Podpora

Podpora řešení pro firmy

Kaspersky Endpoint Security 12 pro systém Windows

Poskytování údajů

Poskytování dat při používání řešení Detection and Response

Kaspersky Anti Targeted Attack Platform (EDR)

Kaspersky Endpoint Security 12 pro systém Windows
Нет результатов
Нет результатов
Online nápověda
Často kladené dotazy Požadavky na systém Stáhnout Koupit Obnovit Fórum Kontaktovat podporu Nástroje pro obnovení Videa k produktu

Kaspersky Anti Targeted Attack Platform (EDR)

14. února 2024

ID 249510

Uložit jako PDF

Při odinstalaci aplikace Kaspersky Endpoint Security jsou z počítače odstraněna všechna data, která aplikace ukládá lokálně v počítači.

Servisní data

Integrovaný agent Kaspersky Endpoint Security lokálně ukládá následující data:

  • Zpracovávané soubory a data zadaná uživatelem během konfigurace integrovaného agenta Kaspersky Endpoint Security:
    • Soubory v karanténě
    • Nastavení integrovaného agenta Kaspersky Endpoint Security:
      • Veřejný klíč certifikátu použitý pro integraci se součástí Central Node
      • Licenční údaje
  • Data potřebná pro integraci se součástí Central Node:
    • Fronta paketů událostí telemetrie
    • Mezipaměť identifikátorů souborů IOC přijatých ze součásti Central Node
    • Objekty, které mají být předány serveru v rámci úlohy Načíst soubor
    • Zprávy s výsledky úlohy Načíst forenzní údaje

Data v požadavcích na KATA (EDR)

Při integraci s řešením Kaspersky Anti Targeted Attack Platform se lokálně v počítači ukládají následující data:

Data z požadavků integrovaného agenta aplikace Kaspersky Endpoint Security do součásti Central Node:

  • V požadavcích na synchronizaci:
    • Jedinečné ID
    • Základní část webové adresy serveru
    • Název počítače
    • IP adresa počítače
    • MAC adresa počítače
    • Místní čas na počítači
    • Stav sebeobrany Kaspersky Endpoint Security
    • Název a verze operačního systému nainstalovaného v počítači
    • Verze aplikace Kaspersky Endpoint Security
    • Verze nastavení aplikace a nastavení úloh
    • Stavy úloh: identifikátory úloh, stavy provádění, kódy chyb
  • V požadavcích na získání souborů ze serveru:
    • Jedinečné identifikátory souborů
    • Jedinečný identifikátor aplikace Kaspersky Endpoint Security
    • Jedinečné identifikátory certifikátů
    • Základní část webové adresy serveru s nainstalovanou součástí Central Node
    • IP adresa hostitele
  • Ve zprávách o výsledcích provádění úlohy:
    • IP adresa hostitele
    • Informace o objektech zjištěných během kontroly IOC nebo kontroly YARA
    • Příznaky dalších akcí provedených po dokončení úloh
    • Chyby provádění úlohy a návratové kódy
    • Stavy dokončení úlohy
    • Čas dokončení úlohy
    • Verze nastavení použité pro provádění úloh
    • Informace o objektech odeslaných na server, objektech v karanténě a objektech obnovených z karantény: cesty k objektům, hodnoty hash MD5 a SHA256, identifikátory objektů v karanténě
    • Informace o procesech spuštěných nebo zastavených v počítači na žádost serveru: PID a UniquePID, kód chyby, hodnoty hash MD5 a SHA256 objektů
    • Informace o službách spuštěných nebo zastavených v počítači na žádost serveru: název služby, typ spouštění, kód chyby, hodnoty hash MD5 a SHA256 bitových kopií souborů služeb
    • Informace o objektech, pro které byl vytvořen výpis paměti pro kontrolu YARA (cesty, identifikátor souboru výpisu)
    • Soubory požadované serverem
    • Telemetrické pakety
    • Údaje o běžících procesech:
      • Název spustitelného souboru včetně úplné cesty a přípony
      • Parametry automatického spuštění procesu
      • ID procesu
      • ID relace přihlášení
      • Přihlašovací jméno relace
      • Datum a čas, kdy byl proces zahájen
      • Hodnoty hash MD5 a SHA256 objektu
    • Údaje o souborech:
      • Cesta k souboru
      • Název souboru
      • Velikost souboru
      • Atributy souboru
      • Datum a čas, kdy byl soubor vytvořen
      • Datum a čas, kdy byl soubor naposledy upraven
      • Popis souboru
      • Název společnosti
      • Hodnoty hash MD5 a SHA256 objektu
      • Klíč registru (pro body automatického spouštění)
    • Data v chybách, ke kterým dochází při načítání informací o objektech:
      • Úplný název objektu, který byl zpracován, když došlo k chybě
      • Chybový kód
  • Telemetrická data:
    • IP adresa hostitele
    • Typ dat v registru před operací potvrzené aktualizace
    • Data v klíči registru před operací potvrzené změny
    • Text zpracovávaného scénáře nebo jeho části
    • Typ zpracovávaného objektu
    • Způsob předání příkazu interpretu příkazů

