Todos os dados que o aplicativo armazena localmente são excluídos do computador quando o Kaspersky Endpoint Security é desinstalado.
Dados de serviço
O agente integrado do Kaspersky Endpoint Security armazena os seguintes dados localmente:
Arquivos processados e dados inseridos pelo usuário durante a configuração do agente integrado do Kaspersky Endpoint Security:
Arquivos na Quarentena
Configurações do agente integrado do Kaspersky Endpoint Security:
Chave pública do certificado usada para integração com o nó central
Dados da licença
Dados necessários para integração com o nó central:
Fila de pacotes de eventos de telemetria
Cache de identificadores de arquivo IOC recebidos a partir do nó central
Objetos a serem passados para o servidor na tarefa Obter o arquivo
Os relatórios de resultados da tarefa Obter perícia
Dados em solicitações ao KATA (EDR)
Ao fazer a integração com a Kaspersky Anti Targeted Attack Platform, os seguintes dados são armazenados localmente no computador:
Solicitações dos dados do agente integrado do Kaspersky Endpoint Security ao componente Central Node:
Em solicitações de sincronização:
ID único
Parte básica do endereço da Web do servidor
Nome do computador
Endereço IP do computador
Endereço MAC do computador
Hora local no computador
Status de autodefesa do Kaspersky Endpoint Security
Nome e versão do sistema operacional instalado no computador
Versão do Kaspersky Endpoint Security
Versões das configurações do aplicativo e configurações de tarefas
Status de tarefas: identificadores de tarefas, status de execução, códigos de erro
Nas solicitações de obtenção de arquivos do servidor:
Identificadores exclusivos de arquivos
Identificador exclusivo do Kaspersky Endpoint Security
Identificadores exclusivos de certificados
Parte básica do endereço da Web do servidor com o componente Central Node instalado
Endereço IP do host
Nos relatórios sobre os resultados da execução da tarefa:
Endereço IP do host
Informações sobre os objetos detectados durante uma verificação de IOC ou verificação YARA
Sinais das ações adicionais realizadas após a conclusão das tarefas
Erros de execução de tarefas e códigos de retorno
Status de conclusão da tarefa
Tempo de conclusão da tarefa
Versões das configurações usadas para a execução de tarefas
Informações sobre os objetos enviados ao servidor, objetos em quarentena e objetos restaurados da quarentena: caminhos para objetos, hashes MD5 e SHA256, identificadores de objetos em quarentena
Informações sobre os processos iniciados ou interrompidos em um computador na solicitação do servidor: PID e UniquePID, código de erro, hashes MD5 e SHA256 dos objetos
Informações sobre os serviços iniciados ou interrompidos em um computador na solicitação do servidor: nome do serviço, tipo de inicialização, código de erro, hashes MD5 e SHA256 de imagens de arquivo dos serviços
Informações sobre os objetos para os quais um despejo de memória foi feito por uma verificação YARA (caminhos, identificador de arquivo de despejo)
Arquivos solicitados pelo servidor
Pacotes de telemetria
Dados sobre processos em execução:
Nome do arquivo executável, inclusive caminho completo e extensão
Parâmetros de execução automática do processo
ID do processo
ID da sessão de login
Nome da sessão de login
Data e hora de início do processo
Hashes MD5 e SHA256 do objeto
Dados nos arquivos:
Caminho do arquivo
Nome do arquivo
Tamanho do arquivo
Atributos do arquivo
Data e hora de criação do arquivo
Data e hora em que o arquivo foi modificado pela última vez
Descrição do arquivo
Nome da empresa
Hashes MD5 e SHA256 do objeto
Chave do registro (para pontos de execução automática)
Dados de erros que ocorrem quando as informações sobre os objetos foram recuperadas:
Nome completo do objeto que foi processado quando ocorreu um erro
Código do erro
Dados de telemetria:
Endereço IP do host
Tipo de dados no registro antes da operação de atualização confirmada
Dados na chave do registro antes da operação de alteração confirmada
O texto do script processado ou parte dele
Tipo do objeto processado
Maneira de enviar um comando para o interpretador de comandos
Dados das solicitações do componente do nó central para o agente integrado do Kaspersky Endpoint Security:
Configurações da tarefa:
Tipo de tarefa
Configurações do agendamento de tarefas
Nomes e senhas das contas nas quais as tarefas podem ser executadas
Versões de configurações
Identificadores de objetos em quarentena
Caminhos para o objetos
Hashes MD5 e SHA256 dos objetos
Linha de comando para iniciar o processo com os argumentos
Sinais das ações adicionais realizadas após a conclusão das tarefas
Identificadores de arquivo IOC a serem recuperados do servidor
Arquivos IOC
Nome do serviço
Tipo de inicialização do serviço
Pastas para as quais os resultados da tarefa Obter perícia devem ser recebidos
Máscaras dos nomes dos objetos e extensões para a tarefa Obter perícia
Configurações de isolamento de rede:
Tipos de configurações
Versões de configurações
Listas de exclusões de isolamento de rede e configurações de exclusão: direção do tráfego, endereços IP, portas, protocolos e caminhos completos para arquivos executáveis
Sinais das ações adicionais
Tempo de desativação do isolamento automático
Configurações de prevenção de execução
Tipos de configurações
Versões de configurações
Listas de regras de prevenção de execução e configurações de regras: caminhos para objetos, tipos de objetos, hashes MD5 e SHA256 de objetos
Sinais das ações adicionais
Configurações de filtragem de eventos:
Nomes dos módulos
Caminhos completos para objetos
Hashes MD5 e SHA256 dos objetos
Identificadores das entradas no log de eventos do Windows
Configurações de certificado digital
Direção do tráfego, endereços IP, portas, protocolos, caminhos completos para arquivos executáveis
Nomes de usuário
Tipos de login de usuário
Tipos de eventos de telemetria para os quais os filtros são aplicados
Dados nos resultados da verificação YARA
O agente integrado do Kaspersky Endpoint Security transfere automaticamente os resultados da verificação YARA para a Kaspersky Anti Targeted Attack Platform para criar uma cadeia de evolução de ameaças.
Os dados são temporariamente armazenados em fila local para enviar os resultados da execução da tarefa para o servidor da Kaspersky Anti Targeted Attack Platform. Os dados são excluídos do armazenamento temporário depois de enviados.
Os resultados da verificação YARA contêm os seguintes dados:
Hashes MD5 e SHA256 do arquivo
Nome completo do arquivo
Caminho do arquivo
Tamanho do arquivo
Nome do processo
Argumentos do processo
Caminho para o arquivo do processo
Identificador do Windows (PID) do processo
Identificador do Windows (PID) do processo principal