使用 Kaspersky Anti Targeted Attack Platform 时提供的数据

将 Kaspersky Endpoint Security 与 Kaspersky Endpoint Detection and Response (KATA)（Kaspersky Anti Targeted Attack Platform 解决方案的一个组件）集成时，Kaspersky Endpoint Security 存储以下内部信息，其中可能包含个人和机密数据：

• KATA 服务器地址
• 用于与 Kaspersky Endpoint Detection and Response (KATA) 集成的服务器证书的公钥
• 用于与 Kaspersky Endpoint Detection and Response (KATA) 集成的带有客户端证书的加密容器
• 用于在代理服务器上进行身份验证的凭据
• 与 KATA 服务器同步的频率设置以及向 KATA 服务器发送数据的设置
• 与 KATA 服务器的连接状态以及有关客户端证书和服务器证书错误的信息
• 从 KATA 服务器接收的任务设置：
  • 任务启动计划设置
  • 必须被用于启动任务的账户名称和密码
  • 设置的版本
  • 服务启动类型
  • 服务名称
  • 用于启动进程的命令行（包括参数）
  • 对象的 MD5 和 SHA256 哈希
  • 对象的路径
  • IOC 文件
• 隔离设置，根据该设置，设备将被阻止连接到除排除项中指定的设备以外的其他设备

将 Kaspersky Endpoint Security 与 Kaspersky Endpoint Detection and Response (KATA) 集成时，Kaspersky Endpoint Security 会存储以下信息并可能将其发送到 KATA 服务器：

• 对 EDR (KATA) 组件的同步请求的信息：
  • 唯一标识符
  • 服务器地址的基本部分
  • 设备名称
  • 设备的 IP 地址
  • 设备的 MAC 地址
  • 设备上的本地时间
  • 设备上安装的操作系统的名称和版本
  • Kaspersky Endpoint Security 的版本
  • 正在使用的应用程序数据库的发布日期
  • 授权许可状态
• 任务执行报告中对 EDR (KATA) 组件的请求信息：
  • 设备的 IP 地址
  • 唯一标识符
  • 服务器地址的基本部分
  • 设备的 MAC 地址
  • 任务执行错误和返回代码
  • 任务完成状态
  • 任务完成时间
  • 使用的任务设置版本
  • 有关应服务器请求在设备上启动或停止的进程的信息：PID 和 UniquePID、错误代码、对象的 MD5 和 SHA256 校验和
  • 服务器请求的文件
  • 获取对象信息时的错误信息：已处理但有错误的对象的全称；错误代码
  • 网络隔离状态
  • 对于 IOC，扫描结果返回（是否检测到每个指标、找到的对象以及检测到指标的哪个分支的信息）。
  • 对于在其中检测到 IOC 的对象，根据指标类型返回不同的值：
    • ArpEntry：ARP 表中的 IP 地址（包括 ipv6），ARP 表中的物理地址。
    • 文件：文件的 MD5 哈希值、文件的 SHA256 哈希值、完整文件名（包括路径）、文件大小。
    • 端口：扫描时用于建立连接的远程 IP 地址和端口；本地适配器的 IP 地址和端口；协议类型（TCP、UDP、IP、RAWIP）。
    • 进程：进程名称；进程参数；进程文件的路径；进程的系统 PID；父进程的系统 PID；启动进程的用户名；进程开始的日期和时间。
    • SystemInfo：操作系统名称；操作系统版本；没有域的设备的网络名称；域或工作组。
    • 用户：用户名。
• 遥测数据包中的数据：
  • 有关文件的信息：
    • 文件的唯一 ID
    • 文件路径
    • 文件名
    • 文件大小
    • 文件属性
    • 文件的创建日期和时间
    • 文件的最后修改日期和时间
    • 对象的 MD5 和 SHA256 哈希值
    • 有关拥有该文件的用户和组的信息（名称和 ID）
  • 有关正在运行的进程的信息：
    • 进程文件的唯一 ID
    • 启动该进程的命令行选项
    • 进程 ID
    • 会话 ID
    • 进程启动的日期和时间
    • 启动进程的用户和组的信息（名称和 ID）
  • 有关被检测到并处理的威胁的信息：
    • 根据卡巴斯基分类，检测到的威胁的名称以及检测到威胁的技术。
    • 应用程序数据库版本
    • 从其下载感染对象的网址。
    • 威胁处理状态。
    • 威胁无法消除的原因。
    • 威胁文件的唯一 ID
  • 文件修改数据：
    • 被修改文件的唯一 ID
    • 做出更改的进程的唯一 ID
    • 有关修改的信息
  • 有关系统变化的数据：
    • 做出更改的进程的唯一 ID
    • 有关发生的变化的信息
  • 用户登录信息：
    • 会话 ID
    • 用户信息（名称和 ID）
    • 从其建立会话的设备的 IP 地址
  • 有关正在被终止的进程的数据：进程的唯一 ID。

此处列出的信息也可以保存在跟踪文件和转储中。

页面顶部