Data z požadavků součásti Central Node na integrovaného agenta Kaspersky Endpoint Security:

  • Nastavení úloh:
    • Typ úlohy
    • Nastavení plánu úloh
    • Jména a hesla účtů, pod kterými lze úlohy spouštět
    • Verze nastavení
    • Identifikátory objektů v karanténě
    • Cesty k objektům
    • Hodnoty hash MD5 a SHA256 objektů
    • Příkazový řádek pro spuštění procesu s argumenty
    • Příznaky dalších akcí provedených po dokončení úloh
    • Identifikátory souborů IOC, které mají být načteny ze serveru
    • Soubory IOC
    • Název zařízení
    • Typ spuštění služby
    • Složky, pro které musí být obdrženy výsledky úlohy Načíst forenzní údaje
    • Masky názvů objektů a rozšíření pro úlohu Načíst forenzní údaje
  • Nastavení izolace sítě:
    • Typy nastavení
    • Verze nastavení
    • Seznamy výjimek z izolace sítě a nastavení výjimek: směr provozu, IP adresy, porty, protokoly a úplné cesty ke spustitelným souborům
    • Příznaky dalších akcí
    • Doba deaktivace automatické izolace
  • Nastavení prevence spouštění
    • Typy nastavení
    • Verze nastavení
    • Seznamy pravidel prevence spouštění a nastavení pravidel: cesty k objektům, typy objektů, hodnoty hash MD5 a SHA256 objektů
    • Příznaky dalších akcí
  • Nastavení filtrování událostí:
    • Název modulu
    • Úplné cesty k objektům
    • Hodnoty hash MD5 a SHA256 objektů
    • Identifikátory položek v protokolu událostí systému Windows
    • Nastavení digitálního certifikátu
    • Směr provozu, IP adresy, porty, protokoly, úplné cesty ke spustitelným souborům
    • Uživatelské jméno
    • Typy přihlášení uživatele
    • Typy telemetrických událostí, pro které jsou použity filtry

Data ve výsledcích kontroly YARA

Integrovaný agent Kaspersky Endpoint Security automaticky přenáší výsledky kontroly YARA na platformu Kaspersky Anti Targeted Attack Platform za účelem vytvoření řetězce vývoje hrozeb.

Data jsou dočasně uložena lokálně ve frontě pro odesílání výsledků provádění úloh na server Kaspersky Anti Targeted Attack Platform. Po odeslání jsou data z dočasného úložiště odstraněna.

Výsledky kontroly YARA obsahují následující údaje:

  • Hodnoty hash MD5 a SHA256 souboru
  • Celý název souboru
  • Cesta k souboru
  • Velikost souboru
  • Název procesu
  • Argumenty procesu
  • Cesta k souboru procesu
  • Identifikátor procesu v systému Windows (PID)
  • Identifikátor nadřazeného procesu v systému Windows (PID)
  • Uživatelský účet, který spustil proces
  • Datum a čas, kdy byl proces zahájen

Byl článek užitečný?
Co můžeme vylepšit?
Děkujeme za vaši zpětnou vazbu! Pomáháte nám se zlepšovat.
Děkujeme za vaši zpětnou vazbu! Pomáháte nám se zlepšovat.