- Kaspersky Endpoint Security 12.1 for Linux 帮助
- Kaspersky Endpoint Security 12.1 for Linux
- 新增功能
- 准备安装 Kaspersky Endpoint Security
- Kaspersky Endpoint Security 的安装和初始配置
- 从先前的版本更新应用程序
- 卸载应用程序
- 应用程序授权
- 数据提供
- 应用程序管理理念
- 启动和停止应用程序
- 查看设备的保护状态和有关应用程序性能的信息
- 应用程序激活和授权许可密钥管理
- 更新应用程序数据库和模块
- 文件威胁防护
- 恶意软件扫描
- 关键区域扫描
- 可移动驱动器扫描
- 容器扫描
- 防火墙管理
- Web 威胁防护
- 加密连接扫描
- 网络威胁防护
- 针对远程恶意加密的防护
- 管理被阻止的设备
- 应用程序控制
- 清查
- 设备控制
- Web 控制
- 系统完整性监控
- 行为检测
- 使用卡巴斯基安全网络
- 高级应用程序设置
- 备份
- 与 Detection and Response 解决方案集成
- 关于 Detection and Response 解决方案命令的响应操作
- Kaspersky Endpoint Detection and Response (KATA) 集成
- Kaspersky Endpoint Detection and Response Optimum 集成
- 集成 Kaspersky Managed Detection and Response
- 配置在 Light Agent 模式下使用应用程序的设置
- 查看事件和报告
- 应用程序组件完整性检查
- 通过图形用户界面进行应用程序管理
- Kaspersky Endpoint Security 容器应用程序(KESL 容器)
- 联系技术支持
- 附录
- 附录 1.资源消耗优化
- 附录 2.用于管理 Kaspersky Endpoint Security 的命令
- 附录 3.配置文件和默认应用程序设置
- 编辑应用程序任务配置文件的规则
- 预设配置文件
- 默认命令行任务设置
- File_Threat_Protection 任务(ID:1)的默认设置
- Scan_My_Computer 任务(ID:2)的默认设置
- Scan_File 任务(ID:3)的默认设置
- Critical_Areas_Scan 任务(ID:4)的默认设置
- Update 任务(ID:6)的默认设置
- Backup 任务(ID:10)的默认设置
- System_Integrity_Monitoring 任务(ID:11)的默认设置
- Firewall_Management 任务(ID:12)的默认设置
- Anti_Cryptor 任务(ID:13)的默认设置
- Web_Threat_Protection 任务(ID:14)的默认设置
- Device_Control 任务(ID:15)的默认设置
- Removable_Drives_Scan 任务(ID:16)的默认设置
- Network_Threat_Protection 任务(ID:17)的默认设置
- Container_Scan 任务(ID:18)和 Custom_Container_Scan(ID:19)任务的默认设置
- Behavior_Detection 任务(ID:20)的默认设置
- Application_Control 任务(ID:21)的默认设置
- Inventory_Scan 任务(ID:22)的默认设置
- KATAEDR 任务(ID:24)的默认设置
- Web_Control 任务(ID:26)的默认设置
- 常规应用程序设置
- 常规容器扫描设置
- 加密连接扫描设置
- 任务计划设置
- 附录 4.命令行返回代码
- 附录 5.配置与 Kaspersky Anti-Virus for Linux Mail Server 的交互
- 有关 Kaspersky Endpoint Security 的信息来源
- 术语表
- 有关第三方代码信息
- 商标声明
数据提供 > 使用 Kaspersky Anti Targeted Attack Platform 时提供的数据
使用 Kaspersky Anti Targeted Attack Platform 时提供的数据
使用 Kaspersky Anti Targeted Attack Platform 时提供的数据
