Provisión de datos
Para que algunos componentes de Kaspersky Managed Detection and Response funcionen, es necesario que Kaspersky procese los datos del usuario. Los componentes no envían datos sin el permiso del administrador de Kaspersky Managed Detection and Response.
La lista de datos del usuario depende de la región donde se utiliza la solución. Para su región, la lista de datos del usuario puede diferir de la que se indica en esta sección.
Kaspersky protege cualquier información recibida de acuerdo con la ley y las reglas de Kaspersky aplicables. Los datos se transmiten a través de un canal seguro.
Lista de datos sobre eventos que se producen en los dispositivos del Usuario
Con el fin de identificar las amenazas de seguridad de datos nuevas y complicadas, como también sus orígenes, así como las amenazas de intrusión, y para tomar medidas rápidas para aumentar la protección de los datos almacenados y procesados con el ordenador por el Cliente, el Cliente acepta proporcionar automáticamente lo siguiente información para recibir el Servicio:
- La fecha de instalación y activación del software; el nombre completo y la versión del software, incluida la información sobre las actualizaciones instaladas y el idioma de localización del software.
- Información sobre el software instalado en el equipo, así como la versión del sistema operativo y la fecha de descarga y de instalación de actualizaciones, objetos de kernel, controladores, servicios, entradas de inicio automático, programas que se inician automáticamente en el caso de diversos eventos del sistema (p. ej., inicio del sistema operativo, inicio de sesión del usuario, etc.) y sus configuraciones, extensiones del navegador, extensiones de Microsoft Internet Explorer, extensiones del sistema de impresión, extensiones de Windows Explorer, extensiones de shell del sistema operativo, sumas de comprobación de objetos cargadas (MD5), elementos de configuración activa y aplicaciones del panel de control, versiones del navegador y cliente de correo.
- Información sobre los permisos del sistema de archivos, el bit eficaz para los permisos del sistema de archivos, las versiones de permisos del sistema de archivos, las variables de entorno y los nombres de las llamadas del sistema.
- Información sobre permisos heredados de un archivo de sistema.
- Información sobre el nombre del ordenador, las direcciones IP, las pasarelas predeterminadas, las direcciones MAC y el hardware, así como una suma de comprobación del número de serie del disco duro, los últimos 12 bytes del ID de seguridad del ordenador (SID) y el identificador de la zona de seguridad procedente del flujo de datos NTFS.
- Información sobre las herramientas de software utilizadas para solucionar problemas en el software instalado en el equipo del Usuario, o para cambiar su funcionalidad, y los códigos de retorno recibidos después de la instalación de cada componente de software.
- Información sobre el estado de la protección antivirus del ordenador, así como las versiones y las fechas y horas de lanzamiento de las bases de datos antivirus en uso, las estadísticas sobre las actualizaciones y las conexiones a los servicios de Kaspersky Lab, los identificadores de trabajos y los identificadores y versiones de los componentes de software que realizan el análisis, los indicadores que muestran el entorno de prueba interno de Kaspersky, los códigos de error principales de un evento específico, los códigos de error secundarios de un evento específico y los números ordinales de los eventos.
- Clave de licencia y número de serie de los productos de Kaspersky Lab, y los nombres y versiones de estos productos. Identificadores de las instalaciones de los productos de Kaspersky Lab y la descripción del cliente del archivo de información de licencia.
- Información sobre las cuentas de usuario del Cliente: nombre de la cuenta de usuario, nombre del usuario, identificador del sistema operativo, información de inicio de sesión, privilegios, afiliación a grupos, tipos de inicios de sesión en el sistema, nombre del paquete de autenticación, nombres de dominio, nombres DNS utilizados para las sesiones de inicio de sesión del sistema de autenticación, el nombre del servidor utilizado para la autenticación, el nombre principal del usuario (UPN) de la cuenta y el SID.
- Contenido completo de los registros del sistema operativo.
- Información sobre los sistemas de llamadas.
- Información sobre las detecciones realizadas por programas de Kaspersky Lab que admiten Kaspersky Managed Detection and Response.
- Información sobre los correos electrónicos recibidos, que incluye: direcciones de correo electrónico del remitente y del destinatario, asunto, información del archivo adjunto: nombre del archivo adjunto, tamaño, hash (MD5), resultados del análisis del formato de archivo.
- Información sobre las coordenadas del área de la pantalla en la que se realizó la captura de pantalla.
