Kaspersky Endpoint Security для Windows 11.10.0
Русский

Содержание

[Topic 202578]

Предоставление данных в рамках Лицензионного соглашения

Если для активации Kaspersky Endpoint Security применяется код активации, с целью проверки правомерности использования приложения вы соглашаетесь периодически передавать в автоматическом режиме в "Лабораторию Касперского" следующую информацию:

  • тип, версию и локализацию Kaspersky Endpoint Security;
  • версии установленных обновлений Kaspersky Endpoint Security;
  • идентификатор компьютера и идентификатор установки Kaspersky Endpoint Security на компьютере;
  • серийный номер и идентификатор активного ключа;
  • тип, версию и разрядность операционной системы, название виртуальной среды, если приложение Kaspersky Endpoint Security установлено в виртуальной среде;
  • идентификаторы компонентов Kaspersky Endpoint Security, активных на момент предоставления информации.

"Лаборатория Касперского" может также использовать эту информацию для формирования статистической информации о распространении и использовании программного обеспечения "Лаборатории Касперского".

Используя код активации, вы соглашаетесь на автоматическую передачу данных, перечисленных выше. Если вы не согласны предоставлять эту информацию "Лаборатории Касперского", для активации Kaspersky Endpoint Security следует использовать файл ключа.

Принимая условия Лицензионного соглашения, вы соглашаетесь передавать в автоматическом режиме следующую информацию:

  • При обновлении Kaspersky Endpoint Security:
    • версию Kaspersky Endpoint Security;
    • идентификатор Kaspersky Endpoint Security;
    • активный ключ;
    • уникальный идентификатор запуска задачи обновления;
    • уникальный идентификатор установки Kaspersky Endpoint Security.
  • При переходе по ссылкам из интерфейса Kaspersky Endpoint Security:
    • версию Kaspersky Endpoint Security;
    • версию операционной системы;
    • дату активации Kaspersky Endpoint Security;
    • дату окончания действия лицензии;
    • дату создания ключа;
    • дату установки Kaspersky Endpoint Security;
    • идентификатор Kaspersky Endpoint Security;
    • идентификатор обнаруженной уязвимости операционной системы;
    • идентификатор последнего установленного обновления для Kaspersky Endpoint Security;
    • хеш обнаруженного файла, представляющего угрозу, и название этого объекта по классификации "Лаборатории Касперского";
    • категорию ошибки активации Kaspersky Endpoint Security;
    • код ошибки активации Kaspersky Endpoint Security;
    • количество дней до истечения срока годности ключа;
    • количество дней, прошедших с момента добавления ключа;
    • количество дней, прошедших с момента окончания срока действия лицензии;
    • количество компьютеров, на которые распространяется действующая лицензия;
    • активный ключ;
    • срок действия лицензии Kaspersky Endpoint Security;
    • текущий статус лицензии;
    • тип действующей лицензии;
    • тип приложения;
    • уникальный идентификатор запуска задачи обновления;
    • уникальный идентификатор установки Kaspersky Endpoint Security на компьютере;
    • язык интерфейса Kaspersky Endpoint Security.

Полученная информация защищается "Лабораторией Касперского" в соответствии с установленными законом требованиями и действующими правилами "Лаборатории Касперского". Данные передаются по зашифрованным каналам связи.

Более подробную информацию о получении, обработке, хранении и уничтожении информации об использовании приложения после принятия Лицензионного соглашения и согласия с Положением о Kaspersky Security Network вы можете узнать, прочитав тексты этих документов, а также на веб-сайте "Лаборатории Касперского". Файлы license.txt и ksn_<ID языка>.txt с текстами Лицензионного соглашения и Положения о Kaspersky Security Network входят в комплект поставки приложения.

В начало
[Topic 127996]

Предоставление данных при использовании Kaspersky Security Network

Набор данных, которые Kaspersky Endpoint Security передает в "Лабораторию Касперского", зависят от типа лицензии и параметров использования Kaspersky Security Network.

Использование KSN по лицензии не более чем на 4 компьютера

Принимая Положение о Kaspersky Security Network, вы соглашаетесь передавать в автоматическом режиме следующую информацию:

  • информацию об обновлении конфигурации KSN: идентификатор действующей конфигурации, идентификатор полученной конфигурации, код ошибки обновления конфигурации;
  • информацию о проверяемых файлах и URL-адресах: контрольные суммы проверяемого файла (MD5, SHA2-256, SHA1) и паттернов файла (MD5), размер паттерна, тип обнаруженной угрозы и ее название согласно классификации Правообладателя, идентификатор антивирусных баз, URL-адрес, по которому запрашивается репутация, а также URL-адрес страницы, с которой осуществлен переход на проверяемый URL-адрес, идентификатор протокола соединения и номер используемого порта;
  • идентификатор задачи проверки, в которой обнаружена угроза;
  • информацию об используемых цифровых сертификатах, необходимую для проверки их подлинности: контрольные суммы (SHA256) сертификата, которым подписан проверяемый объект, и открытого ключа сертификата;
  • идентификатор компонента ПО, выполняющего сканирование;
  • идентификаторы антивирусных баз и записей в антивирусных базах;
  • информацию об активации ПО на Компьютере: подписанный заголовок тикета от службы активации (идентификатор регионального центра активации, контрольную сумму кода активации, контрольную сумму тикета, дату создания тикета, уникальный идентификатор тикета, версию тикета, статус лицензии, дату и время начала / окончания действия тикета, уникальный идентификатор лицензии, версию лицензии), идентификатор сертификата, которым подписан заголовок тикета, контрольную сумму (MD5) файла ключа;
  • информацию о ПО Правообладателя: полную версию, тип, версию используемого протокола соединения с сервисами "Лаборатории Касперского".

