Данные, предоставляемые при интеграции с компонентом Kaspersky Endpoint Detection and Response Expert (on-premise)

При интеграции приложения Kaspersky Endpoint Security с решением Kaspersky Endpoint Detection and Response Expert (on-premise) приложение Kaspersky Endpoint Security сохраняет следующую информацию, которая может содержать персональные и конфиденциальные данные:

• Адреса серверов, обеспечивающих интеграцию с Kaspersky Endpoint Detection and Response Expert (on-premise).
• Открытый ключ сертификата сервера, обеспечивающего интеграцию с Kaspersky Endpoint Detection and Response Expert (on-premise).
• Сертификат клиента для интеграции с Kaspersky Endpoint Detection and Response Expert (on-premise).
• Учетные данные для авторизации на прокси-сервере.
• Параметры частоты синхронизации с сервером, обеспечивающим интеграцию с Kaspersky Endpoint Detection and Response Expert (on-premise), и параметры передачи данных на сервер.
• Статус соединения с сервером, обеспечивающим интеграцию с Kaspersky Endpoint Detection and Response Expert (on-premise), и сведения об ошибках сертификата клиента и сертификата сервера.
• Параметры задач, поступающих от серверов, обеспечивающих интеграцию с Kaspersky Endpoint Detection and Response Expert (on-premise):
  • Параметры расписания запуска задач.
  • Имена и пароли учетных записей, под которыми требуется запускать задачи.
  • Версии параметров.
  • Тип запуска служб.
  • Названия служб.
  • Командную строку запуска процесса с аргументами.
  • MD5 и SHA256-хеши объектов.
  • Пути к объектам.
  • IOC-файлы.
• Параметры изоляции, в соответствии с которыми устройству будет запрещено осуществлять соединение с другими устройствами, кроме указанных в исключениях.

При интеграции приложения Kaspersky Endpoint Security с Kaspersky Endpoint Detection and Response Expert (on-premise) приложение сохраняет и может передавать серверу, обеспечивающему интеграцию, следующие данные:

