Données fournies lors de l'utilisation de la solution Kaspersky Anti Targeted Attack Platform

Lors de l'intégration de l'application Kaspersky Endpoint Security à la solution Kaspersky Anti Targeted Attack Platform, l'application Kaspersky Endpoint Security enregistre et peut transférer à l'application Kaspersky Security Center les informations suivantes, qui peuvent contenir des données personnelles et confidentielles :

• Données de service :
  • adresse du serveur KATA ;
  • clé publique du certificat du serveur pour l'intégration au composant EDR (KATA) ;
  • cryptocontainer avec certificat du client pour l'intégration au composant EDR (KATA) ;
  • identifiants pour l'autorisation sur le serveur proxy ;
  • paramètres de fréquence de synchronisation avec le serveur KATA et paramètres de transfert de données vers le serveur KATA ;
  • état de la connexion avec le serveur KATA et informations sur les erreurs de certificat client et de certificat serveur.

Lors de l'intégration de l'application Kaspersky Endpoint Security à la solution Kaspersky Anti Targeted Attack Platform, l'application Kaspersky Endpoint Security enregistre et peut transférer les données suivantes vers le serveur KATA :

• Données des requêtes de synchronisation vers le composant EDR (KATA) :
  • Identifiant unique.
  • Partie essentielle de l'adresse Internet du serveur.
  • Nom du périphérique.
  • Adresse IP du périphérique.
  • Adresse MAC du périphérique.
  • Heure locale sur le périphérique.
  • Nom et version du système d'exploitation installé sur le périphérique.
  • Version de Kaspersky Endpoint Security.
  • Versions des paramètres de l'application et des paramètres des tâches.
  • État de la tâche (ID de tâche, états d'exécution, codes d'erreur).
• Données extraites des requêtes au composant EDR (KATA) dans les rapports sur les résultats de tâche :
  • Adresse IP du périphérique.
  • Erreurs d'exécution des tâches et codes de retour.
  • États attribués à l'issue des tâches.
  • Heure d'achèvement de la tâche.
  • Versions des paramètres d'exécution de la tâche.
  • Informations sur les processus lancés ou arrêtés sur le périphérique à la demande du serveur : PID et UniquePID, code d'erreur, hash MD5 et SHA-256 des objets.
  • Fichiers demandés par le serveur.
  • Paquets de télémétrie.
  • Données sur les processus en cours :
    • nom du fichier exécutable, y compris le chemin complet et l'extension ;
    • paramètres de lancement du processus ;
    • ID de processus ;
    • ID de session de connexion au système ;
    • nom de session de connexion au système ;
    • date et heure de lancement du processus ;
    • hash MD5 et SHA-256 de l'objet.
  • Données sur les fichiers :
    • Chemin d'accès au fichier.
    • Nom du fichier.
    • Taille du fichier.
    • Attributs de fichier.
    • Date et heure de création du fichier.
    • Date et heure de la dernière modification du fichier.
    • hash MD5 et SHA-256 de l'objet.
  • Données dans les erreurs d'obtention d'informations relatives aux objets :
    • Nom complet de l'objet dont le traitement a provoqué l'erreur.
    • Code d'erreur.
• Données des requêtes du serveur KATA à l'agent intégré de Kaspersky Endpoint Security (paramètres de la tâche) :
  • Types de tâche.
  • Paramètres de la programmation du lancement des tâches.
  • Noms et mots de passe des comptes utilisateur au nom desquels vous souhaitez exécuter des tâches.
  • Versions de paramètres.
  • Chemins d'accès aux objets.
  • Hash MD5 et SHA-256 des objets.
  • Ligne de commande de lancement des processus avec les arguments.
  • Nom des services.
  • Type de lancement des services.
• Paramètres des requêtes de réponse (response) envoyées par le serveur KATA à l'agent intégré de Kaspersky Endpoint Security :
  • Tâche d'obtention du fichier (Get file task) :
    • Chemin d'accès complet au fichier ou au répertoire.
    • Algorithme de calcul du hash. Valeurs possibles : MD5 et/ou SHA-256.
    • Hash MD5 et SHA-256 du fichier.
  • Tâche de suppression de fichier (Delete file task) :
    • confirmation de la suppression ou une erreur s'est produite.
  • Exécuter la tâche de processus (Run process) :
    • Chemin d'accès complet au fichier exécutable à partir duquel le processus est lancé.
    • Ligne de commande du processus.
    • Chemin d'accès complet au répertoire de travail du processus.
  • Terminer la tâche de processus (Terminate process) :
    • PID unique du processus.
    • PID système du processus.
    • Code d'erreur de fin de processus (0 si le processus s'est terminé avec succès).
  • Tâche d'analyse IOC (IOC Scan task) :
    • Résultats de la recherche (chaque indicateur a fonctionné ou n'a pas fonctionné, objets trouvés et informations sur la branche de l'indicateur qui a fonctionné).

    Les objets déclencheurs renvoient des valeurs différentes selon leur type :

    • ArpEntry : adresse IP de la table ARP (y compris ipv6), adresse physique de la table ARP.
    • Fichier : hachage MD5 du fichier, hachage SHA-256 du fichier, nom complet du fichier (y compris le chemin), taille du fichier.
    • Port : adresse IP distante et port avec lequel une connexion a été établie au moment de la vérification ; Adresse IP et port de l'adaptateur local ; type de protocole (TCP, UDP, IP, RAWIP).
    • Processus : nom du processus ; arguments de processus ; chemin d'accès au fichier de processus ; PID système du processus ; PID système du processus parent ; le nom de l'utilisateur à partir duquel le processus est exécuté ; date et heure de début du processus.
    • SystemInfo : nom du système d'exploitation, version du système d'exploitation, nom du réseau d'un ordinateur sans domaine, domaine ou groupe de travail.
    • User : nom de l'utilisateur.
• Isolation du réseau :
  • État de l'application d'isolation du réseau.

Haut de page