Использование KSN по лицензии на 5 компьютеров и более

Принимая Положение о Kaspersky Security Network, вы соглашаетесь передавать в автоматическом режиме следующую информацию:

Если флажок Kaspersky Security Network установлен, а флажок Включить расширенный режим KSN снят, приложение передает следующую информацию:

  • информацию об обновлении конфигурации KSN: идентификатор действующей конфигурации, идентификатор полученной конфигурации, код ошибки обновления конфигурации;
  • информацию о проверяемых файлах и URL-адресах: контрольные суммы проверяемого файла (MD5, SHA2-256, SHA1) и паттернов файла (MD5), размер паттерна, тип обнаруженной угрозы и ее название согласно классификации Правообладателя, идентификатор антивирусных баз, URL-адрес, по которому запрашивается репутация, а также URL-адрес страницы, с которой осуществлен переход на проверяемый URL-адрес, идентификатор протокола соединения и номер используемого порта;
  • идентификатор задачи проверки, в которой обнаружена угроза;
  • информацию об используемых цифровых сертификатах, необходимую для проверки их подлинности: контрольные суммы (SHA256) сертификата, которым подписан проверяемый объект, и открытого ключа сертификата;
  • идентификатор компонента ПО, выполняющего сканирование;
  • идентификаторы антивирусных баз и записей в антивирусных базах;
  • информацию об активации ПО на Компьютере: подписанный заголовок тикета от службы активации (идентификатор регионального центра активации, контрольную сумму кода активации, контрольную сумму тикета, дату создания тикета, уникальный идентификатор тикета, версию тикета, статус лицензии, дату и время начала / окончания действия тикета, уникальный идентификатор лицензии, версию лицензии), идентификатор сертификата, которым подписан заголовок тикета, контрольную сумму (MD5) файла ключа;
  • информацию о ПО Правообладателя: полную версию, тип, версию используемого протокола соединения с сервисами "Лаборатории Касперского".

Если в дополнение к флажку Kaspersky Security Network установлен флажок Включить расширенный режим KSN, приложение дополнительно к перечисленному выше передает следующую информацию:

