Über die Bereitstellung von Daten
Um zu gewährleisten, dass einige Komponenten von Kaspersky Managed Detection and Response funktionieren, muss Kaspersky die Daten des Benutzers verarbeiten. Die Komponenten senden keine Daten ohne die Erlaubnis des Administrators von Kaspersky Managed Detection and Response.
Die Liste der Benutzerdaten hängt von der Region ab, in der die Lösung verwendet wird. Für Ihre Region kann die Liste der Benutzerdaten von der Liste in diesem Abschnitt abweichen.
Kaspersky schützt alle erhaltenen Informationen in Übereinstimmung mit dem Gesetz und den geltenden Kaspersky-Regeln. Die Daten werden über einen sicheren Kanal übertragen.
Liste der Daten zu Ereignissen, die auf Benutzergeräten eintreten
Zur Erkennung neuer und fortschrittlicher Bedrohungen der Datensicherheit und deren Quellen sowie von eindringenden Bedrohungen, und um umgehend Maßnahmen zur Erhöhung des Schutzes der vom Kunden auf einem Computer gespeicherten und verarbeiteten Daten ergreifen zu können, verpflichtet sich der Kunde, folgende Informationen automatisch bereitzustellen, um den Dienst verwenden zu können:
- Das Datum der Installation und Aktivierung der Softwareinstallation, der vollständige Name und die Version der Software, einschließlich Informationen über installierte Updates und sprachlicher Lokalisierung der Software.
- Informationen über die auf dem Computer installierte Software, einschließlich der Version des Betriebssystems, des Datums, an dem es heruntergeladen wurde, und der installierten Updates; Informationen über Kernel-Objekte, Treiber, Dienste, Autostart-Einträge, Programme, die bei verschiedenen Systemereignissen (z. B. Betriebssystemstart, Benutzeranmeldung usw.) automatisch gestartet werden und deren Konfigurationen; Browser-Erweiterungen, Microsoft-Internet-Explorer-Erweiterungen, Drucksystem-Erweiterungen, Windows-Explorer-Erweiterungen, Betriebssystem-Shell-Erweiterungen; geladene Objekt-Prüfsummen (MD5); aktive Setup-Elemente; Anwendungen der Systemsteuerung; Browser- und Mail-Client-Versionen.
- Informationen über Dateisystemberechtigungen; das für Dateisystemberechtigungen wirksame Bit; Versionen von Dateisystemberechtigungen Umgebungsvariablen und Namen von Systemaufrufen.
- Informationen über vererbte Berechtigungen in Bezug auf eine Systemdatei.
- Informationen über den Namen des Computers, IP-Adressen, Standard-Gateways, MAC-Adressen und Hardware, einschließlich einer Prüfsumme der Seriennummer der Festplatte; die letzten zwölf Bytes der Computer-Sicherheitskennung (SID) und die im NTFS-Datenstrom enthaltene Sicherheitszonen-Kennung.
- Informationen über verwendete Software-Tools zur Behebung von Problemen mit der auf dem Computer des Benutzers installierten Software oder zur Änderung deren Funktionalität sowie über die Return-Codes, die nach der Installation der jeweiligen Software erhalten wurden.
- Informationen über den Zustand des Antivirenschutzes des Computers, einschließlich der Versionen und Release-Daten und Release-Zeiten der verwendeten Antiviren-Datenbanken; Statistiken über Updates und Verbindungen zu Diensten von Kaspersky Lab; Auftragskennungen sowie die Kennungen und Versionen der Software-Komponenten, welche die Virensuche unterstützen; Flags, welche die interne Kaspersky-Testumgebung bezeichnen; die Primärfehlercodes für ein bestimmtes Ereignis; die Sekundärfehlercodes für ein bestimmtes Ereignis und die Ordnungszahlen der Ereignisse.
- Lizenzschlüssel und Seriennummer der Produkte von Kaspersky Lab, sowie Namen und Versionen dieser Produkte. Installations-IDs der Produkte von Kaspersky Lab, sowie die Client-Beschreibung aus der Lizenzinformationsdatei.
- Informationen über Kundenbenutzerkonten: Benutzerkontoname; Name des Benutzers; Betriebssystemkennung; Anmeldeinformationen; Berechtigungen; Gruppenmitgliedschaften; Arten von Anmeldesitzungen im System; Name des Authentifizierungspakets; Domänennamen; DNS-Namen, die für Anmeldesitzungen im Authentifizierungssystem verwendet werden; der für die Authentifizierung verwendete Servername; der Benutzerprinzipalname (UPN) für das Konto und die SID.
- Vollständiger Inhalt der Betriebssystemprotokolle.
