Данные, предоставляемые при использовании решения Kaspersky Anti Targeted Attack Platform

При интеграции приложения Kaspersky Endpoint Security с Kaspersky Endpoint Detection and Response (KATA), компонентом решения Kaspersky Anti Targeted Attack Platform приложение Kaspersky Endpoint Security сохраняет и может передавать приложению Kaspersky Security Center следующую информацию, которая может содержать персональные и конфиденциальные данные:

• Служебные данные:
  • адреса серверов KATA;
  • открытый ключ сертификата сервера для интеграции с Kaspersky Endpoint Detection and Response (KATA);
  • криптоконтейнер с сертификатом клиента для интеграции с Kaspersky Endpoint Detection and Response (KATA);
  • учетные данные для авторизации на прокси-сервере;
  • параметры частоты синхронизации с сервером KATA и параметры передачи данных на сервер KATA;
  • статус соединения с сервером КАТА и сведения об ошибках сертификата клиента и сертификата сервера.

При интеграции приложения Kaspersky Endpoint Security с Kaspersky Endpoint Detection and Response (KATA) приложение Kaspersky Endpoint Security сохраняет и может передавать серверу KATA следующие данные:

• Данные из запросов на синхронизацию к компоненту EDR (KATA):
  • Уникальный идентификатор.
  • Базовую часть веб-адреса сервера.
  • Имя устройства.
  • IP-адрес устройства.
  • MAC-адрес устройства.
  • Локальное время на устройстве.
  • Название и версию операционной системы, установленной на устройстве.
  • Версию Kaspersky Endpoint Security.
  • Версии параметров приложения и параметров задач.
  • Состояние задач (идентификаторы задач, статусы выполнения, коды ошибок).
• Данные из запросов к компоненту EDR (KATA) в отчетах о результатах выполнения задач:
  • IP-адрес устройства.
  • Ошибки выполнения задач и коды возврата.
  • Статусы, с которыми завершались задачи.
  • Время завершения выполнения задач.
  • Версии параметров, с которыми выполнялись задачи.
  • Информацию о процессах, запущенных или остановленных на устройстве по запросу сервера: PID и UniquePID, код ошибки, хеш-суммы MD5 и SHA256 объектов.
  • Файлы, запрошенные сервером.
  • Пакеты телеметрии.
  • Данные о запущенных процессах:
    • имя исполняемого файла, включая полный путь и расширение;
    • параметры запуска процесса;
    • идентификатор процесса;
    • код сеанса входа в систему;
    • имя сеанса входа в систему;
    • дата и время запуска процесса;
    • хеш-суммы MD5 и SHA256 объекта.
  • Данные о файлах:
    • Путь к файлу.
    • Имя файла.
    • Размер файла.
    • Атрибуты файла.
    • Дата и время создания файла.
    • Дата и время последнего изменения файла.
    • хеш-суммы MD5 и SHA256 объекта.
  • Данные в ошибках получения информации об объектах:
    • Полное имя объекта, при обработке которого возникла ошибка.
    • Код ошибки.
• Данные из запросов от сервера KATA к встроенному агенту Kaspersky Endpoint Security (параметры задач):
  • Типы задач.
  • Параметры расписания запуска задач.
  • Имена и пароли учетных записей, от имени которых требуется запускать задачи.
  • Версии параметров.
  • Пути к объектам.
  • Хеш-суммы MD5 и SHA256 объектов.
  • Командную строку запуска процесса с аргументами.
  • Наименование служб.
  • Тип запуска служб.
• Параметры ответных запросов (response), которые сервер KATA отправляет встроенному агенту Kaspersky Endpoint Security:
  • Задача Получить файл (Get file task):
    • Полный путь к файлу или директории.
    • Алгоритм расчет хеша. Возможные значения: MD5 и/или SHA256.
    • Хеш-суммы MD5 и SHA256 файла.
  • Задача Удалить файл (Delete file task):
    • подтверждение удаления или произошедшая ошибка.
  • Задача Запустить процесс (Run process):
    • Полный путь к исполняемому файлу, из которого запущен процесс.
    • Командную строку процесса.
    • Полный путь к рабочей директории процесса.
  • Задача Завершить процесс (Terminate process):
    • Уникальный PID процесса.
    • Системный PID процесса.
    • Код ошибки завершения процесса (0, если процесс успешно завершен).
  • Задача Поиск IOC (IOC Scan task):
    • Результаты поиска (сработал или не сработал каждый индикатор, найденные объекты и информация о том, какая ветка индикатора сработала).

    Для объектов, вызвавших срабатывания, возвращаются разные значения в зависимости от типа:

    • ArpEntry: IP-адрес из ARP-таблицы (в том числе ipv6), физический адрес из ARP-таблицы.
    • File: MD5-хеш файла, SHA256-хеш файла, полное имя файла (включая путь), размер файла.
    • Port: удаленный IP-адрес и порт, с которым в момент проверки, установлено соединение; IP-адрес и порт локального адаптера; тип протокола (TCP, UDP, IP, RAWIP).
    • Process: имя процесса; аргументы процесса; путь к файлу процесса; системный PID процесса; системный PID родительского процесса; имя пользователя, от которого запущен процесс; дата и время запуска процесса.
    • SystemInfo: название ОС, версия ОС, сетевое имя компьютера без домена, домен или рабочая группа.
    • User: имя пользователя
• Сетевая изоляция: статус применения сетевой изоляции.

В начало