  • информацию о результатах категоризации запрашиваемых веб-ресурсов, которая содержит проверяемый URL-адрес и IP-адрес хоста, версию компонента ПО, выполнившего категоризацию, способ категоризации и набор категорий, определенных для веб-ресурса;
  • информацию об установленном на Компьютере программном обеспечении: название программного обеспечения и его производителей, используемые ключи реестра и их значения, информацию о файлах компонентов установленного программного обеспечения (контрольные суммы (MD5, SHA2-256, SHA1), имя, путь к файлу на Компьютере, размер, версию и цифровую подпись);
  • информацию о состоянии антивирусной защиты Компьютера: версии, даты и время выпуска используемых антивирусных баз, идентификатор задачи и идентификатор ПО, выполняющего сканирование;
  • информацию о загружаемых Пользователем файлах: URL- и IP-адреса, откуда была выполнена загрузка, и URL-адрес страницы, с которой был выполнен переход на страницу загрузки файла, идентификатор протокола загрузки и номер порта соединения, признак вредоносности адресов, атрибуты и размер файла и его контрольные суммы (MD5, SHA2-256, SHA1), информацию о процессе, загрузившем файл (контрольные суммы (MD5, SHA2-256, SHA1), дата и время создания и линковки, признак нахождения в автозапуске, атрибуты, имена упаковщиков, информация о подписи, признак исполняемого файла, идентификатор формата, тип учетной записи, от имени которой был запущен процесс), информацию о файле процесса (имя, путь к файлу и размер), имя файла, путь к файлу на Компьютере, цифровая подпись файла и информация о выполнении подписи, URL-адрес, на котором произошло обнаружение, номер скрипта на странице, оказавшегося подозрительным или вредоносным;
  • информацию о запускаемых приложениях и их модулях: данные о запущенных процессах в системе (идентификатор процесса в системе (PID), имя процесса, данные об учетной записи, от которой запущен процесс, приложению и команде, запустившей процесс, а также признак доверенности приложения или процесса, полный путь к файлам процесса и их контрольные суммы (MD5, SHA2-256, SHA1), командная строка запуска, уровень целостности процесса, описание продукта, к которому относится процесс (название продукта и данные об издателе), а также данные об используемых цифровых сертификатах и информацию, необходимую для проверки их подлинности, или данные об отсутствии цифровой подписи файла), также информацию о загружаемых в процессы модулях (имя, размер, тип, дата создания, атрибуты, контрольные суммы (MD5, SHA2-256, SHA1), путь), информация заголовка PE-файлов, названия упаковщика (если файл был упакован);
  • информацию обо всех потенциально вредоносных объектах и действиях: название детектируемого объекта и полный путь к объекту на Компьютере, контрольные суммы обрабатываемых файлов (MD5, SHA2-256, SHA1), дата и время обнаружения, названия и размер обрабатываемых файлов и пути к ним, код шаблона пути, признак исполняемого файла, признак, является ли объект контейнером, названия упаковщика (если файл был упакован), код типа файла, идентификатор формата файла, идентификаторы антивирусных баз и записей в антивирусных базах, на основании которых было вынесено решение ПО, признак потенциально вредоносного объекта, название обнаруженной угрозы согласно классификации Правообладателя, степень опасности, статус и способ обнаружения, причина включения в анализируемый контекст и порядковый номер файла в контексте, контрольные суммы (MD5, SHA2-256, SHA1), имя и атрибуты исполняемого файла приложения, через которое прошло зараженное сообщение или ссылка, IP-адреса (IPv4 и IPv6) хоста заблокированного объекта, энтропия файла, признак нахождения файла в автозапуске, время первого обнаружения файла в системе, количество запусков файла с момента последней отправки статистик, тип компилятора, информация о названии, контрольных суммах (MD5, SHA2-256, SHA1) и размере почтового клиента, через который был получен вредоносный объект, идентификатор задачи ПО, которое выполнило проверку, признак проверки репутации или подписи файла, результаты статического анализа содержимого объекта, паттерны объекта, размер паттерна в байтах, технические характеристики по применяемым технологиям детектирования;
  • информацию о проверенных объектах: присвоенную группу доверия, в которую помещен и/или из которой перемещен файл, причина, по которой файл помещен в данную категорию, идентификатор категории, информация об источнике категорий и версии базы категорий, признак наличия у файла доверенного сертификата, название производителя файла, версия файла, имя и версия приложения, частью которого является файл;
  • информацию об обнаруженных уязвимостях: идентификатор уязвимости в базе уязвимостей, класс опасности уязвимости;
  • информацию о выполнении эмуляции исполняемого файла: размер файла и его контрольные суммы (MD5, SHA2-256, SHA1), версия компонента эмуляции, глубина эмуляции, вектор характеристик логических блоков и функций внутри логических блоков, полученный в ходе эмуляции, данные из структуры PE-заголовка исполняемого файла;
  • информацию о сетевых атаках: IP-адреса атакующего компьютера (IPv4 и IPv6), номер порта Компьютера, на который была направлена сетевая атака, идентификатор протокола IP-пакета, в котором зафиксирована атака, цель атаки (название организации, веб-сайт), флаг реакции на атаку, весовой уровень атаки, значение уровня доверия;
  • информацию об атаках, связанных с подменой сетевых ресурсов, DNS- и IP-адреса (IPv4 или IPv6) посещаемых веб-сайтов;
  • DNS- и IP-адреса (IPv4 или IPv6) запрашиваемого веб-ресурса, информацию о файле и веб-клиенте, обращающемся к веб-ресурсу: название, размер, контрольные суммы (MD5, SHA2-256, SHA1) файла, полный путь к нему и код шаблона пути, результат проверки его цифровой подписи и его статус в KSN;
  • информацию о выполнении отката деятельности вредоносного приложения: данные о файле, активность которого откатывается (имя файла, полный путь к нему, его размер и контрольные суммы (MD5, SHA2-256, SHA1)), данные об успешных и неуспешных действиях по удалению, переименованию и копированию файлов и восстановлению значений в реестре (имена ключей реестра и их значения), информация о системных файлах, измененных вредоносным приложением, до и после выполнения отката;
  • информацию об исключениях для правил компонента Адаптивный контроль аномалий: идентификатор и статус сработавшего правила, действие ПО при срабатывании правила, тип учетной записи, от имени которой процесс или поток выполняет подозрительные действия, информацию о процессе, выполнившем подозрительные действия, и о процессе, в отношении которого были выполнены подозрительные действия (идентификатор скрипта или имя файла процесса, полный путь к файлу процесса, код шаблона пути, контрольные суммы (MD5, SHA2-256, SHA1) файла процесса), информацию об объекте, от имени которого были выполнены подозрительные действия, и об объекте, в отношении которого были выполнены подозрительные действия (название ключа реестра или имя файла, полный путь к файлу, код шаблона пути и контрольные суммы (MD5, SHA2-256, SHA1) файла);
  • информацию о загружаемых ПО модулях: название, размер и контрольные суммы (MD5, SHA2-256, SHA1) файла модуля, полный путь к нему и код шаблона пути, параметры цифровой подписи файла модуля, дата и время создания подписи, название субъекта и организации, подписавших файл модуля, идентификатор процесса, в который был загружен модуль, название поставщика модуля, порядковый номер модуля в очереди загрузки;
  • информацию о качестве работы ПО с сервисами KSN: дату и время начала и окончания периода формирования статистики, информацию о качестве запросов и соединения с каждым из используемых сервисов KSN (идентификатор сервиса KSN, количество успешных запросов, количество запросов с ответами из кеша, количество неуспешных запросов (сетевые проблемы, выключен KSN в параметрах ПО, неправильная маршрутизация), распределение по времени успешных запросов, распределение по времени отмененных запросов, распределение по времени запросов, превысивших ограничение на время ожидания, количество подключений к KSN, взятых из кеша, количество успешных подключений к KSN, количество неуспешных подключений к KSN, количество успешных транзакций, количество неуспешных транзакций, распределение по времени успешных подключений к KSN, распределение по времени неуспешных подключений к KSN, распределение по времени успешных транзакций, распределение по времени неуспешных транзакций);
  • в случае обнаружения потенциально вредоносного объекта предоставляется информация о данных в памяти процессов: элементы иерархии системных объектов (ObjectManager), данные памяти UEFI BIOS, названия ключей реестра и их значения;
