel punto di esecuzione automatica
    • Indirizzo Web della richiesta Web elaborata
    • Origine del collegamento della richiesta Web elaborata
    • Agente utente della richiesta Web elaborata
    • Tipo della richiesta Web elaborata (GET o POST)
    • Porta IP locale della richiesta Web elaborata
    • Porta IP remota della richiesta Web elaborata
    • Direzione della connessione (in entrata o in uscita) della richiesta Web elaborata
    • Identificatore del processo in cui è stato incorporato il codice dannoso

Hai trovato utile questo articolo?
Cosa pensi che potremmo migliorare?
Grazie per il feedback! Ci stai aiutando a migliorare.
Grazie per il feedback! Ci stai aiutando a migliorare.