Kaspersky Anti Targeted Attack Platform (EDR)
Todos os dados que a aplicação armazena localmente no computador, são eliminados do computador quando o Kaspersky Endpoint Security for desinstalado.
Dados de serviço
O agente integrado do Kaspersky Endpoint Security armazena os seguintes dados localmente:
- Ficheiros processados e dados introduzidos pelo utilizador durante a configuração do agente integrado do Kaspersky Endpoint Security:
- Ficheiros em quarentena
- Definições do agente integrado do Kaspersky Endpoint Security:
- Chave pública do certificado usado para integração com o Central Node
- Dados de licença
- Dados necessários para integração com o Central Node:
- Fila de pacotes de eventos de telemetria
- Cache de identificadores de ficheiros IOC recebidos do Central Node
- Objetos a serem passados para o servidor na tarefa Obter ficheiro
- Os relatórios de resultados da tarefa Obter informações forenses
Dados em pedidos para o KATA (EDR)
Ao integrar com o Kaspersky Anti Targeted Attack Platform, os seguintes dados são armazenados localmente no computador:
Dados do agente integrado do Kaspersky Endpoint Security solicitam ao componente do Nó Central:
- Em pedidos de sincronização:
- ID único
- Parte básica do endereço da Internet do servidor
- Nome do computador
- Endereço IP do computador
- Endereço MAC do computador
- Hora local no computador
- Estado de autodefesa do Kaspersky Endpoint Security
- Nome e versão do sistema operativo que está instalado no computador
- Versão do Kaspersky Endpoint Security
- Versões das definições das aplicações e definições da tarefa
- Estado da tarefa: identificadores das tarefas, estado de execução, códigos de erro
- Nos pedidos para obter ficheiros do servidor:
- Identificadores exclusivos dos ficheiros
- Identificador exclusivo do Kaspersky Endpoint Security
- Identificadores exclusivos dos certificados
- Parte básica do endereço da Internet do servidor com o componente do Nó Central instalado
- Endereço IP do anfitrião
- Nos relatórios sobre os resultados da execução da tarefa:
- Endereço IP do anfitrião
- Informações sobre os objetos detetados durante uma verificação IOC ou verificação YARA
- Sinalizadores das ações adicionais realizadas após a conclusão das tarefas
- Erros de execução de tarefas e códigos de retorno
- Estados da conclusão da tarefa
- Tempo de conclusão da tarefa
- Versões das definições usadas para a execução das tarefas
- Informações sobre os objetos enviados para o servidor, objetos em quarentena e objetos restaurados da quarentena: caminhos para objetos, hashes MD5 e SHA256, identificadores de objetos em quarentena
- Informações sobre os processos iniciados ou interrompidos num computador a pedido do servidor: PID e UniquePID, código de erro, hashes MD5 e SHA256 dos objetos
- Informações sobre os serviços iniciados ou interrompidos num computador a pedido do servidor: nome do serviço, tipo de inicialização, código de erro, hashes MD5 e SHA256 das imagens do ficheiro dos serviços
- Informações sobre os objetos para os quais foi efetuada uma informação de memória para uma verificação YARA (caminhos, identificador do ficheiro de informação)
- Ficheiros solicitados pelo servidor
- Pacotes de telemetria
- Dados sobre processos em execução:
- Nome do ficheiro executável, incluindo caminho completo e extensão
- Parâmetros de execução automática do processo
- ID do processo
- ID da sessão de início de sessão
- Nome da sessão de início de sessão
- Data e hora em que o processo foi iniciado
- Hashes MD5 e SHA256 do objeto
- Dados nos ficheiros:
- Caminho do ficheiro
- Nome do ficheiro
- Tamanho do ficheiro
- Atributos do ficheiro
- Data e hora em que o ficheiro foi criado
- Data e hora em que o ficheiro foi modificado pela última vez
- Descrição do ficheiro
- Nome da empresa
- Hashes MD5 e SHA256 do objeto
- Chave de registo (para pontos de execução automática)
- Dados em erros que ocorrem quando as informações sobre os objetos foram recuperadas:
- Nome completo do objeto que foi processado quando ocorreu um erro
- Código de erro
- Dados de telemetria:
- Endereço IP do anfitrião
- Tipo de dados no registo antes da operação de atualização confirmada
- Dados na chave do registo antes da operação de alteração confirmada
- O texto do script processado ou parte do mesmo
- Tipo de objeto processado
- Forma de passar um comando para o interpretador de comandos
Dados dos pedidos do componente Central Node ao agente integrado do Kaspersky Endpoint Security:
- Definições da tarefa:
- Tipo de tarefa
- Definições de agendamento da tarefa
- Nomes e passwords das contas em que as tarefas podem ser executadas
- Versões das definições
- Identificadores de objetos em quarentena
- Caminhos para os objetos
- Hashes MD5 e SHA256 dos objetos
- Linha de comandos para iniciar o processo com os argumentos
- Sinalizadores das ações adicionais realizadas após a conclusão das tarefas
- Identificadores do ficheiro IOC a serem recuperados do servidor
- IOC files
- Nome do serviço
- Tipo de inicialização do serviço
- Pastas em que os resultados da tarefa Obter informações forenses têm de ser recebidos
- Máscaras dos nomes de objeto e extensões para a tarefa Obter informações forenses
- Definições de isolamento de rede:
- Tipos de definições
- Versões das definições
- Listas de exclusões de isolamento de rede e definições de exclusão: direção do tráfego, endereços IP, portas, protocolos e caminhos completos para os ficheiros executáveis
- Sinalizadores das ações adicionais
- Tempo de desativação do isolamento automático
- Definições da prevenção da execução
- Tipos de definições
- Versões das definições
- Listas de regras de prevenção de execução e definições de regras: caminhos para objetos, tipos de objetos, hashes MD5 e SHA256 de objetos
- Sinalizadores das ações adicionais
- Definições de filtro de eventos:
- Nomes dos módulos
- Caminhos completos para os objetos
- Hashes MD5 e SHA256 dos objetos
- Identificadores das entradas no registo de eventos do Windows
- Definições de certificado digital
- Direção do tráfego, endereços IP, portas, protocolos, caminhos completos para ficheiros executáveis
- Nomes de utilizador
- Tipos de inícios de sessão do utilizador
- Tipos de eventos de telemetria em que os filtros são aplicados
Dados nos resultados da verificação YARA
O agente integrado do Kaspersky Endpoint Security transfere automaticamente os resultados da verificação YARA para o Kaspersky Anti Targeted Attack Platform para criar uma cadeia de desenvolvimento de ameaças.
Os dados são temporariamente armazenados localmente na fila para enviar os resultados da execução da tarefa para o servidor Kaspersky Anti Targeted Attack Platform. Os dados são eliminados do armazenamento temporário após serem enviados.
Os resultados da verificação YARA contêm os seguintes dados:
- Hashes MD5 e SHA256 do ficheiro
- Nome completo do ficheiro
- Caminho do ficheiro
- Tamanho do ficheiro
- Nome do processo
- Argumentos do processo
- Caminho para o ficheiro do processo
- Identificador do Windows (PID) do processo
- Identificador do Windows (PID) do processo principal
- Conta do utilizador que iniciou o processo
- Data e hora em que o processo foi iniciado