  • информацию о событиях в системных журналах: время события, название журнала, в котором обнаружено событие, тип и категория события, название источника события и его описание;
  • информацию о сетевых соединениях: версия и контрольные суммы (MD5, SHA2-256, SHA1) файла процесса, открывшего порт, путь к файлу процесса и его цифровая подпись, локальный и удаленный IP-адреса, номера локального и удаленного портов соединения, состояние соединения, время открытия порта;
  • информацию о дате установки и активации ПО на Компьютере: идентификатор партнера, у которого приобретена лицензия, серийный номер лицензии, подписанный заголовок тикета от службы активации (идентификатор регионального центра активации, контрольную сумму кода активации, контрольную сумму тикета, дату создания тикета, уникальный идентификатор тикета, версию тикета, статус лицензии, дату и время начала / окончания действия тикета, уникальный идентификатор лицензии, версию лицензии), идентификатор сертификата, которым подписан заголовок тикета, контрольную сумму (MD5) файла ключа, уникальный идентификатор установки ПО на Компьютере, тип и идентификатор обновляемого приложения, идентификатор задачи обновления;
  • информацию о наборе всех установленных обновлений, а также о наборе последних установленных и/или удаленных обновлений, тип события, служащего причиной отправки информации об обновлениях, период времени, прошедший после установки последнего обновления, информацию о загруженных в момент предоставления информации антивирусных базах;
  • информацию о работе ПО на Компьютере: данные по использованию процессора (CPU), данные по использованию памяти (Private Bytes, Non-Paged Pool, Paged Pool), количество активных потоков в процессе ПО и потоков в состоянии ожидания, длительность работы ПО до возникновения ошибки, признак работы ПО в интерактивном режиме;
  • количество дампов ПО и дампов системы (BSOD) с момента установки ПО и с момента последнего обновления, идентификатор и версия модуля ПО, в котором произошел сбой, стек памяти в продуктовом процессе и информация об антивирусных базах в момент сбоя;
  • данные о дампе системы (BSOD): признак возникновения BSOD на Компьютере, имя драйвера, вызвавшего BSOD, адрес и стек памяти в драйвере, признак длительности сессии ОС до возникновения BSOD, стек памяти падения драйвера, тип сохраненного дампа памяти, признак того, что сессия работы ОС до BSOD длилась более 10 минут, уникальный идентификатор дампа, дата и время возникновения BSOD;
  • данные об ошибках или проблемах с производительностью, возникших в работе компонентов ПО: идентификатор состояния ПО, тип, код и причина ошибки, а также время ее возникновения, идентификаторы компонента, модуля и процесса продукта, в котором возникла ошибка, идентификатор задачи или категории обновления, при выполнении которой возникла ошибка, логи драйверов, используемых ПО (код ошибки, имя модуля, имя исходного файла и строка, где произошла ошибка);
  • данные об обновлениях антивирусных баз и компонент ПО: имена, даты и время индексных файлов, загруженных в результате последнего обновления и загружаемых в текущем обновлении;
  • информацию об аварийных завершениях работы ПО: дату и время создания дампа, его тип, тип события, вызвавшего аварийное завершение работы ПО (непредвиденное отключение питания, падение приложения стороннего правообладателя), дату и время непредвиденного отключения питания;
  • информацию о совместимости драйверов ПО с аппаратным и программным обеспечением: информацию о свойствах ОС, накладывающих ограничения на функциональность компонентов ПО (Secure Boot, KPTI, WHQL Enforce, BitLocker, Case Sensitivity), тип встроенного ПО загрузки (UEFI, BIOS), признак наличия доверенного платформенного модуля (Trusted Platform Module, TPM), версия спецификации TPM, информацию об установленном на компьютере центральном процессоре (CPU), режим и параметры работы Code Integrity и Device Guard, режим работы драйверов и причина использования текущего режима, версию драйверов ПО, статус поддержки драйверами программных и аппаратных средств виртуализации Компьютера;
  • информацию о сторонних приложениях, вызвавших ошибку: их название, версию и локализацию, код ошибки и информацию о ней из системного журнала приложений, адрес возникновения ошибки и стек памяти стороннего приложения, признак возникновения ошибки в компоненте ПО, длительность работы стороннего приложения до возникновения ошибки, контрольные суммы (MD5, SHA2-256, SHA1) образа процесса приложения, в котором произошла ошибка, путь к этому образу процесса приложения и код шаблона пути, информацию из системного журнала ОС с описанием ошибки, связанной с приложением, информацию о модуле приложения, в котором произошла ошибка (идентификатор ошибки, адрес ошибки как смещение в модуле, имя и версию модуля, идентификатор падения приложения в плагине Правообладателя и стек памяти такого падения, время работы приложения до сбоя);
  • версию компонента обновления ПО, количество аварийных завершений работы компонента обновления ПО при выполнении задач обновления за время работы компонента, идентификатор типа задачи обновления, количество неуспешных завершений задач обновления компонента обновления ПО;
  • информацию о работе компонентов мониторинга системы: полные версии компонентов, дату и время запуска компонентов, код события, которое переполнило очередь событий, и количество таких событий, общее количество переполнений очереди событий, информация о файле процесса-инициатора события (название файла и путь к нему на Компьютере, код шаблона пути, контрольные суммы (MD5, SHA2-256, SHA1) процесса, связанного с файлом, версия файла), идентификатор выполненного перехвата события, полная версия фильтра перехвата, идентификатор типа перехваченного события, размер очереди событий и количество событий между первым событием в очереди и текущим событием, количество просроченных событий в очереди, информация о процессе-инициаторе текущего события (название файла процесса и путь к нему на Компьютере, код шаблона пути, контрольные суммы (MD5, SHA2-256, SHA1) процесса), время обработки события, максимально допустимое время обработки событий, значение вероятности отправки данных, информацию о событиях ОС, время обработки которых ПО превысило ограничение на время ожидания (дата и время получения события, количество повторных инициализаций антивирусных баз, дату и время последней повторной инициализации антивирусных баз после их обновления, время задержки обработки события каждым компонентом мониторинга системы, количество ожидающих событий, количество обработанных событий, количество задержанных событий текущего типа, суммарное время задержки событий текущего типа, суммарное время задержки всех событий);
  • информацию от инструмента трассировки событий Windows (Event Tracing for Windows, ETW) при проблемах с производительностью ПО, поставщики событий SysConfig / SysConfigEx / WinSATAssessment от Microsoft: данные о компьютере (модель, производитель, форм-фактор корпуса, версия), данные о метриках производительности Windows (данные WinSAT-оценки, индекс производительности Windows), имя домена, данные о физических и логических процессорах (количество физических и логических процессоров, производитель, модель, степпинг, количество ядер, тактовая частота, идентификатор процессора (CPUID), характеристики кэша, характеристики логического процессора, признаки поддержки режимов и инструкций), данные о модулях оперативной памяти (тип, форм-фактор, производитель, модель, объем, гранулярность выделения памяти), данные о сетевых интерфейсах (IP- и MAC-адреса, название, описание, конфигурация сетевых интерфейсов, распределение числа и объема сетевых пакетов по типам, скорость сетевого обмена, распределение числа сетевых ошибок по типам), конфигурацию IDE-контроллера, IP-адреса DNS-серверов, данные о видеокарте (модель, описание, производитель, совместимость, объем видеопамяти, разрешение экрана, количество бит на пиксель, версия BIOS), данные о подключенных самонастраиваемых (Plug-and-Play) устройствах (название, описание, идентификатор устройства [PnP, ACPI], данные о дисках и накопителях (количество дисков или флеш-накопителей, производитель, модель, объем диска, число цилиндров, число дорожек на цилиндр, число секторов на дорожку, объем сектора, характеристики кэша, порядковый номер, число разделов, конфигурация контролера SCSI), данные о логических дисках (порядковый номер, объем раздела, объем тома, буква тома, тип раздела, тип файловой системы, количество кластеров, размер кластера, число секторов в кластере, число занятых и свободных кластеров, буква загрузочного тома, адрес-смещение раздела относительно начала диска), данные о BIOS материнской платы (производитель, дата выпуска, версия), данные о материнской плате (производитель, модель, тип), данные о физической памяти (общий и свободный объем), данные о службах операционной системы (имя, описание, статус, тег, данные о процессах [имя и идентификатор PID]), параметры энергопотребления компьютера, конфигурацию контролера прерываний, пути к системным папкам Windows (Windows и System32), данные об ОС (версия, сборка, дата выпуска, название, тип, дата установки), размер файла подкачки, данные о мониторах (количество, производитель, разрешение экрана, разрешающая способность, тип), данные о драйвере видеокарты (производитель, дата выпуска, версия);
