Kaspersky Anti Targeted Attack Platform (EDR)

Uygulamanın bilgisayarda yerel olarak depoladığı tüm veriler, Kaspersky Endpoint Security kaldırıldığında bilgisayardan silinir.

Hizmet verileri

Kaspersky Endpoint Security'nin yerleşik aracısı şu verileri yerel olarak depolar:

• Kaspersky Endpoint Security'nin yerleşik aracısının yapılandırılması sırasında kullanıcı tarafından girilen işlenmiş dosyalar ve veriler:
  • Karantinaya alınan dosyalar
  • Kaspersky Endpoint Security'nin yerleşik aracısının ayarları:
    • Merkezi Düğüm ile entegrasyon için kullanılan sertifikanın genel anahtarı
    • Lisans verileri
• Merkezi Düğüm ile entegrasyon için gerekli veriler:
  • Telemetri olay paketi kuyruğu
  • Merkezi Düğümden alınan IOC dosya tanımlayıcılarının önbelleği
  • Dosya al görevi içinde sunucuya iletilecek nesneler
  • Adli bilgi al görev sonuçları raporu

KATA'ya yapılan taleplerdeki veriler (EDR)

Kaspersky Anti Targeted Attack Platform ile entegre edilirken, şu veriler bilgisayarda yerel olarak depolanır:

Kaspersky Endpoint Security'nin yerleşik aracısından gelen veriler Merkezi Düğüm bileşenine talepte bulunur:

• Senkronizasyon isteklerinde:
  • Benzersiz kimlik
  • Sunucu web adresinin temel kısmı
  • Bilgisayar adı
  • Bilgisayar IP adresi
  • Bilgisayar MAC adresi
  • Bilgisayardaki yerel saat
  • Kaspersky Endpoint Security'nin kendini savunma durumu
  • Bilgisayarda yüklü olan işletim sisteminin adı ve sürümü
  • Kaspersky Endpoint Security sürümü
  • Uygulama ayarlarının ve görev ayarlarının sürümleri
  • Görev durumları: görevlerin tanımlayıcıları, yürütme durumları, hata kodları
• Sunucudan dosya almak için yapılan isteklerde:
  • Dosyaların benzersiz tanımlayıcıları
  • Benzersiz Kaspersky Endpoint Security tanımlayıcısı
  • Sertifikaların benzersiz tanımlayıcıları
  • Merkezi Düğüm bileşeninin kurulu olduğu sunucunun web adresinin temel kısmı
  • Ana bilgisayar IP adresi
• Görev yürütme sonuçlarına ilişkin raporlarda:
  • Ana bilgisayar IP adresi
  • Bir IOC taraması veya YARA taraması sırasında tespit edilen nesneler hakkında bilgiler
  • Görevlerin tamamlanmasının ardından gerçekleştirilen ek eylemlerin bayrakları
  • Görev yürütme hataları ve dönüş kodları
  • Görev tamamlama durumları
  • Görev tamamlama süresi
  • Görevlerin yürütülmesi için kullanılan ayarların sürümleri
  • Sunucuya gönderilen nesneler, karantinaya alınan nesneler ve karantinadan geri yüklenen nesneler hakkında bilgiler: nesnelere giden yollar, MD5 ve SHA256 karmaları, karantinaya alınan nesnelerin tanımlayıcıları
  • Sunucunun isteği üzerine bir bilgisayarda başlatılan veya durdurulan işlemler hakkında bilgiler: PID ve UniquePID, hata kodu, nesnelerin MD5 ve SHA256 karmaları
  • Sunucunun isteği üzerine bilgisayarda başlatılan veya durdurulan hizmetler hakkında bilgiler: hizmet adı, başlatma türü, hata kodu, hizmetlerin dosya görüntülerinin MD5 ve SHA256 karmaları
  • Bir YARA taraması için bellek dökümü yapılan nesneler hakkında bilgiler (yollar, döküm dosyası tanımlayıcısı)
  • Sunucu tarafından istenen dosyalar
  • Telemetri paketleri
  • Çalışan işlemlere ilişkin veriler:
    • Tam yol ve uzantı dahil olmak üzere yürütülebilir dosya adı
    • İşlem otomatik çalıştırma parametreleri
    • İşlem kimliği
    • Giriş oturumu kimliği
    • Oturum açma adı
    • İsteğin başladığı tarih ve saat
    • Nesnenin MD5 ve SHA256 karmaları
  • Dosyalardaki veriler:
    • Dosya yolu
    • Dosya adı
    • Dosya boyutu
    • Dosya öznitelikleri
    • Dosyanın oluşturulduğu tarih ve saat
    • Dosyanın en son değiştirildiği tarih ve saat
    • Dosya açıklaması
    • Şirket adı
    • Nesnenin MD5 ve SHA256 karmaları
    • Kayıt defteri anahtarı (otomatik çalıştırma noktaları için)
  • Nesneler hakkında bilgi alınırken oluşan hatalardaki veriler:
    • Bir hata oluştuğunda işlenen nesnenin tam adı
    • Hata kodu
• Telemetri verileri:
  • Ana bilgisayar IP adresi
  • Gerçekleştirilen güncelleme işleminden önce kayıt defterindeki veri türü
  • Gerçekleştirilen değişiklik işleminden önce kayıt defteri anahtarındaki veriler
  • İşlenen komut dizisinin metni veya bir kısmı
  • İşlenen nesnenin türü
  • Komut yorumlayıcısına bir komut aktarma yolu

