Kaspersky Sandbox
Todos os dados que o aplicativo armazena localmente são excluídos do computador quando o Kaspersky Endpoint Security é desinstalado.
Dados de serviço
O Kaspersky Endpoint Security armazena os seguintes dados processados durante a resposta automática:
- Arquivos processados e dados inseridos pelo usuário durante a configuração do agente integrado do Kaspersky Endpoint Security:
- Arquivos na Quarentena
- Chave pública do certificado usado para integração com o Kaspersky Sandbox
- Cache do agente integrado do Kaspersky Endpoint Security:
- Hora em que os resultados da verificação foram gravados no cache
- Hash MD5 da tarefa de verificação
- Identificador da tarefa de verificação
- Resultado da verificação para o objeto
- Fila de solicitações de objetos verificados:
- ID do objeto na fila
- Hora em que o objeto foi colocado na fila
- Status de processamento do objeto na fila
- ID da sessão de usuário no sistema operacional onde a tarefa de verificação de objeto foi criada
- Identificador do sistema (SID) do usuário do sistema operacional cuja conta foi usada para criar a tarefa
- Hash MD5 da tarefa de verificação de objeto
- Informações sobre as tarefas para as quais o agente integrado do Kaspersky Endpoint Security está aguardando os resultados da verificação do Kaspersky Sandbox:
- Hora em que a tarefa de verificação de objeto foi recebida
- Status de processamento de objeto
- ID da sessão de usuário no sistema operacional onde a tarefa de verificação de objeto foi criada
- Identificador da tarefa de verificação de objeto
- Hash MD5 da tarefa de verificação de objeto
- Identificador do sistema (SID) do usuário do sistema operacional cuja conta foi usada para criar a tarefa
- Esquema XML do IOC criado automaticamente
- Hash MD5 ou SHA256 do objeto verificado
- Erros de processamento
- Nomes dos objetos para os quais a tarefa foi criada
- Resultado da verificação para o objeto
Dados em solicitações para o Kaspersky Sandbox
Os seguintes dados de solicitações do agente integrado do Kaspersky Endpoint Security para o Kaspersky Sandbox são armazenados localmente no computador:
- Hash MD5 da tarefa de verificação
- Identificador da tarefa de verificação
- Objeto verificado e todos os arquivos relacionados
Dados recebidos como resultado da execução da tarefa Verificação de IOC (tarefa autônoma)
O Kaspersky Endpoint Security envia automaticamente dados sobre os resultados da execução da tarefa Verificação de IOC para o Kaspersky Security Center.
Os dados nos resultados da execução da tarefa Verificação de IOC podem conter as seguintes informações:
- Endereço IP da tabela ARP
- Endereço físico da tabela ARP
- Tipo e nome do registro DNS
- Endereço IP do computador protegido
- Endereço físico (endereço MAC) do computador protegido
- Identificador na entrada do log de eventos
- Nome da fonte de dados no log
- Nome do log
- Hora do evento
- Hashes MD5 e SHA256 do arquivo
- Nome completo do arquivo (inclusive o caminho)
- Tamanho do arquivo
- Porta e endereço IP remotos com os quais a conexão foi estabelecida durante a verificação
- Endereço IP do adaptador local
- Porta aberta no adaptador local
- Protocolo como um número (de acordo com o padrão da IANA)
- Nome do processo
- Argumentos do processo
- Caminho para o arquivo do processo
- Identificador do Windows (PID) do processo
- Identificador do Windows (PID) do processo principal
- Conta de usuário que iniciou o processo
- Data e hora de início do processo
- Nome do serviço
- Descrição do serviço
- Caminho e nome do serviço DLL (para svchost)
- Caminho e nome do arquivo executável do serviço
- Identificador do Windows (PID) do serviço
- Tipo de serviço (por exemplo, um driver ou adaptador de kernel)
- Status do serviço
- Modo de inicialização do serviço
- Nome da conta do usuário
- Nome do volume
- Letra de volume
- Tipo de volume
- Valores de registro do Windows
- Valor hive do registro
- Caminho da chave do registro (sem hive e nome do valor)
- Configuração do registro
- Sistema (ambiente)
- Nome e versão do sistema operacional instalado no computador
- Nome da rede do computador protegido
- Domínio ou grupo ao qual o computador protegido pertence
- Nome do navegador
- Versão do navegador
- Hora em que o recurso da Web foi acessado pela última vez
- URL a partir da solicitação HTTP
- Nome da conta usada para a solicitação HTTP
- Nome do arquivo do processo que fez a solicitação HTTP
- Caminho completo para o arquivo do processo que fez a solicitação HTTP
- Identificador do Windows (PID) do processo que fez a solicitação HTTP
- Referencial HTTP (URL de origem da solicitação HTTP)
- URI do recurso solicitado por HTTP
- Informações sobre o agente do usuário HTTP (o aplicativo que fez a solicitação HTTP)
- Tempo de execução da solicitação HTTP
- Identificador exclusivo do processo que fez a solicitação HTTP