  • информацию от ETW, поставщики событий EventTrace / EventMetadata от Microsoft: данные о последовательности системных событий (тип, время, дата, часовой пояс), метаданные о файле с результатами трассировки (имя, структура, параметры трассировки, распределение числа операций трассировки по типам), данные об ОС (название, тип, версия, сборка, дата выпуска, время старта);
  • информацию от ETW, поставщики событий Process / Microsoft-Windows-Kernel-Process / Microsoft-Windows-Kernel-Processor-Power от Microsoft: данные о запускаемых и завершаемых процессах (имя, идентификатор PID, параметры старта, командная строка, код возврата, параметры управления питанием, время запуска и завершения, тип маркера доступа, идентификатор безопасности SID, идентификатор сеанса SessionID, число установленных дескрипторов), данные об изменении приоритетов потоков (идентификатор потока TID, приоритет, время), данные о дисковых операциях процесса (тип, время, объем, число), история изменения структуры и объема используемой процессом памяти;
  • информацию от ETW, поставщики событий StackWalk / Perfinfo от Microsoft: данные счетчиков производительности (производительность отдельных участков кода, последовательность вызовов функций, идентификатор процесса PID, идентификатор потока TID, адреса и атрибуты обработчиков прерываний ISR и отложенных вызовов процедур DPC);
  • информацию от ETW, поставщик событий KernelTraceControl-ImageID от Microsoft: данные об исполняемых файлах и динамических библиотеках (имя, размер образа, полный путь), данные о PDB-файлах (имя, идентификатор), данные ресурса VERSIONINFO исполняемого файла (название, описание, производитель, локализация, версия и идентификатор приложения, версия и идентификатор файла);
  • информацию от ETW, поставщики событий FileIo / DiskIo / Image / Windows-Kernel-Disk от Microsoft: данные о файловых и дисковых операциях (тип, объем, время начала, время завершения, длительность, статус завершения, идентификатор процесса PID, идентификатор потока TID, адреса вызовов функций драйвера, пакет запроса ввода-вывода (I/O Request Packet, IRP), атрибуты файлового объекта Windows), данные о файлах, участвующих в файловых и дисковых операциях (имя, версия, размер, полный путь, атрибуты, смещение, контрольная сумма образа, опции открытия и доступа);
  • информацию от ETW, поставщик событий PageFault от Microsoft: данные об ошибках доступа к страницам памяти (адрес, время, объем, идентификатор процесса PID, идентификатор потока TID, атрибуты файлового объекта Windows, параметры выделения памяти);
  • информацию от ETW, поставщик событий Thread от Microsoft: данные о создании / завершении потоков, данные о запущенных потоках (идентификатор процесса PID, идентификатор потока TID, размер стека, приоритеты и распределение ресурсов CPU, ресурсов ввода-вывода, страниц памяти между потоками, адрес стека, адрес начальной функции, адрес блока окружения потока (Thread Environment Block, TEB), тег службы Windows);
  • информацию от ETW, поставщик событий Microsoft-Windows-Kernel-Memory от Microsoft: данные об операциях управления памятью (статус завершения, время, количество, идентификатор процесса PID), структура распределения памяти (тип, объем, идентификатор сеанса SessionID, идентификатор процесса PID);
  • информацию о работе ПО при появлении проблем с производительностью: идентификатор установки ПО, тип и значение снижения производительности, данные о последовательности внутренних событий ПО (время, часовой пояс, тип, статус завершения, идентификатор компонента ПО, идентификатор сценария работы ПО, идентификатор потока TID, идентификатор процесса PID, адреса вызовов функций), данные о проверяемых сетевых соединениях (URL, направление соединения, размер сетевого пакета), данные о PDB-файлах (имя, идентификатор, размер образа исполняемого файла), данные о проверяемых файлах (имя, полный путь, контрольная сумма), параметры мониторинга производительности ПО;
  • информацию о неуспешной последней перезагрузке ОС: количество неуспешных перезагрузок с момента установки ОС, данные о дампе системы (код и параметры ошибки, имя, версия и контрольная сумма (CRC32) модуля, вызвавшего ошибку в работе ОС, адрес ошибки как смещение в модуле, контрольные суммы (MD5, SHA2-256, SHA1) дампа системы);
  • информацию для проверки подлинности сертификатов, которыми подписаны файлы: отпечаток сертификата, алгоритм вычисления контрольной суммы, публичный ключ и серийный номер сертификата, имя эмитента сертификата, результат проверки сертификата и идентификатор базы сертификатов;
  • информацию о процессе, выполняющем атаку на самозащиту ПО: имя и размер файла процесса, его контрольные суммы (MD5, SHA2-256, SHA1), полный путь к нему и код шаблона пути, даты и время создания и компоновки файла процесса, код типа файла процесса, признак исполняемого файла, атрибуты файла процесса, информацию о сертификате, которым подписан файл процесса, тип учетной записи, от имени которой процесс или поток выполняет подозрительные действия, идентификатор операций, которые осуществлялись для доступа к процессу, тип ресурса, с которым выполняется операция (процесс, файл, объект реестра, поиск окна с помощью функции FindWindow), имя ресурса, с которым выполняется операция, признак успешности выполнения операции, статус файла процесса и его подписи в KSN;
  • информацию о ПО Правообладателя: полную версию, тип, локализацию и статус работы используемого ПО, версии установленных компонентов ПО и статус их работы, данные об установленных обновлениях ПО, а также значение фильтра TARGET, версию используемого протокола соединения с сервисами Правообладателя;
  • информацию об установленном на Компьютере аппаратном обеспечении: тип, название, модель, версию прошивки, характеристики встроенных и подключенных устройств, уникальный идентификатор Компьютера, на котором установлено ПО;
  • информацию о версии установленной на Компьютере операционной системы (ОС) и установленных пакетов обновлений, разрядность, редакцию и параметры режима работы ОС, версию и контрольные суммы (MD5, SHA2-256, SHA1) файла ядра ОС, дату и время запуска OC;
  • исполняемые и неисполняемые файлы целиком или частично;
  • участки оперативной памяти Компьютера;
  • сектора, участвующие в процессе загрузки операционной системы;
  • пакеты данных сетевого трафика;
  • веб-страницы и электронные письма, содержащие подозрительные и вредоносные объекты;
  • описание классов и экземпляров классов WMI хранилища;
  • отчеты об активностях приложений:
    • имя, размер и версия отправляемого файла, его описание и контрольные суммы (MD5, SHA2-256, SHA1), идентификатор формата, название его производителя, название продукта, к которому относится файл, полный путь к файлу на Компьютере и код шаблона пути, дата и время создания и модификации файла;
    • даты и время начала и окончания срока действия сертификата, если отправляемый файл имеет ЭЦП, дата и время подписания, имя эмитента сертификата, информация о владельце сертификата, отпечаток и открытый ключ сертификата и алгоритмы их вычисления, серийный номер сертификата;
    • имя учетной записи, от которой запущен процесс;
    • контрольные суммы (MD5, SHA2-256, SHA1) имени Компьютера, на котором запущен процесс;
    • заголовки окон процесса;
    • идентификатор антивирусных баз, название обнаруженной угрозы согласно классификации Правообладателя;
    • информацию об установленной в ПО лицензии, идентификатор лицензии, ее тип и дата истечения;
    • локальное время Компьютера в момент предоставления информации;
    • имена и пути к файлам, к которым получал доступ процесс;
    • имена ключей реестра и их значения, к которым получал доступ процесс;
    • URL- и IP-адреса, к которым обращался процесс;
    • URL- и IP-адреса, с которых был получен запускаемый файл.
В начало
[Topic 165983]

