Todos los datos que la aplicación almacena localmente en el equipo se eliminan del mismo cuando Kaspersky Endpoint Security se desinstala.
Datos de servicio
El agente integrado de Kaspersky Endpoint Security almacena los siguientes datos localmente:
Archivos procesados y datos ingresados por el usuario durante la configuración del agente integrado de Kaspersky Endpoint Security:
Archivos en Cuarentena
Configuración del agente integrado de Kaspersky Endpoint Security:
Clave pública del certificado utilizado para la integración con Central Node
Datos de la licencia
Datos necesarios para la integración con Central Node:
Cola de paquetes de eventos de telemetría
Caché de identificadores de archivos IOC recibidos de Central Node
Objetos que se pasarán al servidor dentro de la tarea Obtener archivo
Informes de resultados de la tarea Obtener datos forenses
Datos en solicitudes a KATA (EDR)
Cuando se integran con Kaspersky Anti Targeted Attack Platform, los siguientes datos se almacenan localmente en el equipo:
Datos del agente integrado de las solicitudes de Kaspersky Endpoint Security al componente Central Node:
En solicitudes de sincronización:
ID exclusivo
Parte básica de la dirección web del servidor
Nombre del equipo
Dirección IP del equipo
Dirección MAC del equipo
Hora local en el equipo
Estado de autoprotección de Kaspersky Endpoint Security
Nombre y versión del sistema operativo instalado en el equipo
Versión de Kaspersky Endpoint Security
Versiones de la configuración de la aplicación y la configuración de la tarea
Estados de tareas: identificadores de tareas, estados de ejecución, códigos de error
En las solicitudes de obtención de archivos del servidor:
Identificadores únicos de archivos
Identificador único de Kaspersky Endpoint Security
Identificadores únicos de certificados
Parte básica de la dirección web del servidor con el componente Central Node instalado
Dirección IP del host
En los informes de resultados de ejecución de tareas:
Dirección IP del host
Información sobre los objetos detectados durante un análisis de IOC o un análisis de YARA
Indicadores de las acciones adicionales realizadas al finalizar las tareas
Errores de ejecución de tareas y códigos de retorno
Estados de finalización de las tareas
Hora de finalización de las tareas
Versiones de la configuración utilizada para la ejecución de las tareas
Información sobre los objetos enviados al servidor, objetos en Cuarentena y objetos restaurados de la Cuarentena: rutas a objetos, hashes MD5 y SHA256, identificadores de objetos en Cuarentena
Información sobre los procesos iniciados o detenidos en un equipo a solicitud del servidor: PID y UniquePID, código de error, hashes MD5 y SHA256 de los objetos
Información sobre los servicios iniciados o detenidos en el equipo a solicitud del servidor: nombre del servicio, tipo de inicio, código de error, hashes MD5 y SHA256 de las imágenes de archivo de los servicios
Información sobre los objetos para los que se realizó un volcado de memoria para un análisis de YARA (rutas, identificador de archivo de volcado)
Archivos solicitados por el servidor
Paquetes de telemetría
Datos sobre procesos en ejecución:
Nombre del archivo ejecutable, incluida la ruta completa y la extensión
Parámetros de ejecución automática del proceso
ID del proceso
ID de sesión de inicio de sesión
Nombre de la sesión de inicio de sesión
Fecha y hora en que se inició el proceso
Hashes MD5 y SHA256 del objeto
Datos en archivos:
Ruta del archivo
Nombre del archivo
Tamaño del archivo
Atributos de archivo
Fecha y hora en que se creó el archivo
Fecha y hora en que se modificó el archivo por última vez
Descripción del archivo
Nombre de la empresa
Hashes MD5 y SHA256 del objeto
Clave de registro (para puntos de ejecución automática)
Datos en errores que se producen cuando se recuperó información sobre objetos:
Nombre completo del objeto que se procesó cuando ocurrió un error
Código de error
Datos de telemetría:
Dirección IP del host
Tipo de datos en el registro antes de la operación de actualización confirmada
Datos en la clave de registro antes de la operación de cambio confirmada
El texto del script procesado o parte del mismo
Tipo de objeto procesado
Manera de pasar un comando al intérprete de comandos
Datos de las solicitudes del componente Central Node al agente integrado de Kaspersky Endpoint Security:
Configuración de tareas:
Tipo de tarea
Configuración de la programación de las tareas
Nombres y contraseñas de las cuentas en las que se pueden ejecutar las tareas
Versiones de configuración
Identificadores de objetos en Cuarentena
Rutas a los objetos
Hashes MD5 y SHA256 de los objetos
Línea de comando para iniciar el proceso con los argumentos
Indicadores de las acciones adicionales realizadas al finalizar las tareas
Identificadores de archivos de IOC que se recuperarán del servidor
Archivos IOC
Nombre del servicio
Tipo de inicio de servicio
Carpetas para las que se deben recibir los resultados de la tarea Obtener datos forenses
Máscaras de los nombres de objetos y extensiones de la tarea Obtener datos forenses
Configuración del aislamiento de red:
Tipos de configuraciones
Versiones de configuración
Listas de exclusiones del aislamiento de red y configuración de la exclusión: dirección del tráfico, direcciones IP, puertos, protocolos y rutas completas a archivos ejecutables
Indicadores de las acciones adicionales
Tiempo de desactivación del aislamiento automático
Configuración de prevención de ejecución
Tipos de configuraciones
Versiones de configuración
Listas de reglas de prevención de ejecución y configuración de reglas: rutas a objetos, tipos de objetos, hashes MD5 y SHA256 de objetos
Indicadores de las acciones adicionales
Configuración de filtrado de eventos:
Nombres de módulos
Rutas completas a objetos
Hashes MD5 y SHA256 de los objetos
Identificadores de las entradas en el registro de eventos de Windows
Configuración de certificados digitales
Dirección del tráfico, direcciones IP, puertos, protocolos, rutas íntegras a archivos ejecutables
Nombres de usuario
Tipos de inicio de sesión de usuario
Tipos de eventos de telemetría para los que se aplican filtros
Datos en los resultados del análisis de YARA
El agente integrado de Kaspersky Endpoint Security transfiere automáticamente los resultados del análisis de YARA a Kaspersky Anti Targeted Attack Platform para crear una cadena de desarrollo de la amenaza.
Los datos se almacenan temporalmente de forma local en la cola para enviar los resultados de la ejecución de la tarea al servidor de Kaspersky Anti Targeted Attack Platform. Los datos se eliminan del almacenamiento temporal una vez que se han enviado.
Los resultados del análisis de YARA contienen los siguientes datos:
Hashes MD5 y SHA256 del archivo
Nombre completo del archivo
Ruta del archivo
Tamaño del archivo
Nombre del proceso
Argumentos del proceso
Ruta al archivo de proceso
Identificador de Windows (PID) del proceso
Identificador de Windows (PID) del proceso principal