Kaspersky Endpoint Detection and Response

Todos os dados que o aplicativo armazena localmente são excluídos do computador quando o Kaspersky Endpoint Security é desinstalado.

Dados recebidos como resultado da execução da tarefa Verificação de IOC (tarefa padrão)

O Kaspersky Endpoint Security envia automaticamente dados sobre os resultados da execução da tarefa Verificação de IOC para o Kaspersky Security Center.

Os dados nos resultados da execução da tarefa Verificação de IOC podem conter as seguintes informações:

• Endereço IP da tabela ARP
• Endereço físico da tabela ARP
• Tipo e nome do registro DNS
• Endereço IP do computador protegido
• Endereço físico (endereço MAC) do computador protegido
• Identificador na entrada do log de eventos
• Nome da fonte de dados no log
• Nome do log
• Hora do evento
• Hashes MD5 e SHA256 do arquivo
• Nome completo do arquivo (inclusive o caminho)
• Tamanho do arquivo
• Porta e endereço IP remotos com os quais a conexão foi estabelecida durante a verificação
• Endereço IP do adaptador local
• Porta aberta no adaptador local
• Protocolo como um número (de acordo com o padrão da IANA)
• Nome do processo
• Argumentos do processo
• Caminho para o arquivo do processo
• Identificador do Windows (PID) do processo
• Identificador do Windows (PID) do processo principal
• Conta de usuário que iniciou o processo
• Data e hora de início do processo
• Nome do serviço
• Descrição do serviço
• Caminho e nome do serviço DLL (para svchost)
• Caminho e nome do arquivo executável do serviço
• Identificador do Windows (PID) do serviço
• Tipo de serviço (por exemplo, um driver ou adaptador de kernel)
• Status do serviço
• Modo de inicialização do serviço
• Nome da conta do usuário
• Nome do volume
• Letra de volume
• Tipo de volume
• Valores de registro do Windows
• Valor hive do registro
• Caminho da chave do registro (sem hive e nome do valor)
• Configuração do registro
• Sistema (ambiente)
• Nome e versão do sistema operacional instalado no computador
• Nome da rede do computador protegido
• Domínio ou grupo ao qual o computador protegido pertence
• Nome do navegador
• Versão do navegador
• Hora em que o recurso da Web foi acessado pela última vez
• URL a partir da solicitação HTTP
• Nome da conta usada para a solicitação HTTP
• Nome do arquivo do processo que fez a solicitação HTTP
• Caminho completo para o arquivo do processo que fez a solicitação HTTP
• Identificador do Windows (PID) do processo que fez a solicitação HTTP
• Referencial HTTP (URL de origem da solicitação HTTP)
• URI do recurso solicitado por HTTP
• Informações sobre o agente do usuário HTTP (o aplicativo que fez a solicitação HTTP)
• Tempo de execução da solicitação HTTP
• Identificador exclusivo do processo que fez a solicitação HTTP

Dados para criar uma cadeia de evolução de ameaças

Os dados para criar uma cadeia de evolução de ameaças são armazenados por sete dias por padrão. Os dados são enviados automaticamente para o Kaspersky Security Center.

Os dados para criar uma cadeia de evolução de ameaças podem conter as seguintes informações:

• Data e hora do incidente
• Nome da detecção
• Modo de verificação
• Status da última ação relacionada à detecção
• Razão pela qual o processamento de detecção falhou
• Tipo de objeto detectado
• Nome do objeto detectado
• Status da ameaça após o processamento do objeto
• Razão pela qual a execução de ações no objeto falhou
• Ações executadas para reverter ações maliciosas
• Informações sobre o objeto processado:
  • Identificador exclusivo do processo
  • Identificador exclusivo do processo principal
  • Identificador exclusivo do arquivo de processo
  • Identificador do processo do Windows (PID)
  • Linha de comando do processo
  • Conta de usuário que iniciou o processo
  • Código da sessão de logon na qual o processo está sendo executado
  • Tipo da sessão em que o processo está sendo executado
  • Nível de integridade do processo que está sendo processado
  • Associação da conta de usuário que iniciou o processo nos grupos locais e de domínio privilegiados
  • Identificador do objeto processado
  • Nome completo do objeto processado
  • Identificador do dispositivo protegido
  • Nome completo do objeto (nome do arquivo local ou endereço da Web do arquivo baixado)
  • Hash MD5 ou SHA256 do objeto processado
  • Tipo do objeto processado
  • Data de criação do objeto processado
  • Data em que o objeto processado foi modificado pela última vez
  • Tamanho do objeto processado
  • Atributos do objeto processado
  • Organização que assinou o objeto processado
  • Resultado da verificação do certificado digital do objeto processado
  • Identificador de segurança (SID) do objeto processado
  • Identificador de fuso horário do objeto processado
  • Endereço da Web do download do objeto processado (somente para arquivos em disco)
  • Nome do aplicativo que baixou o arquivo
  • Hashes MD5 e SHA256 do aplicativo que baixou o arquivo
  • Nome do aplicativo que modificou o arquivo pela última vez
  • Hashes MD5 e SHA256 do aplicativo que modificou o arquivo pela última vez
  • Número de iniciações de objetos processados
  • Data e hora em que o objeto processado foi iniciado pela primeira vez
  • Identificadores exclusivos do arquivo
  • Nome completo do arquivo (nome do arquivo local ou endereço da Web do arquivo baixado)
  • Caminho para a variável processada de registro do Windows
  • Nome da variável processada de registro do Windows
  • Valor da variável processada de registro do Windows
  • Tipo da variável processada de registro do Windows
  • Indicador da associação da chave de registro processada no ponto de execução automática
  • Endereço da Web da solicitação Web processada
  • Origem do link da solicitação Web processada
  • Agente do usuário da solicitação Web processada
  • Tipo de solicitação Web processada (GET ou POST)
  • Porta IP local da solicitação Web processada
  • Porta IP remota da solicitação Web processada
  • Direção da conexão (entrada ou saída) da solicitação Web processada
  • Identificador do processo no qual o código malicioso foi incorporado