Daten, die bei der Verwendung von Kaspersky Anti Targeted Attack Platform bereitgestellt werden
Bei der Integration von Kaspersky Endpoint Security mit Kaspersky Endpoint Detection and Response (KATA) als Teil der Lösung "Kaspersky Anti Targeted Attack Platform" speichert Kaspersky Endpoint Security die folgenden Informationen, welche möglicherweise personenbezogene und vertrauliche Daten enthalten:
Adressen der KATA-Server
Öffentlicher Schlüssel des Serverzertifikats für die Integration mit Kaspersky Endpoint Detection and Response (KATA)
Crypto-Container mit Client-Zertifikat für die Integration mit Kaspersky Endpoint Detection and Response (KATA)
Zugangsdaten für die Autorisierung auf dem Proxy-Server
Parameter für die Häufigkeit der Synchronisation mit dem KATA-Server und Parameter für die Übertragung der Daten zum KATA-Server
Verbindungsstatus mit dem KATA-Server und Informationen über Fehler in den Zertifikaten für Client und Server
Parameter der von den KATA-Servern empfangenen Aufgaben:
Zeitplaneinstellungen für den Aufgabenstart
Namen und Kennwörter der Benutzerkonten, unter denen die Aufgaben ausgeführt werden sollen
Versionen der Parameter
Start-Typ der Dienste
Namen der Dienste
Befehl (aus der Befehlszeile) zum Starten des Prozesses mit Argumenten
MD5- und SHA256-Hashes der verarbeiteten Objekte
Pfade zu Objekten
IOC-Dateien
Einstellungen der Isolation, die verhindert, dass das Gerät nur mit den in den Ausnahmen angegeben Geräten kommunizieren kann.
Bei der Integration von Kaspersky Endpoint Security mit Kaspersky Endpoint Detection and Response (KATA) werden von Kaspersky Endpoint Security die folgenden Informationen gespeichert und möglicherweise an den KATA-Server übertragen:
Informationen aus den Synchronisationsanfragen an EDR (KATA):
Eindeutige ID
Basisteil der Server-Webadresse
Name des Geräts
IP-Adresse des Geräts
MAC-Adresse des Geräts
Lokale Uhrzeit des Geräts
Name und Version des auf dem Gerät installierten Betriebssystems
Version von Kaspersky Endpoint Security
Veröffentlichungsdatum der verwendeten App-Datenbanken
Lizenzstatus
Informationen von Anfragen an EDR (KATA) in den Ergebnisberichten der Ausgabenausführung:
IP-Adresse des Geräts
Eindeutige ID
Basisteil der Server-Webadresse
MAC-Adresse des Geräts
Fehler bei der Aufgabenausführung und Rückgabecodes
Status, mit denen die Aufgaben abgeschlossen wurden
Zeitpunkt der Beendigung einer Aufgabe
Versionen der Parameter, mit denen Aufgaben ausgeführt wurden
Informationen über Prozesse, die auf Anfrage des Servers auf dem Gerät gestartet oder gestoppt wurden: PID und UniquePID, Fehlercode, MD5- und SHA256-Hash-Summen der Objekte
Dateien, die vom Server angefordert wurden
Daten über Fehler beim Abrufen von Objektinformationen: vollständiger Name des Objekts, bei dessen Verarbeitung ein Fehler aufgetreten ist; Fehlercode
Aktivierungsstatus der Netzwerkisolation
Für IOC-Indikatoren werden die Untersuchungsergebnisse zurückgegeben (wurde jeder Indikator ausgelöst oder nicht, gefundene Objekte und Informationen darüber, welcher Indikator-Branch ausgelöst wurde)
Für Objekte, welche die IOC-Indikatoren auslösen, werden je nach Typ des Indikators unterschiedliche Werte zurückgegeben:
ArpEntry: IP-Adresse aus der ARP-Tabelle (einschließlich IPv6), physische Adresse aus der ARP-Tabelle
Datei: MD5-Hash der Datei, SHA-256-Hash der Datei, vollständiger Dateiname (einschließlich Pfad), Dateigröße
Port: Remote-IP-Adresse und Port, mit dem während der Überprüfung eine Verbindung hergestellt wurde; IP-Adresse und Port des lokalen Adapters; Typ des Protokolls (TCP, UDP, IP, RAWIP)
Prozess: Name des Prozesses; Argumente des Prozesses; Pfad zur Prozessdatei; System-PID des Prozesses; System-PID des übergeordneten Prozesses; Name des Benutzers, unter dessen Namen der Prozess ausgeführt wird; Datum und Uhrzeit des Starts des Prozesses
SystemInfo: Name des Betriebssystems, Version des Betriebssystems, Netzwerkname des Geräts ohne Domäne, Domäne oder Arbeitsgruppe
Benutzer: Benutzername
Daten in Telemetriepaketen:
Informationen über Dateien:
Eindeutige Datei-ID
Dateipfad
Dateiname
Dateigröße
Dateiattribute
Datum und Uhrzeit der Datei-Erstellung
Datum und Uhrzeit der letzten Datei-Änderung
MD5- und SHA256-Hashes des Objekts
Informationen über den Benutzer und die Gruppe, denen die Datei gehört (Name und Kennung).
Informationen zu laufenden Prozessen:
Eindeutige Dateiprozess-ID
Startparameter des Prozesses
Prozess-ID
Session-ID
Datum und Uhrzeit des Starts des Prozesses
Informationen über den Benutzer und die Gruppe, in deren Auftrag der Prozess ausgeführt wird (Name und Kennung).
Informationen zu erkannten und verarbeiteten Bedrohungen:
Der Name der erkannten Bedrohung und die Technologie, welche die Bedrohung erkannt hat, gemäß Kaspersky-Klassifizierung
Version der App-Datenbank
Webadresse, von der das infizierte Objekt heruntergeladen wurde
Status der Bedrohungsverarbeitung
Grund für das Scheitern einer Bedrohungsbeseitigung
Eindeutige ID der Dateibedrohung
Daten über Dateiänderungen:
Eindeutige ID der geänderten Datei
Eindeutige ID des Prozesses, der die Änderungen vorgenommen hat
Informationen über die aufgetretene Änderung
Informationen über Änderungen im System:
Eindeutige ID des Prozesses, der die Änderungen vorgenommen hat
Informationen über die aufgetretene Änderung
Informationen über den am System angemeldeten Benutzer:
Session-ID
Informationen über den Benutzer (Name und ID)
IP-Adresse des Geräts, von dem aus die Sitzung aufgebaut wurde
Daten über beendende Prozesse: eindeutige Prozess-IDs
Darüber hinaus können die angegebenen Informationen in den Protokoll- und Dump-Dateien gespeichert werden.