Toutes les données que l'application stocke localement sur l'ordinateur sont supprimées de l'ordinateur lors de la désinstallation de Kaspersky Endpoint Security.
Données d'entretien
L'agent intégré de Kaspersky Endpoint Security stocke localement les données suivantes :
Fichiers traités et données saisies par l'utilisateur lors de la configuration de l'agent intégré de Kaspersky Endpoint Security :
Fichiers en quarantaine
Paramètres de l'agent intégré de Kaspersky Endpoint Security :
Clé publique du certificat utilisé pour l'intégration avec Central Node
Données de licence
Données requises pour l'intégration avec Central Node :
File d'attente de paquets d'événements de télémétrie
Cache des identifiants de fichiers IOC reçus de Central Node
Objets à transmettre au serveur dans la tâche Obtenir le fichier
Les rapports des résultats de la tâche Obtenir le cyberdiagnostic
Données dans les requêtes à KATA (EDR)
Lors de l'intégration à Kaspersky Anti Targeted Attack Platform, les données suivantes sont stockées localement sur l'ordinateur :
Données de l'agent intégré de Kaspersky Endpoint Security demandées au module Central Node :
Dans les demandes de synchronisation :
Identifiant unique
Partie de base de l'adresse Web du serveur
Nom de l'ordinateur
Adresse IP de l'ordinateur
Adresse MAC de l'ordinateur
Heure locale sur l'ordinateur
État d'autodéfense de Kaspersky Endpoint Security
Nom et version du système d'exploitation installé sur l'ordinateur
Version de Kaspersky Endpoint Security
Versions des paramètres d'application et des paramètres de tâche
États des tâches : identifiants des tâches, états d'exécution, codes d'erreur
Dans les demandes d'obtention de fichiers depuis le serveur :
Identifiants uniques des fichiers
Identifiant unique de Kaspersky Endpoint Security
Identifiants uniques des certificats
Partie de base de l'adresse Web du serveur sur lequel le module Central Node est installé
Adresse IP de l'hôte
Dans les rapports sur les résultats d'exécution des tâches :
Adresse IP de l'hôte
Informations sur les objets détectés lors d'une analyse IOC ou d'une analyse YARA
Indicateurs des actions supplémentaires effectuées à la fin des tâches
Erreurs d'exécution de tâche et codes de retour
États d'achèvement des tâches
Temps d'exécution de la tâche
Versions des paramètres utilisés pour l'exécution des tâches
Informations sur les objets envoyés au serveur, les objets mis en quarantaine et les objets restaurés depuis la quarantaine : chemins d'accès aux objets, hachages MD5 et SHA256, et identifiants des objets mis en quarantaine
Informations sur les processus démarrés ou arrêtés sur un ordinateur à la demande du serveur : PID et UniquePID, code d'erreur, et hachages MD5 et SHA256 des objets
Informations sur les services démarrés ou arrêtés sur l'ordinateur à la demande du serveur : nom du service, type de démarrage, code d'erreur, et hachages MD5 et SHA256 des images de fichiers des services
Informations sur les objets pour lesquels un vidage mémoire a été effectué dans le cadre d'une analyse YARA (chemins d'accès, identifiant du fichier de vidage)
Fichiers demandés par le serveur
Paquets de télémétrie
Données sur les processus en cours :
Nom du fichier exécutable, y compris le chemin complet et l'extension
Paramètres d'exécution automatique du processus
Identifiant du processus
Identifiant de la session de connexion
Nom de la session de connexion
Date et heure de démarrage du processus
Hachages MD5 et SHA256 de l'objet
Données sur les fichiers :
Chemin du fichier
Nom du fichier
Taille du fichier
Attributs du fichier
Date et heure de création du fichier
Date et heure de la dernière modification du fichier
Description du fichier
Nom de l'entreprise
Hachages MD5 et SHA256 de l'objet
Clé de registre (pour les points d'exécution automatique)
Données dans les erreurs qui se produisent lors de la récupération des informations sur les objets :
Nom complet de l'objet qui a été traité lorsqu'une erreur s'est produite
Code d'erreur
Données télémétriques :
Adresse IP de l'hôte
Type de données dans le registre avant l'opération de mise à jour validée
Données dans la clé de registre avant l'opération de modification validée
Le texte du script traité ou une partie de celui-ci
Type d'objet traité
Façon de passer une commande à l'interpréteur de commandes
Données des demandes du module Central Node à l'agent intégré de Kaspersky Endpoint Security :
Paramètres de la tâche :
Type de tâche
Paramètres de planification de la tâche
Noms et mots de passe des comptes sous lesquels les tâches peuvent être exécutées
Versions des paramètres
Identifiants des objets mis en quarantaine
Chemins d'accès aux objets
Hachages MD5 et SHA256 des objets
Ligne de commande pour démarrer le processus avec les arguments
Indicateurs des actions supplémentaires effectuées à la fin des tâches
Identifiants des fichiers IOC à récupérer sur le serveur
Fichiers IOC
Nom du service
Type de démarrage du service
Dossiers pour lesquels les résultats de la tâche Obtenir le cyberdiagnostic doivent être reçus
Masques des noms d'objets et des extensions pour la tâche Obtenir le cyberdiagnostic
Paramètres d'isolation du réseau :
Types de paramètres
Versions des paramètres
Listes des exclusions d'isolation du réseau et des paramètres d'exclusion : sens du trafic, adresses IP, ports, protocoles et chemins d'accès complets aux fichiers exécutables
Indicateurs des actions supplémentaires
Temps de désactivation de l'isolation automatique
Paramètres de Prévention de l'exécution
Types de paramètres
Versions des paramètres
Listes des règles de prévention d'exécution et paramètres des règles : chemins d'accès aux objets, types d'objets, et hachages MD5 et SHA256 des objets
Indicateurs des actions supplémentaires
Paramètres de filtrage des événements :
Noms des modules
Remplir les chemins d'accès aux objets
Hachages MD5 et SHA256 des objets
Identifiants des entrées du journal des événements Windows
Paramètres du certificat numérique
Sens du trafic, adresses IP, ports, protocoles, chemins complets vers les fichiers exécutables
Noms d'utilisateur
Types de connexion utilisateur
Types d'événements de télémétrie pour lesquels des filtres sont appliqués
Données dans les résultats de l'analyse YARA
L'agent intégré de Kaspersky Endpoint Security transfère automatiquement les résultats de l'analyse YARA à Kaspersky Anti Targeted Attack Platform pour créer une chaîne de développement de menaces.
Les données sont temporairement stockées localement dans la file d'attente pour l'envoi des résultats d'exécution de la tâche au serveur Kaspersky Anti Targeted Attack Platform. Les données sont supprimées du stockage temporaire une fois qu'elles ont été envoyées.
Les résultats de l'analyse YARA contiennent les données suivantes :