Daten, die bei der Verwendung von Kaspersky Anti Targeted Attack Platform bereitgestellt werden

Bei der Integration von Kaspersky Endpoint Security mit Kaspersky Endpoint Detection and Response (KATA) als Teil der Lösung "Kaspersky Anti Targeted Attack Platform" speichert Kaspersky Endpoint Security die folgenden Informationen, welche möglicherweise personenbezogene und vertrauliche Daten enthalten:

• Adressen der KATA-Server
• Öffentlicher Schlüssel des Serverzertifikats für die Integration mit Kaspersky Endpoint Detection and Response (KATA)
• Crypto-Container mit Client-Zertifikat für die Integration mit Kaspersky Endpoint Detection and Response (KATA)
• Zugangsdaten für die Autorisierung auf dem Proxy-Server
• Parameter für die Häufigkeit der Synchronisation mit dem KATA-Server und Parameter für die Übertragung der Daten zum KATA-Server
• Verbindungsstatus mit dem KATA-Server und Informationen über Fehler in den Zertifikaten für Client und Server
• Parameter der von den KATA-Servern empfangenen Aufgaben:
  • Zeitplaneinstellungen für den Aufgabenstart
  • Namen und Kennwörter der Benutzerkonten, unter denen die Aufgaben ausgeführt werden sollen
  • Versionen der Parameter
  • Start-Typ der Dienste
  • Namen der Dienste
  • Befehl (aus der Befehlszeile) zum Starten des Prozesses mit Argumenten
  • MD5- und SHA256-Hashes der verarbeiteten Objekte
  • Pfade zu Objekten
  • IOC-Dateien
• Einstellungen der Isolation, die verhindert, dass das Gerät nur mit den in den Ausnahmen angegeben Geräten kommunizieren kann.

Bei der Integration von Kaspersky Endpoint Security mit Kaspersky Endpoint Detection and Response (KATA) werden von Kaspersky Endpoint Security die folgenden Informationen gespeichert und möglicherweise an den KATA-Server übertragen:

• Informationen aus den Synchronisationsanfragen an EDR (KATA):
  • Eindeutige ID
  • Basisteil der Server-Webadresse
  • Name des Geräts
  • IP-Adresse des Geräts
  • MAC-Adresse des Geräts
  • Lokale Uhrzeit des Geräts
  • Name und Version des auf dem Gerät installierten Betriebssystems
  • Version von Kaspersky Endpoint Security
  • Veröffentlichungsdatum der verwendeten App-Datenbanken
  • Lizenzstatus
• Informationen von Anfragen an EDR (KATA) in den Ergebnisberichten der Ausgabenausführung:
  • IP-Adresse des Geräts
  • Eindeutige ID
  • Basisteil der Server-Webadresse
  • MAC-Adresse des Geräts
  • Fehler bei der Aufgabenausführung und Rückgabecodes
  • Status, mit denen die Aufgaben abgeschlossen wurden
  • Zeitpunkt der Beendigung einer Aufgabe
  • Versionen der Parameter, mit denen Aufgaben ausgeführt wurden
  • Informationen über Prozesse, die auf Anfrage des Servers auf dem Gerät gestartet oder gestoppt wurden: PID und UniquePID, Fehlercode, MD5- und SHA256-Hash-Summen der Objekte
  • Dateien, die vom Server angefordert wurden
  • Daten über Fehler beim Abrufen von Objektinformationen: vollständiger Name des Objekts, bei dessen Verarbeitung ein Fehler aufgetreten ist; Fehlercode
  • Aktivierungsstatus der Netzwerkisolation
  • Für IOC-Indikatoren werden die Untersuchungsergebnisse zurückgegeben (wurde jeder Indikator ausgelöst oder nicht, gefundene Objekte und Informationen darüber, welcher Indikator-Branch ausgelöst wurde)
  • Für Objekte, welche die IOC-Indikatoren auslösen, werden je nach Typ des Indikators unterschiedliche Werte zurückgegeben:
    • ArpEntry: IP-Adresse aus der ARP-Tabelle (einschließlich IPv6), physische Adresse aus der ARP-Tabelle
    • Datei: MD5-Hash der Datei, SHA-256-Hash der Datei, vollständiger Dateiname (einschließlich Pfad), Dateigröße
    • Port: Remote-IP-Adresse und Port, mit dem während der Überprüfung eine Verbindung hergestellt wurde; IP-Adresse und Port des lokalen Adapters; Typ des Protokolls (TCP, UDP, IP, RAWIP)
    • Prozess: Name des Prozesses; Argumente des Prozesses; Pfad zur Prozessdatei; System-PID des Prozesses; System-PID des übergeordneten Prozesses; Name des Benutzers, unter dessen Namen der Prozess ausgeführt wird; Datum und Uhrzeit des Starts des Prozesses
    • SystemInfo: Name des Betriebssystems, Version des Betriebssystems, Netzwerkname des Geräts ohne Domäne, Domäne oder Arbeitsgruppe
    • Benutzer: Benutzername
• Daten in Telemetriepaketen:
  • Informationen über Dateien:
    • Eindeutige Datei-ID
    • Dateipfad
    • Dateiname
    • Dateigröße
    • Dateiattribute
    • Datum und Uhrzeit der Datei-Erstellung
    • Datum und Uhrzeit der letzten Datei-Änderung
    • MD5- und SHA256-Hashes des Objekts
    • Informationen über den Benutzer und die Gruppe, denen die Datei gehört (Name und Kennung).
  • Informationen zu laufenden Prozessen:
    • Eindeutige Dateiprozess-ID
    • Startparameter des Prozesses
    • Prozess-ID
    • Session-ID
    • Datum und Uhrzeit des Starts des Prozesses
    • Informationen über den Benutzer und die Gruppe, in deren Auftrag der Prozess ausgeführt wird (Name und Kennung).
  • Informationen zu erkannten und verarbeiteten Bedrohungen:
    • Der Name der erkannten Bedrohung und die Technologie, welche die Bedrohung erkannt hat, gemäß Kaspersky-Klassifizierung
    • Version der App-Datenbank
    • Webadresse, von der das infizierte Objekt heruntergeladen wurde
    • Status der Bedrohungsverarbeitung
    • Grund für das Scheitern einer Bedrohungsbeseitigung
    • Eindeutige ID der Dateibedrohung
  • Daten über Dateiänderungen:
    • Eindeutige ID der geänderten Datei
    • Eindeutige ID des Prozesses, der die Änderungen vorgenommen hat
    • Informationen über die aufgetretene Änderung
  • Informationen über Änderungen im System:
    • Eindeutige ID des Prozesses, der die Änderungen vorgenommen hat
    • Informationen über die aufgetretene Änderung
  • Informationen über den am System angemeldeten Benutzer:
    • Session-ID
    • Informationen über den Benutzer (Name und ID)
    • IP-Adresse des Geräts, von dem aus die Sitzung aufgebaut wurde
  • Daten über beendende Prozesse: eindeutige Prozess-IDs

Darüber hinaus können die angegebenen Informationen in den Protokoll- und Dump-Dateien gespeichert werden.

Nach oben