• Данные из запросов на синхронизацию к компоненту EDR Expert (on-premise):
  • Уникальный идентификатор.
  • Базовую часть веб-адреса сервера.
  • Имя устройства.
  • IP-адрес устройства.
  • MAC-адрес устройства.
  • Локальное время на устройстве.
  • Название и версию операционной системы, установленной на устройстве.
  • Версию Kaspersky Endpoint Security.
  • Дату выпуска используемых баз приложения.
  • Статус лицензионного ключа.
• Данные из запросов к компоненту EDR Expert (on-premise) в отчетах о результатах выполнения задач:
  • IP-адрес устройства.
  • Уникальный идентификатор.
  • Базовую часть веб-адреса сервера.
  • MAC-адрес устройства.
  • Ошибки выполнения задач и коды возврата.
  • Статусы, с которыми завершались задачи.
  • Время завершения задач.
  • Версии параметров, с которыми выполнялись задачи.
  • Информацию о процессах, запущенных или остановленных на устройстве по запросу сервера: PID и UniquePID, код ошибки, хеш-суммы MD5 и SHA256 объектов.
  • Файлы, запрошенные сервером.
  • Данные об ошибках получения информации об объектах: полное имя объекта, при обработке которого возникла ошибка; код ошибки.
  • Статус применения сетевой изоляции.
  • Для индикаторов IOC возвращаются результаты поиска (сработал или не сработал каждый индикатор; найденные объекты и информация о том, какая ветка индикатора сработала).
  • Для правил YARA возвращаются результаты поиска (сработало или не сработало правило, найденные объекты и информация о том, какое правило сработало).
  • Для объектов, вызвавших срабатывания индикаторов IoC, правил Yara, возвращаются разные значения в зависимости от типа:
    • ArpEntry: IP-адрес из ARP-таблицы (в том числе ipv6), физический адрес из ARP-таблицы.
    • File: MD5-хеш файла, SHA-256-хеш файла, полное имя файла (включая путь), размер файла.
    • Port: удаленный IP-адрес и порт, с которым в момент проверки установлено соединение; IP-адрес и порт локального адаптера; тип протокола (TCP, UDP, IP, RAWIP).
    • Process: имя процесса; аргументы процесса; путь к файлу процесса; системный PID процесса; системный PID родительского процесса; имя пользователя, от имени которого запущен процесс; дата и время запуска процесса.
    • SystemInfo: имя ОС, версия ОС, сетевое имя устройства без домена, домен или рабочая группа.
    • User: имя пользователя.
  • Для объектов, помещенных на карантин:
    • Путь к файлу.
    • Размер файла.
    • Идентификаторы файла, присвоенные ему при помещении на карантин.
    • Флаг об удалении оригинального файла.
  • Для файлов, полученных, восстановленных или удаленных из карантина:
    • Идентификаторы файла, присвоенные ему при помещении на карантин.
  • Для запрещенных запусков исполняемых файлов или скриптов:
    • Идентификатор процесса.
    • Идентификатор родительского процесса.
    • Системный идентификатор.
    • Идентификатор сеанса входа в систему.
    • Состояние процесса.
    • Дата и время перехвата запуска.
  • Для запрещенных открытий документов с помощью офисных приложений:
    • Идентификатор процесса.
    • Идентификатор файла.
    • Дата и время перехвата запуска.
  • Перечень файлов в указанной директории:
    • Имя файла.
    • Абсолютный путь к файлу.
    • Размер файла.
    • Тип файла.
    • Имя и идентификатор владельца и группы владельца.
    • Права доступа к файлу.
    • Специальные флаги файловой системы, распространяемые на каждый файл.
    • Метаданные о файле.
    • Количество жестких ссылок на файл.
    • Время создания, изменения и последнего доступа к файлу.
  • Перечень запущенных процессов на устройстве:
    • Имя процесса.
    • Время запуска процесса.
    • Статус процесса.
    • Идентификатор процесса (PID) и идентификатор родительского процесса.
    • Текущая рабочая директория процесса.
    • Параметры запуска процесса.
    • Переменные окружения.
    • Путь к исполняемому файлу процесса.
    • Идентификатор сессии пользователя, запустившего процесс.
    • Идентификатор пользователя и группы, запустивших процесс.
    • Идентификатор пользователя и группы, с правами которых процесс имеет доступ к файлам и ресурсам в системе.
  • Перечень точек автозапуска:
    • Тип точки автозапуска.
    • Имя файла.
    • Абсолютный путь к файлу.
    • Права доступа к файлу.
    • Специальные флаги файловой системы, распространяемые на каждый файл.
    • Имя и идентификатор владельца и группы владельца.
    • Время создания, изменения и последнего доступа к файлу.
  • Образ памяти процесса:
    • Имя процесса.
    • Полный путь к файлу процесса.
    • Файл дампа процесса.
    • Размер файла дампа процесса.
  • Образ памяти устройства: файл дампа оперативной памяти устройства.
  • Образ диска устройства.
• Данные о файлах:
  • Уникальный идентификатор файла.
  • MD5-хеш объекта.
  • Содержимое файла.
• Данные в пакетах телеметрии:
  • Данные о событиях телеметрии:
    • Идентификатор события.
    • Порядковый номер события в последовательности отправляемых пакетов телеметрии.
    • Тип события.
    • Время возникновения события.
  • Информацию о защищаемом устройстве:
    • Имя защищаемого устройства.
    • Идентификатор защищаемого устройства в Kaspersky Security Center.
    • Идентификатор защищаемого устройства в Kaspersky Endpoint Detection and Response Expert (on-premise).
    • Название, версию, семейство операционной системы, установленной на защищаемом устройстве.
    • Время запуска и выключения операционной системы, установленной на защищаемом устройстве.
  • Данные о файлах:
    • Уникальный идентификатор файла.
    • Путь к файлу.
    • Имя файла.
    • Размер файла.
    • Атрибуты файла.
    • Дату и время создания файла.
    • Дату и время последнего изменения файла.
    • MD5 и SHA256-хеши объекта.
    • Информацию о пользователе и группе, владеющих файлом (имя и идентификатор).
