Alle Daten, die von der App lokal auf dem Computer gespeichert werden, werden bei der Deinstallation von Kaspersky Endpoint Security vom Computer gelöscht.
Dienstdaten
Der integrierte Agent von Kaspersky Endpoint Security speichert die folgenden Daten lokal:
Verarbeitete Dateien und Daten, die vom Benutzer während der Konfiguration des integrierten Agenten von Kaspersky Endpoint Security eingegeben wurden:
Dateien in Quarantäne
Einstellungen des integrierten Agenten von Kaspersky Endpoint Security:
Öffentlicher Schlüssel des Zertifikats, das für die Integration mit Central Node verwendet wird
Lizenzdaten
Daten, die zur Integration mit Central Node erforderlich sind:
Warteschlange für Telemetrie-Ereignispakete
Cache der vom Central Node empfangenen IOC-Datei-IDs
Objekte, die im Rahmen der Aufgabe Datei abrufen an den Server übertragen werden
Die Berichte mit Ergebnissen der Aufgabe Forensische Daten abrufen
Daten in Anfragen an KATA (EDR)
Bei der Integration mit Kaspersky Anti Targeted Attack Platform werden die folgenden Daten lokal auf dem Computer gespeichert:
Daten aus Anfragen des integrierten Agenten von Kaspersky Endpoint Security an die Komponente "Central Node":
Bei Synchronisationsanfragen:
Eindeutige ID
Grundlegender Teil der Webadresse der Servers
Computername
IP-Adresse des Computers
MAC-Adresse des Computers
Lokale Zeit auf dem Computer
Status des Selbstschutzes von Kaspersky Endpoint Security
Name und Version des auf dem Computer installierten Betriebssystems
Version von Kaspersky Endpoint Security
Versionen der App-Einstellungen und Aufgabeneinstellungen
Bei Anfragen zum Abrufen von Dateien von dem Server:
Eindeutige IDs von Dateien
Eindeutige ID von Kaspersky Endpoint Security
Eindeutige IDs von Zertifikaten
Grundlegender Teil der Webadresse des Servers mit installierter Central Node-Komponente
Host-IP-Adresse
In den Berichten über die Ergebnisse der Aufgabenausführung:
Host-IP-Adresse
Informationen zu den während einer IOC-Untersuchung oder YARA-Untersuchung erkannten Objekten
Kennzeichen der zusätzlichen Aktionen, die nach dem Abschluss von Aufgaben durchgeführt werden
Fehler bei der Aufgabenausführung und Rückgabecodes
Abschlussstatus der Aufgabe
Abschlusszeit der Aufgabe
Versionen der Einstellungen, die für die Ausführung der Aufgaben verwendet werden
Informationen zu isolierten Objekten, die an den Server gesendet wurden, und zu aus der Quarantäne wiederhergestellten Objekten: Pfade der Objekte, MD5- und SHA256-Hashes, IDs von isolierten Objekten
Informationen über die auf Anforderung des Servers auf einem Computer gestarteten oder beendeten Prozesse: PID und UniquePID, Fehlercode, MD5- und SHA256-Hashwerte der Objekte
Informationen über die Dienste, die auf Anfrage des Servers auf einem Computer gestartet oder beendet wurden: Dienstname, Starttyp, Fehlercode, MD5- und SHA256-Hashwerte von Dateiabbildern der Dienste
Informationen zu den Objekten, für die ein Speicherabbild für eine YARA-Untersuchung erstellt wurde (Pfade, ID der Dump-Datei)
Vom Server angeforderte Dateien
Telemetrie-Pakete
Daten zu laufenden Prozessen:
Name der ausführbaren Datei, einschließlich vollständiger Pfad und Erweiterung
AutoAusführen-Parameter des Prozesses
Prozess-ID
Anmeldesitzungs-ID
Name der Anmeldesitzung
