Données fournies lors de l'utilisation de la solution Kaspersky Anti Targeted Attack Platform
Lorsque Kaspersky Endpoint Security est intégré avec Kaspersky Endpoint Detection and Response (KATA), un module de la solution Kaspersky Anti Targeted Attack Platform, Kaspersky Endpoint Security stocke les informations de service suivantes, qui peuvent contenir des données personnelles et confidentielles :
Adresses des serveurs KATA.
Clé publique du certificat du serveur pour l'intégration avec Kaspersky Endpoint Detection and Response (KATA).
Cryptocontainer avec un certificat client pour l'intégration avec Kaspersky Endpoint Detection and Response (KATA).
identifiants pour l'autorisation sur le serveur proxy.
Paramètres de fréquence de synchronisation avec le serveur KATA et paramètres de transfert de données vers le serveur KATA.
État de la connexion avec le serveur KATA et informations sur les erreurs de certificat client et de certificat serveur.
Paramètres des tâches reçues des serveurs KATA :
Paramètres de la programmation du lancement des tâches.
Noms et mots de passe des comptes sous lesquels vous souhaitez exécuter des tâches.
Versions de paramètres.
Type de lancement des services.
Noms des services.
Ligne de commande de lancement des processus avec les arguments.
Hachages MD5 et SHA256 des objets.
Chemins d'accès aux objets.
Fichiers IOC.
Paramètres d'isolation qui empêcheront l'appareil de communiquer avec d'autres appareils autres que ceux spécifiés dans les exclusions.
Lors de l'intégration de l'application Kaspersky Endpoint Security avec Kaspersky Endpoint Detection and Response (KATA), l'application Kaspersky Endpoint Security enregistre et peut transférer les données suivantes vers le serveur KATA :
Données des requêtes de synchronisation vers le composant EDR (KATA) :
Identifiant unique.
Partie essentielle de l'adresse Internet du serveur.
Nom du périphérique.
Adresse IP du périphérique.
Adresse MAC du périphérique.
Heure locale sur le périphérique.
Nom et version du système d'exploitation installé sur le périphérique.
Version de Kaspersky Endpoint Security.
Date d'édition des bases de données utilisées de l'application.
État de la licence.
Données extraites des requêtes au composant EDR (KATA) dans les rapports sur les résultats de tâche :
Adresse IP du périphérique.
Identifiant unique.
Partie essentielle de l'adresse Internet du serveur.
Adresse MAC du périphérique.
Erreurs d'exécution des tâches et codes de retour.
États attribués à l'issue des tâches.
Heure d'achèvement de la tâche.
Versions des paramètres d'exécution de la tâche.
Informations sur les processus lancés ou arrêtés sur l'appareil à la demande du serveur : PID et UniquePID, code d'erreur, sommes de hachage MD5 et SHA256 des objets.
Fichiers demandés par le serveur.
Données sur les erreurs d'obtention d'informations sur les objets : le nom complet de l'objet lors du traitement duquel une erreur s'est produite ; code d'erreur.
État de l'application d'isolation du réseau.
Pour les indicateurs IOC, les résultats de la recherche sont renvoyés (si chaque indicateur a fonctionné ou non ; objets trouvés et informations sur la branche de l'indicateur qui a fonctionné).
Pour les objets qui déclenchent des indicateurs IOC, différentes valeurs sont renvoyées selon le type d'indicateurs :
ArpEntry : adresse IP de la table ARP (y compris ipv6), adresse physique de la table ARP.
Fichier : hachage MD5 du fichier, hachage SHA-256 du fichier, nom complet du fichier (y compris le chemin), taille du fichier.
Port : adresse IP à distance et port avec lequel une connexion a été établie au moment de la vérification ; Adresse IP et port de l'adaptateur local ; type de protocole (TCP, UDP, IP, RAWIP).
Processus : nom du processus ; arguments de processus ; chemin d'accès au fichier de processus ; PID système du processus ; PID système du processus parent ; le nom de l'utilisateur au nom duquel le processus est exécuté ; date et heure de début du processus.
SystemInfo : nom du système d'exploitation, version du système d'exploitation, nom réseau d'un appareil sans domaine, domaine ou groupe de travail.
User : nom d'utilisateur.
Données dans les paquets de télémétrie :
Données sur les fichiers :
Identifiant unique du fichier.
Chemin d'accès au fichier.
Nom du fichier.
Taille du fichier.
Attributs de fichier.
Date et heure de création du fichier.
Date et heure de la dernière modification du fichier.
Hachages MD5 et SHA256 de l'objet.
Informations sur l'utilisateur et le groupe propriétaire du fichier (nom et identifiant).
Données sur les processus en cours :
Identifiant unique du fichier du processus.
Paramètres de lancement du processus.
Identifiants du processus.
Identifiant de la session.
Date et heure de lancement du processus.
Informations sur l'utilisateur et le groupe pour le compte duquel le processus est exécuté (nom et identifiant).
Informations sur les menaces détectées et traitées :
Le nom de la menace détectée et la technologie qui a détecté la menace, selon la classification de Kaspersky.
Version des bases de l'application.
L'adresse Internet à partir de laquelle l'objet infecté a été téléchargé.
État de traitement des menaces.
La raison de l'impossibilité d'éliminer la menace.
Identifiant unique du fichier de menace.
Données de modification des fichiers :
Identifiant unique du fichier modifié.
Identifiant unique du processus qui a effectué les modifications.
Informations sur le changement survenu.
Informations sur les modifications apportées au système :
Identifiant unique du processus qui a effectué les modifications.
Informations sur le changement survenu.
Informations sur la connexion de l'utilisateur :
Identifiant de la session.
Informations sur l'utilisateur (nom et identifiant).
Adresse IP de l'appareil à partir duquel la session a été établie.
Données sur la fin des processus : identifiant unique du processus.