- Informationen über Aufrufsysteme.
- Informationen über erkannte Vorfälle aus Programmen von Kaspersky Lab, welche Kaspersky Managed Detection and Response unterstützen.
- Informationen über empfangene E-Mails, einschließlich: E-Mail-Adressen von Absender und Empfänger; Betreff; Informationen über Anhänge: Dateiname des Anhangs; Größe; Hash (MD5) und Analyseergebnisse des Dateiformats.
- Informationen über Koordinaten des Bildschirmbereichs, in dem der Screenshot aufgenommen wurde.
- Informationen über Netzwerkverbindungen, einschließlich IP-Adressen und Ports von Absender und Empfänger; IPv6-Zonenindizes; Informationen über die Richtung der Netzwerkverbindung (eingehend/ausgehend); die Typen und Masken der durchgeführten DNS-Abfragen; Fehlercodes für eine DNS-Abfrage; Antwort auf eine DNS-Abfrage und Informationen über den angeforderten DNS-Server.
- HTTP-Verbindungsdaten und HTTP-Verbindungsmethoden, einschließlich besuchter Webadressen, Referrer-URL-Adressen; Benutzeragenten und Netzwerk-Authentifizierungsprotokolldaten: MD5-Hash der Daten für die Kerberos-Authentifizierung; Konto- oder Computername; der Name der Kerberos-Zone, zu der der Servername gehört; die Domäne, zu der der Client-Name gehört; die UPN für das Konto; das Kryptografiepaket, das für das ausgestellte Kerberos-Ticket verwendet wurde; die Markierungsmaske für das Kerberos-Ticket im Hexadezimalformat; den Zeitpunkt der Ausstellung des Kerberos-Tickets; die Ablaufzeit des Kerberos-Tickets; das Ablaufdatum des Tickets (nach dem eine Erneuerung des Tickets nicht mehr möglich ist) und der Name des Domänencontrollers, der zur Ausstellung des Kerberos-Tickets verwendet wurde.
- Informationen zu Protokollen auf Programmebene: Größe der LDAP-Suchanfrage; Filter der LDAP-Suchanfrage; eindeutiger Name der LDAP-Suchanfrage; Liste der Attribute für die LDAP-Suchanfrage.
- Informationen zu .NET: vollständiger Name des heruntergeladenen .NET-Builds; Assembly-Flags für das heruntergeladene .NET-Build; Modul-Flags für das heruntergeladene .NET-Modul; der Domänenname für das heruntergeladene .NET-Build; Module für den generierten MSIL-Stub; Informationen über die verwaltete Methode: der Namespace der verwalteten Interaktionsmethode; der Name der verwalteten Interaktionsmethode; die Signatur der nativen Methode und die Signatur des Methoden-Stubs.
- Informationen über die im Betriebssystem verarbeiteten Dateien: Dateiname und Dateipfad; Größe; Attribute; Datei- und Objekttypen; Ergebnisse der Dateiformatanalyse; Prüfsumme (MD5); Webadresse, von der die Datei heruntergeladen wurde; E-Mail-Adresse des Absenders, von dem die Datei empfangen wurde und der Betreff der E-Mail; der Inhalt des Dateisystems der VERSIONINFO-Struktur aus den Metadaten der Datei; Informationen über den Herausgeber, wenn die Datei signiert ist; die Benutzerkennung des Dateieigentümers; die Gruppenkennung des Dateieigentümers; der Zeitpunkt des letzten Zugriffs auf die Datei; der Zeitpunkt der letzten Änderung der Datei-Metadaten; der Zeitpunkt der Erstellung der Datei; die Markierungsmasken für die Überprüfung der digitalen Signatur; die Zeitstempel und Codes von Operationen mit den Dateien und Objekten; die Anzahl der Starts der ausführbaren Datei; die Dateiformatkennung; der vollständige Pfad zum Objekt und der Pfad zum Objekt-Container; der Inhalt der Autorun-Datei und Dateiname und Dateipfad der Datei auf der Remote-Netzwerkressource, auf die zugegriffen wird.
- Inhalt des Verzeichnisses \etc\.
- Befehlsausgabedaten.
- Audit-Daten: Aktionsergebnis, Aktionsbeschreibung, Ereignistyp und Benutzer der Aktion.
