Kaspersky Kaspersky Endpoint Detection and Response Optimum 使用時に提供されるデータ
Kaspersky Kaspersky Endpoint Detection and Response Optimum 使用時に提供されるデータ
IOC スキャンタスクの結果とともに送信されるデータ
Kaspersky Endpoint Security は、IOC スキャンタスクの結果に関するデータをKaspersky Security Center に自動的に送信します。
IOC スキャンタスクの結果データには、次の情報が含まれる場合があります:
- ネットワーク情報:
- アドレス解決プロトコル(ARP)の表からの IP アドレス
- アドレス解決プロトコルの表からの MAC アドレス
- DNS レコードの種別と名前
- 保護対象デバイスの IP アドレス
- 保護対象デバイスの MAC アドレス
- リモート接続の IP アドレスとポート
- ローカルネットワークアダプタの IP アドレス
- ローカルアダプタの開いているポートの番号
- Internet Assigned Numbers Authority (IANA) 標準に従ったプロトコル番号
- プロセスに関する情報:
- プロセス名
- プロセスの引数
- プロセスの実行ファイルへのパス
- プロセス ID(PID)
- 親プロセス ID
- プロセスを開始したユーザーの名前
- プロセスが開始された日時
- サービスに関する情報:
- サービス名
- サービスの説明
- サービス実行ファイルのパスと名前
- サービス ID
- サービス種別(カーネルドライバー、アダプターなど)
- サービスステータス
- サービス開始モード
- サービスを開始したユーザーの名前
- ファイルシステムに関する情報:
- ボリューム名
- ボリューム文字
- ボリューム種別
- オペレーティングシステムに関する情報:
- OS の名前とバージョン
- 保護対象デバイスのネットワーク名
- デバイスが属するドメインまたはグループ
- ウェブアクティビティに関する情報:
- ブラウザ名
- ブラウザバージョン
- ウェブリソースへの最終アクセス時刻
- HTTP リクエストの URL
- HTTP リクエストを行ったユーザーの名前
- HTTP リクエストを作成したプロセスの名前
- HTTP リクエストを行ったプロセスの実行ファイルへのパス
- HTTP リクエストを作成したプロセスの ID
- HTTP リファラー(HTTP リクエストの送信元の URL)
- 要求されたリソースの URL
- 処理された Web リクエストのユーザーエージェント(HTTP ユーザーエージェント)
- HTTP リクエスト実行時刻
- HTTP リクエストを作成したプロセスの一意な ID
脅威開発チェーンを作成するためのデータ
脅威開発チェーンを作成するためのデータには、次の情報が含まれる場合があります。
- アラートの詳細:
- アラート発生日時
- オブジェクト名
- スキャンモード
- アラートに関連する最後の処理のステータス
- アラート処理が失敗した理由
- 処理されたオブジェクトに関する情報:
- プロセスの識別子
- 親プロセス ID
- プロセスファイル ID
- プロセスのコマンドライン
- プロセスを開始したユーザーの名前
- プロセスが開始されたセッションの ID
- プロセスが開始されたセッションの種別
- 処理されたオブジェクトの整合性レベル
- ユーザーが特権グループに属しているかどうか
- 処理されたオブジェクトの ID
- 処理されたオブジェクトのフルネーム
- 保護対象デバイスの ID
- オブジェクトのフルネーム(ローカルファイルまたは URL)
- 処理されたオブジェクトの MD5 および SHA256 チェックサム
- 処理されたオブジェクトの種別
- オブジェクトが作成された日付と最後に変更された日付
- 処理されたオブジェクトのサイズ
- 処理されたオブジェクトの属性
- オブジェクトに署名した組織に関する情報
- オブジェクトのデジタル証明書の検証結果
- オブジェクトのセキュリティ識別子(SID)
- オブジェクトのタイムゾーン ID
- オブジェクトをダウンロードした URL(ファイルのみ)
- ファイルをダウンロードしたアプリケーションの名前
- ファイルをダウンロードしたアプリケーションの MD5 および SHA256 チェックサム
- ファイルを最後に変更したアプリケーションの名前
- ファイルを最後に変更したアプリケーションの MD5 および SHA256 チェックサム
- 処理されたオブジェクトが開始された回数
- 処理されたオブジェクトの最初の開始日時
- 端末の一意な ID
- ファイルのフルネーム(ローカルファイルまたは URL)
- 処理された Web リクエストの URL
- 処理された Web リクエストのリンクのソース(HTTP リファラー)
- 処理されたウェブリクエストのユーザーエージェント
- 処理された Web リクエストの種別(GET または POST)
- 処理された Web リクエストのローカル IP ポート
- 処理された Web リクエストのリモート IP ポート
- 処理された Web リクエストの接続方向(受信または送信)
- 悪意のあるコードが挿入されたプロセスの ID
この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。