Merkezi Düğüm bileşeninin isteklerinden Kaspersky Endpoint Security'nin yerleşik aracısına gelen veriler:

• Görev ayarları:
  • Görev türü
  • Görev zamanlama ayarları
  • Görevlerin çalıştırılabileceği hesapların adları ve parolaları
  • Ayarların sürümleri
  • Karantinaya alınan nesnelerin tanımlayıcıları
  • Nesnelere giden yollar
  • Nesnelerin MD5 ve SHA256 karmaları
  • İşlemi bağımsız değişkenlerle başlatmak için komut satırı
  • Görevlerin tamamlanmasının ardından gerçekleştirilen ek eylemlerin bayrakları
  • Sunucudan alınacak IOC dosya tanımlayıcıları
  • IOC dosyaları
  • Hizmet adı
  • Hizmet başlatma türü
  • Adli bilgi al görevinin sonuçlarının alınması gereken klasörler
  • Adli bilgi al görevi için nesne adlarının ve uzantılarının maskeleri
• Ağ izolasyonu ayarları:
  • Ayar türleri
  • Ayarların sürümleri
  • Ağ izolasyon istisnaları ve istisna ayarları listeleri: trafik yönü, IP adresleri, bağlantı noktaları, iletişim kuralları ve yürütülebilir dosyaların tam yolları
  • Ek eylemlerin bayrakları
  • Otomatik izolasyonun devre dışı bırakılma zamanı
• Yürütme önleme ayarları
  • Ayar türleri
  • Ayarların sürümleri
  • Yürütme önleme kuralları ve kural ayarları listeleri: nesnelere giden yollar, nesne türleri, nesnelerin MD5 ve SHA256 karmaları
  • Ek eylemlerin bayrakları
• Olay filtreleme ayarları:
  • Modül adları
  • Nesnelerin tam yolları
  • Nesnelerin MD5 ve SHA256 karmaları
  • Windows olay günlüğündeki girdilerin tanımlayıcıları
  • Dijital sertifika ayarları
  • Trafik yönü, IP adresleri, bağlantı noktaları, iletişim kuralları, tam yürütülebilir dosya yolları
  • Kullanıcı adları
  • Kullanıcı oturum açma türleri
  • Filtrelerin uygulandığı telemetri olaylarının türleri

YARA taraması sonuçlarındaki veriler

Kaspersky Endpoint Security'nin yerleşik aracısı, tehdit geliştirme zinciri oluşturmak için YARA taraması sonuçlarını otomatik olarak Kaspersky Anti Targeted Attack Platform'a aktarır.

Veriler, görev yürütme sonuçlarının Kaspersky Anti Targeted Attack Platform sunucusuna gönderilmesi için yerel olarak kuyrukta geçici olarak depolanır. Veriler gönderildikten sonra geçici depolama alanından silinir.

YARA taraması sonuçları şu verileri içerir:

• Dosyanın MD5 ve SHA256 karmaları
• Dosyanın tam adı
• Dosya yolu
• Dosya boyutu
• İşlem adı
• İşlem argümanları
• İşlem dosyasının yolu
• İşlemin Windows tanımlayıcısı (PID)
• Ana işlemin Windows tanımlayıcısı (PID)
• İşlemi başlatan kullanıcı hesabı
• İsteğin başladığı tarih ve saat

Sayfanın başına git