- Informationen über den Prozess: Prozesskennung (PID); Ablaufverfolgung von Prozessaufrufen; Informationen über die ausführbare Datei des Prozesses und ihre Befehlszeile; Informationen über den übergeordneten Prozess; MD5-Hash des Fehlercodes aus der Berechnung der ausführbaren Datei, Primärfehlercodes; Informationen zur Prozessintegrität; Informationen zur Sitzungsanmeldung; Befehlszeile; Befehlszeilenargumente für den Prozess; Umgebungsvariablen für den Zielprozess; eindeutige Kennung des Prozessaktivitätsprotokolls; Name und/oder Adresse der Code-Injektionsstelle; Informationen über Zugriffsrechte für den Prozess; Fehlercodes aus der Berechnung des MD5-Hash für ein Objekt aus der Befehlszeile des Prozesses; eine Liste von Datei-Wrappern des Objekts; das anfängliche Arbeitsverzeichnis für den Zielprozess und das Array von Prozesskennungen (PIDs) für abgeschlossene Prozesse.
- Registry-Informationen: Namen, Abschnitte und Werte.
- Informationen über Remote-Vorgänge: Name des Remote-Computers und der Fully Qualified Name (FQDN) des Remote-Computers, auf dem der Remote-Vorgang ausgeführt wurde; der Name des Benutzerkontos, das den Remote-Vorgang initiiert hat; die vom System bereitgestellte Kennung des Remote-Prozesses, der den Remote-Vorgang initiiert hat; die Startzeit des Remote-Prozesses, der den Remote-Vorgang initiiert hat; der Name des Namespace für den Benutzer der WMI-Ereignisse; der Name des WMI-Ereignisfilters des Benutzers; der Name des erstellten Benutzers der WMI-Ereignisse und der Quellcode des Benutzers der WMI-Ereignisse.
- Fehlerinformationen: Fehlercode für die MD5-Berechnung, Dateizugriffsfehlercode, Primärfehlercodes und Sekundärfehlercodes.
- Informationen über Reaktionsereignis-Aufgaben; die von Kaspersky Lab-Spezialisten und Benutzerspezialisten erstellt wurden: Ereignisname und -typ; Datum und Uhrzeit des Eintretens des Ereignisses; Einstellungen und Ergebnisse der Antwortaufgabe (Informationen über das Objekt [Pfad zum Objekt, Objektname und -größe, MD5- und SHA256-Prüfsummen]; Informationen über die Quarantäne des Objekts; Informationen über die Löschung des Objekts; Informationen über die Prozessbeendigung; Informationen über die Löschung eines Registrierungsschlüssels/einer Registrierungsteilstruktur; Informationen über den Prozessstart; Informationen über Objekte, die von Kaspersky Lab-Spezialisten zur detaillierten Analyse mit der Zustimmung des Benutzers angefordert werden [Name, Pfad, Größe und Typ des Objekts, MD5- und SHA256-Prüfsummen, Objektbeschreibung, Datum und Uhrzeit der Verarbeitung der Dateianforderung und Dateiinhalte]; Informationen über die Installation und das Entfernen der Netzwerkisolation des Gerätes und Informationen über Fehler, die sich aus der Antwortaufgabe ergeben).
- Daten über Skripte, die auf dem Computer ausgeführt werden: Befehlszeilenargumente, Inhalte des Skripts oder Teil des auf dem Computer ausgeführten Skripts und Inhalte des Objekts oder Teil des von AMSI empfangenen Objekts.
- Daten über Befehle, die von der Konsolenanwendung, einschließlich der Befehlszeileninterpreter, durch eine Eingabeumleitung über eine Pipe oder Datei empfangen wurden; Befehle, die vom Benutzer in Konsolenanwendungen, einschließlich der Befehlszeileninterpreter, ausgeführt wurden.
Liste von Daten über Ereignisse, die als Ergebnis von Analysen des Netzwerkdatenverkehrs erkannt werden
Zur Erkennung neuer und fortschrittlicher Ereignisse der Datensicherheit und deren Quellen sowie von eindringenden Bedrohungen, und um umgehend Maßnahmen zur Erhöhung des Schutzes der vom Kunden auf einem Computer gespeicherten und verarbeiteten Daten ergreifen zu können, verpflichtet sich der Kunde, folgende Informationen automatisch bereitzustellen, um den Dienst verwenden zu können:
- Informationen über die Kennung, die Version, den Typ und den Zeitstempel des Datensatzes in der Antiviren-Datenbank, der zur Erkennung eines Informationssicherheitsereignisses verwendet wurde, den Namen der Bedrohung gemäß Klassifizierung von Kaspersky Lab, den Zeitstempel verwendeter Antiviren-Datenbanken, den Dateityp-Code, die Dateiformatkennung, den Aufgabenbezeichner der Software, die das Ereignis erkannt hat, die Markierung der Reputationsprüfung oder der Dateisignaturprüfung.
