Kaspersky Endpoint Detection and Response
Kaspersky Endpoint Detection and Response
コンピューターのローカルに保存されるすべてのデータは、Kaspersky Endpoint Security のアンインストール時にコンピューターから削除されます。
IOC スキャン タスクの実行結果として受け取ったデータ(標準タスク)
Kaspersky Endpoint Security は、IOC スキャン タスクの実行結果に関するデータを Kaspersky Security Center に自動で送信します。
IOC スキャン タスクの実行結果内のデータには、次の情報が含まれることがあります。
- ARP テーブルからの IP アドレス
- ARP テーブルからの物理アドレス
- DNS レコード種別および名前
- 保護対象コンピューターの IP アドレス
- 保護対象コンピューターの物理アドレス(MAC アドレス)
- イベントログエントリの識別子
- ログ内のデータソース名
- ログの名前
- イベントの日時
- ファイルの MD5 および SHA256 ハッシュ
- ファイルの詳細名(パスを含む)
- ファイルサイズ
- スキャン中に接続が確立されたリモート IP アドレスおよびポート
- ローカルアダプタの IP アドレス
- ローカルアダプタで開いていたポート
- 数値のプロトコル(IANA規格に準拠したもの)
- プロセス名
- プロセス引数
- プロセスファイルのパス
- プロセスの Windows 識別子(PID)
- 親プロセスの Windows 識別子(PID)
- プロセスを開始したユーザーアカウント
- プロセスが開始された日時
- サービス名
- サービスの説明
- DLL サービス(svchost)のパスおよび名前
- サービス実行ファイルのパスおよび名前
- サービスの Windows 識別子(PID)
- サービス種別(例:カーネルドライバーまたはアダプタ)
- サービスステータス
- サービス開始モード
- ユーザーアカウント名
- ボリュームの名前
- ボリュームの文字
- ボリューム種別
- Windows のレジストリ値
- レジストリのハイブ値
- レジストリキーのパス(ハイブ名、値の名前なし)
- レジストリ設定
- システム(環境)
- コンピューターにインストールされたオペレーティングシステムの名前およびバージョン
- 保護対象コンピューターのネットワーク名
- 保護対象コンピューターが属するドメインまたはグループ
- ブラウザー名
- ブラウザーのバージョン
- Web リソースに最後にアクセスした時間
- HTTP リクエストからの URL
- HTTP リクエストに使用されたアカウントの名前
- HTTP リクエストを作成したプロセスのファイル名
- HTTP リクエストを作成したプロセスのファイルの完全パス
- HTTP リクエストを作成したプロセスの Windows 識別子(PID)
- HTTP 参照元(HTTP リクエストのソース URL)
- HTTP で要求されたリソースの URI
- HTTP ユーザーエージェント(HTTP リクエストを作成したアプリケーション)に関する情報
- HTTP リクエストの実行時間
- HTTP リクエストを作成したプロセスの一意な識別子
脅威の活動連鎖の作成用データ
既定では、脅威の活動連鎖の作成用データは 7 日間保存されます。データ Kaspersky Security Center に自動的に送信されます。
脅威の活動連鎖の作成用データには次のデータが含まれることがあります:
- インシデントの日時
- 検知名
- スキャンモード
- 検知に関連する最終操作のステータス
- 検知処理が失敗した理由
- 検知されたオブジェクトの種別
- 検知されたオブジェクト名
- オブジェクトの処理後の脅威のステータス
- オブジェクトに対する操作の実行が失敗した理由
- 悪意のある操作をロールバックするために実行された操作
- 処理されたオブジェクトに関する情報:
- プロセスの一意な識別子
- 親プロセスの一意な識別子
- プロセスファイルの一意な識別子
- Windows プロセスの識別子(PID)
- プロセスのコマンドライン
- プロセスを開始したユーザーアカウント
- プロセスが実行されているログオンセッションのコード
- プロセスが実行されているセッションの種別
- 処理中のプロセスの整合性レベル
- プロセスを開始したユーザーアカウントが権限のあるローカルおよびドメイングループに属しているかどうか
- 処理されたオブジェクトの識別子
- 処理されたオブジェクトの詳細名
- 保護対象端末の識別子
- オブジェクトの詳細名(ローカルファイル名またはダウンロードファイルの Web アドレス)
- 処理されたオブジェクトの MD5 または SHA256 ハッシュ
- 処理されたオブジェクトの種別
- 処理されたオブジェクトの作成日
- 処理されたオブジェクトの最終更新日
- 処理されたオブジェクトのサイズ
- 処理されたオブジェクトの属性
- 処理されたオブジェクトに署名した組織
- 処理されたオブジェクトのデジタル署名検証の結果
- 処理されたオブジェクトのセキュリティ識別子(SID)
- 処理されたオブジェクトのタイムゾーン識別子
- 処理されたオブジェクトがダウンロードされた Web アドレス(ディスク上のファイルのみ)
- ファイルをダウンロードしたアプリケーション名
- ファイルをダウンロードしたアプリケーションの MD5 および SHA256 ハッシュ
- ファイルを最後に変更したアプリケーション名
- ファイルを最後に変更したアプリケーションの MD5 および SHA256 ハッシュ
- 処理されたオブジェクトの開始数
- 処理されたオブジェクトが初めて開始された日時
- ファイルの一意な識別子
- ファイルの詳細名(ローカルファイル名またはダウンロードファイルの Web アドレス)
- 処理された Windows レジストリの変数のパス
- 処理された Windows レジストリの変数の名前
- 処理された Windows レジストリの変数の値
- 処理された Windows レジストリの変数の種別
- 自動実行ポイントにおける処理されたレジストリキーのメンバーシップを示すインジケーター
- 処理された Web リクエストの Web アドレス
- 処理された Web リクエストのリンク元
- 処理された Web リクエストのユーザーエージェント
- 処理された Web リクエストの種別(GET または POST)
- 処理された Web リクエストのローカル IP ポート
- 処理された Web リクエストのリモート IP ポート
- 処理された Web リクエストの接続方向(インバウンドまたはアウトバウンド)
- 悪意のあるコードが埋め込まれたプロセスの識別子
この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。