Предоставление данных при использовании решений Detection and Response

На компьютерах с установленным приложением Kaspersky Endpoint Security хранятся данные, подготовленные для автоматической отправки на серверы решений Kaspersky Endpoint Detection and Response и Kaspersky Sandbox. Файлы хранятся на компьютерах в открытом незашифрованном виде.

Конкретный состав данных зависит от решения, в составе которого используется Kaspersky Endpoint Security.

В этом разделе

Kaspersky Endpoint Detection and Response

Kaspersky Sandbox
В начало
[Topic 249456]

Kaspersky Endpoint Detection and Response

Все данные, которые приложение хранит локально на компьютере, будут удалены с компьютера при удалении Kaspersky Endpoint Security.

Данные о результатах выполнения задачи Поиск IOC (стандартная задача)

Kaspersky Endpoint Security автоматически передает данные о результатах выполнения задач Поиск IOC в Kaspersky Security Center.

Данные в результатах выполнения задач Поиск IOC могут содержать следующую информацию:

  • IP-адрес из ARP-таблицы.
  • Физический адрес из ARP-таблицы.
  • Тип и имя записи DNS.
  • IP-адрес защищаемого компьютера.
  • Физический адрес (MAC) защищаемого компьютера.
  • Идентификатор записи в журнале событий.
  • Имя источника данных в журнале.
  • Имя журнала.
  • Время события.
  • MD5 и SHA256-хеши файла.
  • Полное имя файла (включая путь).
  • Размер файла.
  • Удаленные IP-адрес и порт, с которыми было установлено соединение в момент проверки.
  • IP-адрес локального адаптера.
  • Порт, открытый на локальном адаптере.
  • Протокол в виде числа (в соответствии со стандартом IANA).
  • Имя процесса.
  • Аргументы процесса.
  • Путь к файлу процесса.
  • Windows идентификатор процесса (PID).
  • Windows идентификатор родительского процесса (PID).
  • Имя учетной записи пользователя, запустившего процесс.
  • Дата и время запуска процесса.
  • Имя службы.
  • Описание службы.
  • Путь и имя DLL-службы (для svchost).
  • Путь и имя исполняемого файла службы.
  • Windows идентификатор службы (PID).
  • Тип службы (например, драйвер ядра или адаптер).
  • Статус службы.
  • Режим запуска службы.
  • Имя учетной записи пользователя.
  • Наименование тома.
  • Буква тома.
  • Тип тома.
  • Значение реестра Windows.
  • Значение куста реестра.
  • Путь к ключу реестра (без куста и без имени значения).
  • Параметр реестра.
  • Система (окружение).
  • Имя и версия операционной системы, установленной на компьютере.
  • Сетевое имя защищаемого компьютера.
  • Домен или группа, к которому принадлежит защищаемый компьютер.
  • Имя браузера.
  • Версия браузера.
  • Время последнего обращения к веб-ресурсу.
  • URL из HTTP-запроса.
  • Имя учетной записи, под которой выполнен HTTP-запрос.
  • Имя файла процесса, выполнившего HTTP-запрос.
  • Полный путь к файлу процесса, выполнившего HTTP-запрос.
  • Windows идентификатор (PID) процесса, выполнившего HTTP-запрос.
  • HTTP referer (URL источника HTTP-запроса).
  • URI ресурса, запрошенного по протоколу HTTP.
  • Информация о HTTP агенте пользователя (приложении, выполнившем HTTP-запрос).
  • Время выполнения HTTP-запроса.
  • Уникальный идентификатор процесса, выполнившего HTTP-запрос.

Данные для построения цепочки развития угрозы

Данные для построения цепочки развития угрозы по умолчанию хранятся семь дней. Эти данные автоматически передаются в Kaspersky Security Center.

