Tutti i dati che l'applicazione archivia in locale nel computer vengono eliminati dal computer quando Kaspersky Endpoint Security viene disinstallato.
Dati di servizio
L'agente integrato di Kaspersky Endpoint Security archivia in locale i seguenti dati:
File elaborati e dati immessi dall'utente durante la configurazione dell'agente integrato di Kaspersky Endpoint Security:
File in quarantena
Impostazioni dell'agente integrato di Kaspersky Endpoint Security:
Chiave pubblica del certificato utilizzato per l'integrazione con Central Node
Dati di licenza
Dati richiesti per l'integrazione con Central Node:
Coda di pacchetti di eventi di telemetria
Cache degli identificatori di file IOC ricevuti da Central Node
Oggetti da passare al server all'interno dell'attività Ottieni file
I rapporti dei risultati delle attività di recupero dei dati forensi
Dati nelle richieste a KATA (EDR)
Durante l'integrazione con Kaspersky Anti Targeted Attack Platform, i seguenti dati vengono archiviati in locale nel computer:
Dati provenienti dall'agente integrato delle richieste di Kaspersky Endpoint Security al componente Central Node:
Nelle richieste di sincronizzazione:
ID univoco
Parte di base dell'indirizzo Web del server
Nome del computer
Indirizzo IP del computer
Indirizzo MAC del computer
Ora locale sul computer
Stato di Auto-difesa di Kaspersky Endpoint Security
Nome e versione del sistema operativo installato nel computer
Versione di Kaspersky Endpoint Security
Versioni delle impostazioni dell'applicazione e delle impostazioni delle attività
Stati delle attività: identificatori delle attività, stati di esecuzione, codici di errore
Nelle richieste di recupero di file dal server:
Identificatori univoci dei file
Identificatore univoco di Kaspersky Endpoint Security
Identificatori univoci dei certificati
Parte di base dell'indirizzo Web del server con il componente Central Node installato
Indirizzo IP dell'host
Nei rapporti sui risultati dell'esecuzione delle attività:
Indirizzo IP dell'host
Informazioni sugli oggetti rilevati durante una scansione IOC o YARA
Contrassegni delle azioni aggiuntive eseguite al completamento delle attività
Errori di esecuzione delle attività e codici restituiti
Stati di completamento delle attività
Ora di completamento delle attività
Versioni delle impostazioni utilizzate per l'esecuzione delle attività
Informazioni sugli oggetti inviati al server, oggetti in quarantena e oggetti ripristinati dalla quarantena: percorsi degli oggetti, hash MD5 e SHA256, identificatori degli oggetti in quarantena
Informazioni sui processi avviati o arrestati in un computer su richiesta del server: PID e UniquePID, codice di errore, hash MD5 e SHA256 degli oggetti
Informazioni sui servizi avviati o arrestati in un computer su richiesta del server: nome del servizio, tipo di avvio, codice di errore, hash MD5 e SHA256 delle immagini dei file dei servizi
Informazioni sugli oggetti per i quali è stato creato un dump della memoria per una scansione YARA (percorsi, identificatore del file dump)
File richiesti dal server
Pacchetti di telemetria
Dati sui processi in esecuzione:
Nome del file eseguibile, incluso il percorso completo e l'estensione
Parametri di esecuzione automatica dei processi
ID processo
ID della sessione di accesso
Nome della sessione di accesso
Data e ora in cui è stato avviato il processo
Hash MD5 e SHA256 dell'oggetto
Dati sui file:
Percorso del file
Nome file
Dimensione del file
Attributi del file
Data e ora di creazione del file
Data e ora dell'ultima modifica del file
Descrizione del file
Nome dell'azienda
Hash MD5 e SHA256 dell'oggetto
Chiave del Registro di sistema (per i punti di esecuzione automatica)
Dati negli errori che si verificano quando sono state recuperate le informazioni sugli oggetti:
Nome completo dell'oggetto che è stato elaborato quando si è verificato un errore
Codice di errore
Dati di telemetria:
Indirizzo IP dell'host
Tipo di dati nel Registro di sistema prima dell'operazione di aggiornamento confermata
Dati nella chiave del Registro di sistema prima dell'operazione di modifica confermata
Il testo dello script elaborato o parte di esso
Tipo dell'oggetto elaborato
Modalità di passaggio di un comando all'interprete dei comandi
Dati dalle richieste del componente Central Node all'agente integrato di Kaspersky Endpoint Security:
Impostazioni delle attività:
Tipo di attività
Impostazioni di pianificazione delle attività
Nomi e password degli account con cui è possibile eseguire le attività
Versioni delle impostazioni
Identificatori di oggetti in quarantena
Percorsi degli oggetti
Hash MD5 e SHA256 degli oggetti
Riga di comando per avviare il processo con gli argomenti
Contrassegni delle azioni aggiuntive eseguite al completamento delle attività
Identificatori dei file IOC da recuperare dal server
File IOC
Nome servizio
Tipo di avvio del servizio
Cartelle per cui devono essere ricevuti i risultati dell'attività di recupero dei dati forensi
Maschere dei nomi e delle estensioni degli oggetti per l'attività di recupero dei dati forensi
Impostazioni dell'isolamento di rete:
Tipi di impostazioni
Versioni delle impostazioni
Elenchi di esclusioni dell'isolamento di rete e impostazioni di esclusione: direzione del traffico, indirizzi IP, porte, protocolli e percorsi completi dei file eseguibili
Contrassegni delle azioni aggiuntive
Ora di disabilitazione dell'isolamento automatico
Impostazioni di Prevenzione dell'esecuzione
Tipi di impostazioni
Versioni delle impostazioni
Elenchi di regole di prevenzione dell'esecuzione e impostazioni delle regole: percorsi degli oggetti, tipi di oggetti, hash MD5 e SHA256 degli oggetti
Contrassegni delle azioni aggiuntive
Impostazioni di filtraggio degli eventi:
Nomi dei moduli
Percorsi completi degli oggetti
Hash MD5 e SHA256 degli oggetti
Identificatori delle voci nel registro eventi di Windows
Impostazioni dei certificati digitali
Direzione del traffico, indirizzi IP, porte, protocolli, percorsi completi dei file eseguibili
Nomi utente
Tipi di accesso utente
Tipi di eventi di telemetria per i quali vengono applicati i filtri
Dati nei risultati della scansione YARA
L'agente integrato di Kaspersky Endpoint Security trasferisce automaticamente i risultati della scansione YARA a Kaspersky Anti Targeted Attack Platform per creare una catena di sviluppo delle minacce.
I dati vengono archiviati temporaneamente in locale nella coda per l'invio dei risultati dell'esecuzione dell'attività al server di Kaspersky Anti Targeted Attack Platform. I dati vengono eliminati dalla memoria temporanea una volta inviati.
I risultati della scansione YARA contengono i seguenti dati:
Hash MD5 e SHA256 del file
Nome completo del file
Percorso del file
Dimensione del file
Nome del processo
Argomenti di processo
Percorso del file di processo
Identificatore di Windows (PID) del processo
Identificatore di Windows (PID) del processo entità superiore