Zeitpunkt (Datum und Uhrzeit), zu dem der Prozess gestartet wurde
Daten in Fehlern, die beim Abrufen von Informationen zu Objekten aufgetreten sind:
Vollständiger Name des Objekts, das verarbeitet wurde, als ein Fehler auftrat
Fehlercode
Telemetrie-Daten:
Host-IP-Adresse
Datentyp in der Registrierung vor dem festgelegten Update-Vorgang
Daten im Registrierungsschlüssel vor dem festgelegten Änderungsvorgang
Der Text des verarbeiteten Skripts oder ein Teil davon
Typ des verarbeiteten Objekts
Methode zur Übertragung eines Befehls an den Befehlsinterpreter
Daten aus Anfragen der Central Node-Komponente an den integrierten Agenten von Kaspersky Endpoint Security:
Aufgabeneinstellungen:
Aufgabentyp
Einstellungen für den Aufgabenzeitplan
Namen und Kennwörter der Benutzerkonten, unter denen die Aufgaben ausgeführt werden können
Versionen von Einstellungen
IDs von isolierten Objekten
Pfade der Objekte
MD5- und SHA256-Hashes der Objekte
Befehlszeile zum Starten des Prozesses mit den Argumenten
Kennzeichen der zusätzlichen Aktionen, die nach dem Abschluss von Aufgaben durchgeführt werden
Vom Server abzurufende IOC-Datei-IDs
IOC-Dateien
Dienstname
Starttyp des Dienstes
Ordner, für die die Ergebnisse der Aufgabe Forensische Daten abrufen empfangen werden müssen
Masken der Objektnamen und Erweiterungen für die Aufgabe Forensische Daten abrufen
Einstellungen der Netzwerkisolation:
Arten von Einstellungen
Versionen von Einstellungen
Listen mit Ausnahmen der Netzwerkisolation und Ausnahmeeinstellungen: Richtung des Datenverkehrs, IP-Adressen, Ports, Protokolle und vollständige Pfade der ausführbaren Dateien
Kennzeichen der zusätzlichen Aktionen
Zeitpunkt der Deaktivierung der automatischen Isolierung
Einstellungen der Ausführungsprävention
Arten von Einstellungen
Versionen von Einstellungen
Listen mit Ausführungsverhinderungsregeln und Regeleinstellungen: Pfade der Objekte, Objekttypen, MD5- und SHA256-Hashes von Objekten
Kennzeichen der zusätzlichen Aktionen
Einstellungen für Ereignisfilterung:
Modulnamen
Vollständige Pfade von Objekten
MD5- und SHA256-Hashes der Objekte
IDs der Einträge im Windows-Ereignisprotokoll
Einstellungen für digitale Zertifikate
Richtung des Datenverkehrs, IP-Adressen, Ports, Protokolle, vollständige Pfade der ausführbaren Dateien
Benutzernamen
Typen der Benutzeranmeldung
Arten von Telemetrie-Ereignissen, für die Filter angewendet werden
Daten in YARA-Untersuchungsergebnissen
Der integrierte Agent von Kaspersky Endpoint Security überträgt automatisch YARA-Untersuchungsergebnisse an Kaspersky Anti Targeted Attack Platform, um eine Bedrohungsentwicklungskette zu erstellen.
Die Daten werden vorübergehend lokal in der Warteschlange gespeichert, um die Ergebnisse der Aufgabenausführung an den Kaspersky Anti Targeted Attack Platform-Server zu senden. Die Daten werden nach dem Absenden aus dem Zwischenspeicher gelöscht.
YARA-Untersuchungsergebnisse enthalten die folgenden Daten:
MD5- und SHA256-Hashwerte der Datei
Vollständiger Name der Datei
Dateipfad
Dateigröße
Prozessname
Prozess-Argumente
Pfad der Prozessdatei
Windows-ID (PID) des Prozesses
Windows-ID (PID) des übergeordneten Prozesses
Benutzerkonto, das den Prozess gestartet hat
Zeitpunkt (Datum und Uhrzeit), zu dem der Prozess gestartet wurde