Данные для построения цепочки развития угрозы могут содержать следующую информацию:

  • Дата и время инцидента.
  • Имя обнаружения.
  • Режим проверки.
  • Статус последнего действия, связанного с обнаружением.
  • Причина неудачной обработки обнаружения.
  • Тип обнаруженного объекта.
  • Имя обнаруженного объекта.
  • Статус угрозы после обработки объекта.
  • Причина неудачного выполнения действий над объектом.
  • Действия, выполняемые для отката вредоносных действий.
  • Об обрабатываемом объекте:
    • Уникальный идентификатор процесса.
    • Уникальный идентификатор родительского процесса.
    • Уникальный идентификатор файла процесса.
    • Идентификатор процесса Windows (PID).
    • Командная строка процесса.
    • Имя учетной записи пользователя, запустившего процесс.
    • Код сеанса входа в систему, в котором запущен процесс.
    • Тип сеанса, в котором запущен процесс.
    • Уровень целостности обрабатываемого процесса.
    • Принадлежность учетной записи пользователя, запустившего процесс, к привилегированным локальным и доменным группам.
    • Идентификатор обрабатываемого объекта.
    • Полное имя обрабатываемого объекта.
    • Идентификатор защищаемого устройства.
    • Полное имя объекта (имя локального файла или веб-адрес загружаемого файла).
    • MD5 и SHA256-хеши обрабатываемого объекта.
    • Тип обрабатываемого объекта.
    • Дата создания обрабатываемого объекта.
    • Дата последнего изменения обрабатываемого объекта.
    • Размер обрабатываемого объекта.
    • Атрибуты обрабатываемого объекта.
    • Организация, подписавшая обрабатываемый объект.
    • Результат проверки цифрового сертификата обрабатываемого объекта.
    • Идентификатор безопасности (SID) обрабатываемого объекта.
    • Идентификатор часового пояса обрабатываемого объекта.
    • Веб-адрес загрузки обрабатываемого объекта (только для файла на диске).
    • Название приложения, загрузившего файл.
    • MD5 и SHA256-хеши приложения, загрузившего файл.
    • Название приложения, последний раз изменившего файл.
    • MD5 и SHA256-хеши приложения, последний раз изменившего файл.
    • Количество запусков обрабатываемого объекта.
    • Дата и время первого запуска обрабатываемого объекта.
    • Уникальный идентификатор файла.
    • Полное имя файла (имя локального файла или веб-адрес загружаемого файла).
    • Путь к обрабатываемой переменной реестра Windows.
    • Имя обрабатываемой переменной реестра Windows.
    • Значение обрабатываемой переменной реестра Windows.
    • Тип обрабатываемой переменной реестра Windows.
    • Показатель принадлежности обрабатываемого ключа реестра к точке автозапуска.
    • Веб-адрес обрабатываемого веб-запроса.
    • Источник ссылок обрабатываемого веб-запроса.
    • Агент пользователя обрабатываемого веб-запроса.
    • Тип обрабатываемого веб-запроса (GET или POST).
    • Локальный IP-порт для обрабатываемого веб-запроса.
    • Удаленный IP-порт для обрабатываемого веб-запроса.
    • Направление соединения (входящее или исходящее) обрабатываемого веб-запроса.
    • Идентификатор процесса, в который произошло внедрение вредоносного кода.
В начало
[Topic 249504]

Kaspersky Sandbox

Все данные, которые приложение хранит локально на компьютере, будут удалены с компьютера при удалении Kaspersky Endpoint Security.

Служебные данные

Kaspersky Endpoint Security хранит следующие данные, обрабатываемые при автоматическом реагировании:

  • Обрабатываемые файлы и данные, передаваемые пользователем в ходе настройки параметров встроенного агента Kaspersky Endpoint Security:
    • Файлы на карантине.
    • Открытый ключ сертификата для интеграции с Kaspersky Sandbox.
  • Кеш встроенного агента Kaspersky Endpoint Security:
    • Время записи результата проверки в кеш.
    • MD5-хеш задачи проверки.
    • Идентификатор задачи проверки.
    • Результат проверки объекта.
  • Очередь запросов на проверку объекта:
    • Идентификатор объекта в очереди.
    • Время помещения объекта в очередь.
    • Статус обработки объекта в очереди.
    • Идентификатор пользовательской сессии в операционной системе, в которой создана задача на проверку объекта.
    • Системный идентификатор (SID) пользователя операционной системы, под учетной записью которого создана задача.
    • MD5-хеш задачи проверки объекта.
  • Информация о задачах, для которых встроенный агент Kaspersky Endpoint Security ожидает результат проверки от Kaspersky Sandbox:
    • Время получения задачи на проверку объекта.
    • Статус обработки объекта.
    • Идентификатор пользовательской сессии в операционной системе, в которой создана задача на проверку объекта.
    • Идентификатор задачи на проверку объекта.
    • MD5-хеш задачи проверки объекта.
    • Системный идентификатор (SID) пользователя операционной системы, под учетной записью которого создана задача.
    • XML-схема автоматически созданного IOC.
    • MD5 и SHA256-хеши проверяемого объекта.
    • Ошибки обработки.
    • Имена объектов, для которых создана задача.
    • Результат проверки объекта.

Данные из запросов к Kaspersky Sandbox

Следующие данные из запросов от встроенного агента Kaspersky Endpoint Security к Kaspersky Sandbox хранятся локально на компьютере:

  • MD5-хеш задачи проверки.
  • Идентификатор задачи проверки.
  • Проверяемый объект и все связанные с ним файлы.

Данные о результатах выполнения задачи Поиск IOC (автономная задача)

Kaspersky Endpoint Security автоматически передает данные о результатах выполнения задач Поиск IOC в Kaspersky Security Center.

