Kaspersky Anti Targeted Attack Platform (EDR)

Toutes les données que l'application stocke localement sur l'ordinateur sont supprimées de l'ordinateur lors de la désinstallation de Kaspersky Endpoint Security.

Données d'entretien

L'agent intégré de Kaspersky Endpoint Security stocke localement les données suivantes :

• Fichiers traités et données saisies par l'utilisateur lors de la configuration de l'agent intégré de Kaspersky Endpoint Security :
  • Fichiers en quarantaine
  • Paramètres de l'agent intégré de Kaspersky Endpoint Security :
    • Clé publique du certificat utilisé pour l'intégration avec Central Node
    • Données de licence
• Données requises pour l'intégration avec Central Node :
  • File d'attente de paquets d'événements de télémétrie
  • Cache des identifiants de fichiers IOC reçus de Central Node
  • Objets à transmettre au serveur dans la tâche Obtenir le fichier
  • Les rapports des résultats de la tâche Obtenir le cyberdiagnostic

Données dans les requêtes à KATA (EDR)

Lors de l'intégration à Kaspersky Anti Targeted Attack Platform, les données suivantes sont stockées localement sur l'ordinateur :

Données de l'agent intégré de Kaspersky Endpoint Security demandées au module Central Node :

• Dans les demandes de synchronisation :
  • Identifiant unique
  • Partie de base de l'adresse Web du serveur
  • Nom de l'ordinateur
  • Adresse IP de l'ordinateur
  • Adresse MAC de l'ordinateur
  • Heure locale sur l'ordinateur
  • État d'autodéfense de Kaspersky Endpoint Security
  • Nom et version du système d'exploitation installé sur l'ordinateur
  • Version de Kaspersky Endpoint Security
  • Versions des paramètres d'application et des paramètres de tâche
  • États des tâches : identifiants des tâches, états d'exécution, codes d'erreur
• Dans les demandes d'obtention de fichiers depuis le serveur :
  • Identifiants uniques des fichiers
  • Identifiant unique de Kaspersky Endpoint Security
  • Identifiants uniques des certificats
  • Partie de base de l'adresse Web du serveur sur lequel le module Central Node est installé
  • Adresse IP de l'hôte
• Dans les rapports sur les résultats d'exécution des tâches :
  • Adresse IP de l'hôte
  • Informations sur les objets détectés lors d'une analyse IOC ou d'une analyse YARA
  • Indicateurs des actions supplémentaires effectuées à la fin des tâches
  • Erreurs d'exécution de tâche et codes de retour
  • États d'achèvement des tâches
  • Temps d'exécution de la tâche
  • Versions des paramètres utilisés pour l'exécution des tâches
  • Informations sur les objets envoyés au serveur, les objets mis en quarantaine et les objets restaurés depuis la quarantaine : chemins d'accès aux objets, hachages MD5 et SHA256, et identifiants des objets mis en quarantaine
  • Informations sur les processus démarrés ou arrêtés sur un ordinateur à la demande du serveur : PID et UniquePID, code d'erreur, et hachages MD5 et SHA256 des objets
  • Informations sur les services démarrés ou arrêtés sur l'ordinateur à la demande du serveur : nom du service, type de démarrage, code d'erreur, et hachages MD5 et SHA256 des images de fichiers des services
  • Informations sur les objets pour lesquels un vidage mémoire a été effectué dans le cadre d'une analyse YARA (chemins d'accès, identifiant du fichier de vidage)
  • Fichiers demandés par le serveur
  • Paquets de télémétrie
  • Données sur les processus en cours :
    • Nom du fichier exécutable, y compris le chemin complet et l'extension
    • Paramètres d'exécution automatique du processus
    • Identifiant du processus
    • Identifiant de la session de connexion
    • Nom de la session de connexion
    • Date et heure de démarrage du processus
    • Hachages MD5 et SHA256 de l'objet
  • Données sur les fichiers :
    • Chemin du fichier
    • Nom du fichier
    • Taille du fichier
    • Attributs du fichier
    • Date et heure de création du fichier
    • Date et heure de la dernière modification du fichier
    • Description du fichier
    • Nom de l'entreprise
    • Hachages MD5 et SHA256 de l'objet
    • Clé de registre (pour les points d'exécution automatique)
  • Données dans les erreurs qui se produisent lors de la récupération des informations sur les objets :
    • Nom complet de l'objet qui a été traité lorsqu'une erreur s'est produite
    • Code d'erreur
• Données télémétriques :
  • Adresse IP de l'hôte
  • Type de données dans le registre avant l'opération de mise à jour validée
  • Données dans la clé de registre avant l'opération de modification validée
  • Le texte du script traité ou une partie de celui-ci
  • Type d'objet traité
  • Façon de passer une commande à l'interpréteur de commandes

