Données fournies lors de l'utilisation de la solution Kaspersky Anti Targeted Attack Platform

Lors de l'intégration de l'application Kaspersky Endpoint Security avec Kaspersky Endpoint Detection and Response (KATA), en tant que module de la solution Kaspersky Anti Targeted Attack Platform, l'application Kaspersky Endpoint Security stocke et peut transférer à l'application Kaspersky Security Center les informations suivantes, qui peuvent contenir des données personnelles et confidentielles :

• Données de service :
  • adresse du serveur KATA ;
  • clé publique du certificat du serveur pour l'intégration avec Kaspersky Endpoint Detection and Response (KATA) ;
  • cryptocontainer avec un certificat client pour l'intégration avec Kaspersky Endpoint Detection and Response (KATA) ;
  • identifiants pour l'autorisation sur le serveur proxy ;
  • paramètres de fréquence de synchronisation avec le serveur KATA et paramètres de transfert de données vers le serveur KATA ;
  • état de la connexion avec le serveur KATA et informations sur les erreurs de certificat client et de certificat serveur.

Lors de l'intégration de l'application Kaspersky Endpoint Security avec Kaspersky Endpoint Detection and Response (KATA), l'application Kaspersky Endpoint Security enregistre et peut transférer les données suivantes vers le serveur KATA :

• Données des requêtes de synchronisation vers le composant EDR (KATA) :
  • Identifiant unique.
  • Partie essentielle de l'adresse Internet du serveur.
  • Nom du périphérique.
  • Adresse IP du périphérique.
  • Adresse MAC du périphérique.
  • Heure locale sur le périphérique.
  • Nom et version du système d'exploitation installé sur le périphérique.
  • Version de Kaspersky Endpoint Security.
  • Versions des paramètres de l'application et des paramètres des tâches.
  • État de la tâche (ID de tâche, états d'exécution, codes d'erreur).
• Données extraites des requêtes au composant EDR (KATA) dans les rapports sur les résultats de tâche :
  • Adresse IP du périphérique.
  • Erreurs d'exécution des tâches et codes de retour.
  • États attribués à l'issue des tâches.
  • Heure d'achèvement de la tâche.
  • Versions des paramètres d'exécution de la tâche.
  • Informations sur les processus lancés ou arrêtés sur l'appareil à la demande du serveur : PID et UniquePID, code d'erreur, sommes de hachage MD5 et SHA256 des objets.
  • Fichiers demandés par le serveur.
  • Paquets de télémétrie.
  • Données sur les processus en cours :
    • nom du fichier exécutable, y compris le chemin complet et l'extension ;
    • paramètres de lancement du processus ;
    • ID de processus ;
    • ID de session de connexion au système ;
    • nom de session de connexion au système ;
    • date et heure de lancement du processus ;
    • sommes de hachage MD5 et SHA256 de l'objet traité.
  • Données sur les fichiers :
    • Chemin d'accès au fichier.
    • Nom du fichier.
    • Taille du fichier.
    • Attributs de fichier.
    • Date et heure de création du fichier.
    • Date et heure de la dernière modification du fichier.
    • sommes de hachage MD5 et SHA256 de l'objet traité.
  • Données dans les erreurs d'obtention d'informations relatives aux objets :
    • Nom complet de l'objet dont le traitement a provoqué l'erreur.
    • Code d'erreur.
• Données des requêtes du serveur KATA à l'agent intégré de Kaspersky Endpoint Security (paramètres de la tâche) :
  • Types de tâche.
  • Paramètres de la programmation du lancement des tâches.
  • Noms et mots de passe des comptes utilisateur au nom desquels vous souhaitez exécuter des tâches.
  • Versions de paramètres.
  • Chemins d'accès aux objets.
  • Sommes de hachage MD5 et SHA256 des objets.
  • Ligne de commande de lancement des processus avec les arguments.
  • Nom des services.
  • Type de lancement des services.
• Paramètres des requêtes de réponse (response) envoyées par le serveur KATA à l'agent intégré de Kaspersky Endpoint Security :
  • Tâche d'obtention du fichier (Get file task) :
    • Chemin d'accès complet au fichier ou au répertoire.
    • Algorithme de calcul du hash. Valeurs possibles : MD5 et/ou SHA256.
    • Sommes de hachage MD5 et SHA-256 du fichier.
  • Tâche de suppression de fichier (Delete file task) :
    • confirmation de la suppression ou une erreur s'est produite.
  • Exécuter la tâche de processus (Run process) :
    • Chemin d'accès complet au fichier exécutable à partir duquel le processus est lancé.
    • Ligne de commande du processus.
    • Chemin d'accès complet au répertoire de travail du processus.
  • Terminer la tâche de processus (Terminate process) :
    • PID unique du processus.
    • PID système du processus.
    • Code d'erreur de fin de processus (0 si le processus s'est terminé avec succès).
  • Tâche d'analyse IOC (IOC Scan task) :
    • Résultats de la recherche (chaque indicateur a fonctionné ou n'a pas fonctionné, objets trouvés et informations sur la branche de l'indicateur qui a fonctionné).

    Les objets déclencheurs renvoient des valeurs différentes selon leur type :

    • ArpEntry : adresse IP de la table ARP (y compris ipv6), adresse physique de la table ARP.
    • Fichier : hachage MD5 du fichier, hachage SHA256 du fichier, nom complet du fichier (y compris le chemin), taille du fichier.
    • Port : adresse IP distante et port avec lequel une connexion a été établie au moment de la vérification ; Adresse IP et port de l'adaptateur local ; type de protocole (TCP, UDP, IP, RAWIP).
    • Processus : nom du processus ; arguments de processus ; chemin d'accès au fichier de processus ; PID système du processus ; PID système du processus parent ; le nom de l'utilisateur à partir duquel le processus est exécuté ; date et heure de début du processus.
    • SystemInfo : nom du système d'exploitation, version du système d'exploitation, nom du réseau d'un ordinateur sans domaine, domaine ou groupe de travail.
    • User : nom de l'utilisateur.
• Isolation réseau : état d'application de l'isolation réseau.

Haut de page