Daten, die bei der Verwendung von Kaspersky Anti Targeted Attack Platform bereitgestellt werden

Bei der Integration von Kaspersky Endpoint Security mit Kaspersky Anti Targeted Attack Platform speichert Kaspersky Endpoint Security die folgenden Informationen, die an Kaspersky Security Center übertragen werden können und möglicherweise personenbezogene und vertrauliche Daten enthalten:

• Informationen zur Ausführung des Dienstes:
  • Adresse des KATA-Servers
  • Öffentlicher Schlüssel des Serverzertifikats für die Integration mit EDR (KATA)
  • Krypto-Container mit dem Client-Zertifikat für die Integration mit EDR (KATA)
  • Zugangsdaten für die Autorisierung auf dem Proxy-Server
  • Parameter für die Häufigkeit der Synchronisation mit dem KATA-Server und Parameter für die Übertragung der Daten zum KATA-Server
  • Verbindungsstatus mit dem KATA-Server und Informationen über Fehler in den Zertifikaten für Client und Server

Bei der Integration von Kaspersky Endpoint Security mit Kaspersky Anti Targeted Attack Platform werden von Kaspersky Endpoint Security die folgenden Informationen gespeichert und möglicherweise an den KATA-Server übertragen:

• Informationen aus den Synchronisationsanfragen an EDR (KATA):
  • Eindeutige ID
  • Basisteil der Server-Webadresse
  • Name des Geräts
  • IP-Adresse des Geräts
  • MAC-Adresse des Geräts
  • Lokale Uhrzeit des Geräts
  • Name und Version des auf dem Gerät installierten Betriebssystems
  • Version von Kaspersky Endpoint Security
  • Versionen der App- und Aufgabeneinstellungen
  • Statuszustände der Aufgaben (Aufgaben-IDs, Ausführungszustände, Fehlercodes)
• Informationen von Anfragen an EDR (KATA) in den Ergebnisberichten der Ausgabenausführung:
  • IP-Adresse des Geräts
  • Fehler bei der Aufgabenausführung und Rückgabecodes
  • Status, mit denen die Aufgaben abgeschlossen wurden
  • Zeitpunkt der Beendigung einer Aufgabe
  • Versionen der Parameter, mit denen Aufgaben ausgeführt wurden
  • Informationen über Prozesse, die auf Anfrage des Servers auf dem Gerät gestartet oder gestoppt wurden: PID und UniquePID, Fehlercode, MD5- und SHA-256-Hash-Summen der Objekte
  • Dateien, die vom Server angefordert wurden
  • Pakete mit Telemetriedaten
  • Informationen zu laufenden Prozessen:
    • Name der ausführbaren Datei, einschließlich des vollständigen Pfads und der Erweiterung
    • Startparameter des Prozesses
    • Prozess-ID
    • ID der Anmeldesession am System
    • Name der Anmeldesession am System
    • Datum und Uhrzeit des Prozessstarts
    • MD5- und SHA-256-Hashsummen des Objekts
  • Informationen über Dateien:
    • Dateipfad
    • Dateiname
    • Dateigröße
    • Dateiattribute
    • Datum und Uhrzeit der Datei-Erstellung
    • Datum und Uhrzeit der letzten Datei-Änderung
    • MD5- und SHA-256-Hashsummen des Objekts
  • Informationen in Fehlern beim Abrufen von Informationen zu Objekten:
    • Vollständiger Name des Objekts, bei dessen Verarbeitung der Fehler auftrat
    • Fehlercode
• Informationen aus Anfragen vom KATA-Server an den integrierten Agenten von Kaspersky Endpoint Security (Aufgabeneinstellungen):
  • Typ der Aufgabe
  • Zeitplaneinstellungen für den Aufgabenstart
  • Namen und Kennwörter der Benutzerkonten, unter denen die Aufgaben ausgeführt werden sollen
  • Versionen der Parameter
  • Pfade zu Objekten
  • MD5- und SHA-256-Hashsummen von Objekten
  • Befehl (aus der Befehlszeile) zum Starten des Prozesses mit Argumenten
  • Name der Dienste
  • Start-Typ der Dienste
• Parameter der Antwortanfragen (response), die vom KATA-Server an den integrierten Agenten von Kaspersky Endpoint Security gesendet werden:
  • Aufgabe "Datei abrufen" (Get file task):
    • Vollständiger Pfad zur Datei oder zum Verzeichnis
    • Algorithmus zur Berechnung des Hashs. Mögliche Werte: MD5 und/oder SHA-256
    • MD5- und SHA-256-Hashsummen der Datei
  • Aufgabe "Datei löschen" (Delete file task):
    • Bestätigung des Löschvorgangs oder Information über aufgetretenen Fehler
  • Aufgabe "Prozess starten" (Run process):
    • Vollständiger Pfad zur ausführbaren Datei, aus welcher der Prozess gestartet wird
    • Befehl (aus der Befehlszeile) des Prozesses
    • Vollständiger Pfad zum Arbeitsverzeichnis des Prozesses
  • Aufgabe "Prozess beenden" (Terminate Process):
    • Eindeutige PID des Prozesses
    • System-PID des Prozesses
    • Fehlercode der Prozessbeendigung ("0" bei erfolgreichem Beenden des Prozesses)
  • Aufgabe "IOC-Untersuchung" (IOC Scan task):
    • Ergebnisse der Untersuchung (wurde jeder Indikator ausgelöst oder nicht, gefundene Objekte und Informationen darüber, welcher Indikator-Branch ausgelöst wurde)

    Auslösende Objekte geben je nach Typ unterschiedliche Werte zurück:

    • ArpEntry: IP-Adresse aus der ARP-Tabelle (einschließlich IPv6), physische Adresse aus der ARP-Tabelle
    • Datei: MD5-Hash der Datei, SHA-256-Hash der Datei, vollständiger Dateiname (einschließlich Pfad), Dateigröße
    • Port: Remote-IP-Adresse und Port, mit dem während der Überprüfung eine Verbindung hergestellt wurde; IP-Adresse und Port des lokalen Adapters; Typ des Protokolls (TCP, UDP, IP, RAWIP)
    • Prozess: Name des Prozesses; Argumente des Prozesses; Pfad zur Prozessdatei; System-PID des Prozesses; System-PID des übergeordneten Prozesses; Name des Benutzers, unter dem der Prozess ausgeführt wird; Datum und Uhrzeit des Starts des Prozesses
    • SystemInfo: Name des Betriebssystems, Version des Betriebssystems, Netzwerkname des Computers ohne Domäne, Domäne oder Arbeitsgruppe
    • Benutzer: Benutzername
• Netzwerkisolation:
  • Aktivierungsstatus der Netzwerkisolation

Nach oben