Données des demandes du module Central Node à l'agent intégré de Kaspersky Endpoint Security :

• Paramètres de la tâche :
  • Type de tâche
  • Paramètres de planification de la tâche
  • Noms et mots de passe des comptes sous lesquels les tâches peuvent être exécutées
  • Versions des paramètres
  • Identifiants des objets mis en quarantaine
  • Chemins d'accès aux objets
  • Hachages MD5 et SHA256 des objets
  • Ligne de commande pour démarrer le processus avec les arguments
  • Indicateurs des actions supplémentaires effectuées à la fin des tâches
  • Identifiants des fichiers IOC à récupérer sur le serveur
  • Fichiers IOC
  • Nom du service
  • Type de démarrage du service
  • Dossiers pour lesquels les résultats de la tâche Obtenir le cyberdiagnostic doivent être reçus
  • Masques des noms d'objets et des extensions pour la tâche Obtenir le cyberdiagnostic
• Paramètres d'isolation du réseau :
  • Types de paramètres
  • Versions des paramètres
  • Listes des exclusions d'isolation du réseau et des paramètres d'exclusion : sens du trafic, adresses IP, ports, protocoles et chemins d'accès complets aux fichiers exécutables
  • Indicateurs des actions supplémentaires
  • Temps de désactivation de l'isolation automatique
• Paramètres de Prévention de l'exécution
  • Types de paramètres
  • Versions des paramètres
  • Listes des règles de prévention d'exécution et paramètres des règles : chemins d'accès aux objets, types d'objets, et hachages MD5 et SHA256 des objets
  • Indicateurs des actions supplémentaires
• Paramètres de filtrage des événements :
  • Noms des modules
  • Remplir les chemins d'accès aux objets
  • Hachages MD5 et SHA256 des objets
  • Identifiants des entrées du journal des événements Windows
  • Paramètres du certificat numérique
  • Sens du trafic, adresses IP, ports, protocoles, chemins complets vers les fichiers exécutables
  • Noms d'utilisateur
  • Types de connexion utilisateur
  • Types d'événements de télémétrie pour lesquels des filtres sont appliqués

Données dans les résultats de l'analyse YARA

L'agent intégré de Kaspersky Endpoint Security transfère automatiquement les résultats de l'analyse YARA à Kaspersky Anti Targeted Attack Platform pour créer une chaîne de développement de menaces.

Les données sont temporairement stockées localement dans la file d'attente pour l'envoi des résultats d'exécution de la tâche au serveur Kaspersky Anti Targeted Attack Platform. Les données sont supprimées du stockage temporaire une fois qu'elles ont été envoyées.

Les résultats de l'analyse YARA contiennent les données suivantes :

• Hachages MD5 et SHA256 du fichier
• Nom complet du fichier
• Chemin du fichier
• Taille du fichier
• Nom du processus
• Arguments du processus
• Chemin d'accès au fichier du processus
• Identifiant Windows (PID) du processus
• Identifiant Windows (PID) du processus parent
• Compte utilisateur qui a lancé le processus
• Date et heure de démarrage du processus