- Informationen zur Ermittlung der Reputation von Dateien und Webressourcen, einschließlich IP-Adresse und Domänenname der URL-Adresse, unter der die Reputation angefordert wird; Name der Datei, die zum Zeitpunkt der Ereigniserkennung ausgeführt wurde; Dateipfad und Prüfsummen (MD5) der Datei und ihres Pfades.
- Informationen über die Emulation der ausführbaren Datei, einschließlich der Dateigröße und ihrer Prüfsummen (MD5, SHA256, SHA1); Version der Emulationskomponente; Emulationstiefe; eine Reihe von Eigenschaften von logischen Blöcken und Funktionen innerhalb von logischen Blöcken, die während der Emulation erhalten wurden und Daten aus den PE-Headern der ausführbaren Datei.
- Informationen zu allen erkannten Objekten, einschließlich Name und Größe des Objekts; vollständiger Pfad zum Objekt auf dem Computer; Prüfsummen (MD5, SHA256) der verarbeiteten Dateien; Name des mit dem Objekt verknüpften Ereignisses; Erkennungsdatum und -uhrzeit; Flag für das Vorhandensein der digitalen Signatur der Datei; Name der Organisation, welche die Datei signiert hat; Vertrauensstatus und Bedrohungsstufe der Datei; ID und Priorität der zur Erkennung verwendeten Regel und Art der Erkennungstechnologie.
- Die Art der Quelle, von der das Objekt heruntergeladen wurde; die IP-Adresse der Quelle (oder Prüfsumme (MD5) der IP-Adresse, wenn es lokal ist); die URL-Adresse der Quelle sowie die URL-Adresse des Referrers; Name, Domain-Name und Prüfsumme (MD5) des Namens des Hosts, der die Download-Anfrage gesendet hat und die Dienstinformationen über den Webbrowser, der die Download-Anfrage gesendet hat.
- Prüfsummen (MD5) des lokalen Teils und des Domänenteils der E-Mail-Adresse des Absenders und Empfängers sowie Prüfsumme (MD5) des Betreffs der E-Mail.
- Lokale und entfernte IP-Adresse der Netzwerkverbindung, die Nummern der lokalen und entfernten Ports und die Protokollkennung der Verbindung.
- URL-Adresse und Name des Zielhosts sowie die IP-Adressen des Hosts.
- Die ID des Betriebssystems, das auf einer virtuellen Maschine installiert ist und von der Software verwendet wird, um Objekte zu analysieren.
- Zusätzliche Informationen zu den Ereignissen, einschließlich des Häufigkeitsindex der Datei im lokalen Netzwerk des Benutzers und des Datums des Eindringens der Datei in das lokale Netzwerk und auf den Computer des Benutzers; Kennungen der Konten, von denen aus der Prozess gestartet wurde, Prüfsummen ihrer Benutzernamen sowie die Namen ihrer Domänen oder Arbeitsgruppen; Informationen über Berechtigungen der Benutzerkonten.
- Informationen über die Netzwerkaktivität des Prozesses, einschließlich der Domänennamen der Netzwerkressourcen, die für den Verbindungsaufbau verwendet werden und der IP-Adressen der Domänen; Häufigkeit der Verbindung mit der ausgewählten Netzwerkressource; Größe und Typ der übertragenen Daten.
- Informationen über die Nutzung der Domäne der Netzwerkressource, einschließlich des Häufigkeitsindex der Anfragen an die Domäne aus dem lokalen Netzwerk; Zeitstempel der ersten Anfrage an die Domäne aus dem lokalen Netzwerk; Dauer der Anfragen von verschiedenen Benutzern und Prüfsummen ihrer Namen; Namen der Computer, welche die Anfragen an die Domäne initiiert haben; zusätzliche Informationen zu den Erkennungsgründen.
- Dienstinformationen über die Komponente zur Statistikverarbeitung, einschließlich Datum und Uhrzeit des Beginns und Endes der Laufzeit, die zur Analyse der Statistikdaten verwendet wurde; Menge des freien und belegten Festplattenspeichers; Zeitpunkt der letzten Ereignisverarbeitung; Betriebszeit verschiedener Erkennungsalgorithmen; Meldungen über Fehler der Komponente; Meldungen über den erfolgreichen Start verschiedener Erkennungsalgorithmen.
- Daten, die an den technischen Support gesendet werden.
Die Bereitstellung von Daten im Rahmen der Verwendung von Kaspersky Endpoint Agent
Einzelheiten zur Bereitstellung von Daten im Rahmen der Verwendung von Kaspersky Endpoint Agent finden Sie in Kaspersky Endpoint Agent für Windows.
Nach oben