将 Kaspersky Endpoint Security 与 Kaspersky Endpoint Detection and Response (KATA)(Kaspersky Anti Targeted Attack Platform 解决方案的一个组件)集成时,Kaspersky Endpoint Security 存储以下内部信息,其中可能包含个人和机密数据:
- KATA 服务器地址
- 用于与 Kaspersky Endpoint Detection and Response (KATA) 集成的服务器证书的公钥
- 用于与 Kaspersky Endpoint Detection and Response (KATA) 集成的带有客户端证书的加密容器
- 用于在代理服务器上进行身份验证的凭据
- 与 KATA 服务器同步的频率设置以及向 KATA 服务器发送数据的设置
- 与 KATA 服务器的连接状态以及有关客户端证书和服务器证书错误的信息
- 从 KATA 服务器接收的任务设置:
- 任务启动计划设置
- 必须被用于启动任务的账户名称和密码
- 设置的版本
- 服务启动类型
- 服务名称
- 用于启动进程的命令行(包括参数)
- 对象的 MD5 和 SHA256 哈希
- 对象的路径
- IOC 文件
- 隔离设置,根据该设置,设备将被阻止连接到除排除项中指定的设备以外的其他设备
将 Kaspersky Endpoint Security 与 Kaspersky Endpoint Detection and Response (KATA) 集成时,Kaspersky Endpoint Security 会存储以下信息并可能将其发送到 KATA 服务器:
- 对 EDR (KATA) 组件的同步请求的信息:
- 唯一标识符
- 服务器地址的基本部分
- 设备名称
- 设备的 IP 地址
- 设备的 MAC 地址
- 设备上的本地时间
- 设备上安装的操作系统的名称和版本
- Kaspersky Endpoint Security 的版本
- 正在使用的应用程序数据库的发布日期
- 授权许可状态
- 任务执行报告中对 EDR (KATA) 组件的请求信息:
- 设备的 IP 地址
- 唯一标识符
- 服务器地址的基本部分
- 设备的 MAC 地址
- 任务执行错误和返回代码
- 任务完成状态
- 任务完成时间
- 使用的任务设置版本
- 有关应服务器请求在设备上启动或停止的进程的信息:PID 和 UniquePID、错误代码、对象的 MD5 和 SHA256 校验和
- 服务器请求的文件
- 获取对象信息时的错误信息:已处理但有错误的对象的全称;错误代码
- 网络隔离状态
- 对于 IOC,扫描结果返回(是否检测到每个指标、找到的对象以及检测到指标的哪个分支的信息)。
- 对于在其中检测到 IOC 的对象,根据指标类型返回不同的值:
- ArpEntry:ARP 表中的 IP 地址(包括 ipv6),ARP 表中的物理地址。
- 文件:文件的 MD5 哈希值、文件的 SHA256 哈希值、完整文件名(包括路径)、文件大小。
- 端口:扫描时用于建立连接的远程 IP 地址和端口;本地适配器的 IP 地址和端口;协议类型(TCP、UDP、IP、RAWIP)。
- 进程:进程名称;进程参数;进程文件的路径;进程的系统 PID;父进程的系统 PID;启动进程的用户名;进程开始的日期和时间。
- SystemInfo:操作系统名称;操作系统版本;没有域的设备的网络名称;域或工作组。
- 用户:用户名。
- 遥测数据包中的数据:
- 有关文件的信息:
- 文件的唯一 ID
- 文件路径
- 文件名
- 文件大小
- 文件属性
- 文件的创建日期和时间
- 文件的最后修改日期和时间
- 对象的 MD5 和 SHA256 哈希值
- 有关拥有该文件的用户和组的信息(名称和 ID)
- 有关正在运行的进程的信息:
- 进程文件的唯一 ID
- 启动该进程的命令行选项
- 进程 ID
- 会话 ID
- 进程启动的日期和时间
- 启动进程的用户和组的信息(名称和 ID)
- 有关被检测到并处理的威胁的信息:
- 根据卡巴斯基分类,检测到的威胁的名称以及检测到威胁的技术。
- 应用程序数据库版本
- 从其下载感染对象的网址。
- 威胁处理状态。
- 威胁无法消除的原因。
- 威胁文件的唯一 ID
- 文件修改数据:
- 被修改文件的唯一 ID
- 做出更改的进程的唯一 ID
- 有关修改的信息
- 有关系统变化的数据:
- 做出更改的进程的唯一 ID
- 有关发生的变化的信息
- 用户登录信息:
- 会话 ID
- 用户信息(名称和 ID)
- 从其建立会话的设备的 IP 地址
- 有关正在被终止的进程的数据:进程的唯一 ID。
- 有关文件的信息:
文章 ID: 277040, 上次审阅: 2024年10月24日