Данные в результатах выполнения задач Поиск IOC могут содержать следующую информацию:

  • IP-адрес из ARP-таблицы.
  • Физический адрес из ARP-таблицы.
  • Тип и имя записи DNS.
  • IP-адрес защищаемого компьютера.
  • Физический адрес (MAC) защищаемого компьютера.
  • Идентификатор записи в журнале событий.
  • Имя источника данных в журнале.
  • Имя журнала.
  • Время события.
  • MD5 и SHA256-хеши файла.
  • Полное имя файла (включая путь).
  • Размер файла.
  • Удаленные IP-адрес и порт, с которыми было установлено соединение в момент проверки.
  • IP-адрес локального адаптера.
  • Порт, открытый на локальном адаптере.
  • Протокол в виде числа (в соответствии со стандартом IANA).
  • Имя процесса.
  • Аргументы процесса.
  • Путь к файлу процесса.
  • Windows идентификатор процесса (PID).
  • Windows идентификатор родительского процесса (PID).
  • Имя учетной записи пользователя, запустившего процесс.
  • Дата и время запуска процесса.
  • Имя службы.
  • Описание службы.
  • Путь и имя DLL-службы (для svchost).
  • Путь и имя исполняемого файла службы.
  • Windows идентификатор службы (PID).
  • Тип службы (например, драйвер ядра или адаптер).
  • Статус службы.
  • Режим запуска службы.
  • Имя учетной записи пользователя.
  • Наименование тома.
  • Буква тома.
  • Тип тома.
  • Значение реестра Windows.
  • Значение куста реестра.
  • Путь к ключу реестра (без куста и без имени значения).
  • Параметр реестра.
  • Система (окружение).
  • Имя и версия операционной системы, установленной на компьютере.
  • Сетевое имя защищаемого компьютера.
  • Домен или группа, к которому принадлежит защищаемый компьютер.
  • Имя браузера.
  • Версия браузера.
  • Время последнего обращения к веб-ресурсу.
  • URL из HTTP-запроса.
  • Имя учетной записи, под которой выполнен HTTP-запрос.
  • Имя файла процесса, выполнившего HTTP-запрос.
  • Полный путь к файлу процесса, выполнившего HTTP-запрос.
  • Windows идентификатор (PID) процесса, выполнившего HTTP-запрос.
  • HTTP referer (URL источника HTTP-запроса).
  • URI ресурса, запрошенного по протоколу HTTP.
  • Информация о HTTP агенте пользователя (приложении, выполнившем HTTP-запрос).
  • Время выполнения HTTP-запроса.
  • Уникальный идентификатор процесса, выполнившего HTTP-запрос.
В начало
[Topic 249509]

Соответствие законодательству Европейского союза (GDPR)

Kaspersky Endpoint Security может передавать данные в "Лабораторию Касперского" при выполнении следующих условий:

  • Использование Kaspersky Security Network.
  • Активация приложения с помощью кода активации.
  • Обновление антивирусных баз и модулей приложения.
  • Переход по ссылкам в интерфейсе приложения.
  • Запись дампов.

Вне зависимости от классификации и территории, откуда данные были получены, "Лаборатория Касперского" использует высокий уровень стандартов защиты данных и применяет правовые, организационные и технические меры, чтобы защитить данные пользователей, гарантировать безопасность и конфиденциальность, а также обеспечить выполнение прав пользователей, гарантированных применимым законодательством. Текст Политики конфиденциальности входит в комплект поставки приложения и доступен на веб-сайте "Лаборатории Касперского".

Перед использованием Kaspersky Endpoint Security ознакомьтесь с описанием передаваемых данных в Лицензионном соглашении и Положении о Kaspersky Security Network. Если в соответствии с вашим локальным законодательством или стандартом данные, передаваемые из Kaspersky Endpoint Security в рамках любого из описанных сценариев, могут быть классифицированы как персональные, вам необходимо обеспечить законность их обработки и получить согласие конечных пользователей на сбор и передачу этих данных.

Более подробную информацию о получении, обработке, хранении и уничтожении информации об использовании приложения после принятия Лицензионного соглашения и согласия с Положением о Kaspersky Security Network вы можете узнать, прочитав тексты этих документов, а также на веб-сайте "Лаборатории Касперского". Файлы license.txt и ksn_<ID языка>.txt с текстами Лицензионного соглашения и Положения о Kaspersky Security Network входят в комплект поставки приложения.

Если вы не хотите предоставлять данные в "Лабораторию Касперского", вы можете выключить передачу данных.

Использование Kaspersky Security Network

Используя Kaspersky Security Network, вы соглашаетесь на автоматическую передачу данных, перечисленных в Положении о Kaspersky Security Network. Если вы не согласны предоставлять эту информацию "Лаборатории Касперского", используйте Локальный KSN или выключите использование KSN. Подробнее о работе Локального KSN см. в документации для Kaspersky Private Security Network.

Активация приложения с помощью кода активации

Используя код активации, вы соглашаетесь на автоматическую передачу данных, перечисленных в Лицензионном соглашении. Если вы не согласны предоставлять эту информацию "Лаборатории Касперского", используйте файл ключа для активации Kaspersky Endpoint Security.

Обновление антивирусных баз и модулей приложения

Используя для обновления серверы "Лаборатории Касперского", вы соглашаетесь на автоматическую передачу данных, перечисленных в Лицензионном соглашении. Информация требуется для проверки правомерности использования приложения Kaspersky Endpoint Security. Если вы не согласны предоставлять эту информацию "Лаборатории Касперского", используйте Kaspersky Security Center для обновления баз или Kaspersky Update Utility.

Переход по ссылкам в интерфейсе приложения

Используя ссылки в интерфейсе приложения, вы соглашаетесь на автоматическую передачу данных, перечисленных в Лицензионном соглашении. Точный перечень данных, передаваемых в каждой конкретной ссылке, зависит от того, где именно расположена ссылка в интерфейсе приложения и какую проблему она призвана решить. Если вы не согласны предоставлять эту информацию "Лаборатории Касперского", используйте упрощенный интерфейс приложения или скройте интерфейс приложения.

Запись дампов

Если вы включили запись дампов, Kaspersky Endpoint Security создаст файл дампа, который будет содержать всю информацию о рабочей памяти процессов приложения на момент создания этого файла.

В начало
[Topic 202579]