  • Данные о запущенных процессах:
    • Идентификатор файла процесса.
    • Идентификатор процесса.
    • Параметры запуска процесса.
    • Идентификатор сессии.
    • Дату и время запуска процесса.
    • Информацию о пользователе и группе, от имени которых запущен процесс (имя и идентификатор).
  • Данные о процессе, получающем доступ к памяти другого процесса:
    • Идентификатор процесса.
    • Метод и адрес внедрения (injection).
    • Командную строку изменения процесса с аргументами.
    • Аргументы системного вызова процесса.
  • Информацию об обнаруженных и обработанных угрозах:
    • Название обнаруженной угрозы и технологии, обнаружившей угрозу, согласно классификации "Лаборатории Касперского".
    • Дату выпуска и версию баз приложения.
    • Веб-адрес, с которого был загружен зараженный объект.
    • Статус обработки угрозы.
    • Причину невозможности устранения угрозы.
    • Уникальный идентификатор файла угрозы.
  • Данные об изменении файлов:
    • Уникальный идентификатор изменившегося файла.
    • Уникальный идентификатор процесса, совершившего изменения.
    • Информацию о произошедшем изменении.
  • Данные об изменениях в системе:
    • Уникальный идентификатор процесса, совершившего изменения.
    • Информация о произошедшем изменении.
  • Информацию о входе пользователя в систему:
    • Идентификатор сессии.
    • Информация о пользователе (имя и идентификатор).
    • IP-адрес устройства, с которого установлена сессия.
  • Данные о завершающихся процессах: уникальный идентификатор процесса.
  • Информацию о загрузке библиотеки в адресное пространство процесса: идентификатор загруженной библиотеки.
  • Информацию об установлении сетевого соединения:
    • Локальный IP-адрес.
    • Удаленный IP-aдрес.
    • Направление соединения.
    • Протокол.
  • Информацию о процессе, который "прослушивает" внешние сетевые соединения на определенном порту:
    • Локальный адрес (порт и IP-адрес).
    • Протокол.
  • Информацию об обращении к DNS-серверу:
    • Доменное имя запрашиваемого ресурса.
    • IP-адреса запрашиваемого ресурса.
    • IP-адрес DNS-сервера.
    • Тип запроса.
  • Информацию о подключаемых внешних устройствах:
    • Тип операции (подключение устройства).
    • Тип устройства.
    • Уникальный идентификатор устройства.
    • Имя устройства.
    • Путь к устройству.
  • Информация о приложении и о его модулях:
    • Версию приложения.
    • Время установки, запуска, остановки и удаления приложения.
    • Инициатор действия над приложением.
    • Причина остановки приложения в случае внештатной остановки.
    • Коды возврата в случае внештатной остановки.
  • Информацию о взаимодействии с планировщиками задач (создание и удаление задач):
    • Имя задачи.
    • Путь к команде, которая выполняется по расписанию.
    • Расписание запуска задачи.
    • Имя учетной записи пользователя, создавшего задачу.
    • Имя учетной записи, от имени которой запускается задача.
    • Имя учетной записи пользователя, удалившего задачу.
  • Информацию о создании, удалении и изменении службы:
    • Имя службы (в том числе предыдущее в случае изменения).
    • Тип службы (в том числе предыдущий в случае изменения).
    • Путь к исполняемому файлу (в том числе предыдущий в случае изменения).
    • Зависимости службы (в том числе предыдущие в случае изменения).
    • Имя учетной записи, от имени которой запускается служба (в том числе предыдущее в случае изменения).
    • Отображаемое имя службы (в том числе предыдущее в случае изменения).
    • Имя учетной записи пользователя, создавшего, удалившего или изменившего службу.
    • Признак отложенного удаления.
  • Информацию о вводе в консоль:
    • Идентификатор и тип процесса, инициировавшего ввод в консоль.
    • Содержимое ввода в консоль.
  • Информацию о смонтированных устройствах:
    • Системное имя тома.
    • Точка монтирования.
  • Информацию об изменении в памяти процесса:
    • Аргументы системного вызова процесса.
    • Информация о процессе, осуществившем внедрение кода, и о его родительском процессе.
      • Идентификатор процесса и уникальный идентификатор процесса и родительского процесса.
      • Командная строка, из которой был запущен процесс и родительский процесс.
      • Переменные окружения процесса.
      • Вид учетной записи пользователя, от имени которого был запущен процесс и родительский процесс.
      • Системный вызов, с помощью которого был создан процесс.
      • Идентификатор пользователя и группы, запустивших процесс.
      • Имя и полное имя процесса и родительского процесса.
      • Полный путь к процессу и родительскому процессу.
      • MD5 и SHA256-хеши процесса и родительского процесса.
      • Идентификатор сессии.
      • Имя, доменное имя и идентификатор пользователя, запустившего процесс и родительский процесс.
    • Информация о процессе, через который был загружен процесс, осуществивший внедрение кода.
      • Уникальный идентификатор процесса, через который был загружен процесс.
      • Имя и полное имя файла, через который был загружен процесс.
      • Полный путь к процессу, через который был загружен процесс.
      • MD5-хеш процесса, через который был загружен процесс.
    • Информация о процессе, являющемся инициатором процесса.
      • Идентификатор процесса и уникальный идентификатор процесса, являющегося инициатором процесса.
      • Командная строка процесса, являющегося инициатором процесса.
      • Имя и доменное имя пользователя, запустившего процесс, являющийся инициатором процесса.
      • Имя и полное имя процесса, являющегося инициатором процесса.
      • Полный путь к процессу, являющемуся инициатором процесса.
      • MD5 и SHA256-хеши процесса, являющегося инициатором процесса.

Также указанная информация может сохраняться в файлах трассировки и файлах дампов.

В начало