- Información sobre las conexiones de red, las direcciones IP y los puertos del emisor y el receptor, los índices de zona IPv6, la información sobre la dirección de la conexión de red (entrante/saliente), los tipos y máscaras de las consultas DNS realizadas, los códigos de error de las operaciones de consulta DNS, la respuesta a una consulta DNS e información sobre el servidor DNS solicitado.
- Los datos y métodos de conexión HTTP, las direcciones web visitadas, las URL de referencia, los agentes de usuario y los datos del protocolo de autenticación de red: hash MD5 de datos para la autenticación de Kerberos, el nombre de cuenta u ordenador, el nombre del dominio de Kerberos al que pertenece el nombre del servidor, el dominio al que pertenece el nombre del cliente, el UPN de la cuenta, el paquete de criptografía que se utilizó para el ticket de Kerberos emitido, la máscara del indicador del ticket de Kerberos en formato hexadecimal, la hora de emisión del ticket de Kerberos, la hora de vencimiento del ticket de Kerberos, la fecha de vencimiento del ticket (después de la que el ticket no se puede renovar) y el nombre del controlador de dominio utilizado para emitir el ticket de Kerberos.
- Información sobre los protocolos de la capa de aplicaciones: tamaño de la solicitud de búsqueda de LDAP, filtro de solicitud de búsqueda de LDAP, nombre único de la solicitud de búsqueda de LDAP, lista de atributos para la solicitud de búsqueda de LDAP.
- Información de .NET: nombre completo del conjunto .NET descargado, indicadores de conjunto del conjunto .NET descargado, indicadores de módulo del módulo .NET descargado, nombre de dominio del conjunto .NET descargado, módulos para el código auxiliar de MSIL generado, información sobre el método administrado: el espacio de nombres del método administrado de interacción, el nombre del método administrado de interacción, la firma del método administrado de interacción, la firma del método nativo y la firma del código auxiliar del método.
- La información sobre los archivos se procesa en el sistema operativo: nombre y ruta del archivo, tamaño, atributos, tipos de archivos y objetos, resultados del análisis de formato del archivo, suma de comprobación (MD5), dirección web desde la que se descargó el archivo, dirección de correo electrónico del remitente desde la que se recibió el archivo y el asunto del correo electrónico, el contenido del sistema de archivos de la estructura VERSIONINFO de los metadatos del archivo, información sobre el editor si el archivo está firmado, el ID de usuario del propietario del archivo, el ID de grupo de propietarios del archivo, la hora a la que se accedió por última vez al archivo, la hora a la que se modificaron por última vez los metadatos del archivo, la hora a la que se creó el archivo, las máscaras de indicador de verificación de la firma digital, las fechas de inicio y fin y los códigos de las operaciones en archivos y objetos, el número de lanzamientos de archivos ejecutables, el identificador de formato del archivo, la ruta completa del objeto y la ruta del contenedor del objeto, el contenido del archivo de ejecución automática y el nombre del archivo y la ruta al archivo en la fuente de red remota a la cual se está accediendo.
- Contenido del directorio \etc\.
- Datos de salida de comando.
- Datos de auditoría: resultado de la operación, descripción de la operación, tipo de evento y usuario de la operación.
- Información sobre el proceso: identificador de proceso (PID), rastreo de llamada del proceso, información sobre el archivo ejecutable del proceso y su línea de comando, información sobre el proceso principal, hash MD5 del código de error de computación del archivo ejecutable, códigos de error principales, información de integridad del proceso, información de inicio de sesión, línea de comandos, argumentos de la línea de comandos para el proceso, variables de entorno para el proceso de destino, identificador único del registro de actividad del proceso, nombre o dirección del sitio de inyección de código, información sobre los derechos de acceso del proceso, códigos de error para calcular el hash MD5 de un objeto desde la línea de comandos del proceso, una lista de contenedores de archivos que encapsula el objeto, el directorio de trabajo inicial para el proceso de destino y la matriz de identificadores (PID) para los procesos completados.
- Información de registro: nombres, secciones y valores.
- Información sobre las operaciones remotas: el nombre del equipo remoto y el nombre completo (FQDN) del ordenador remoto en el que se llevó a cabo la operación remota, el nombre de la cuenta de usuario que inició la operación remota, el identificador proporcionado por el sistema del proceso remoto que inició la operación remota, la hora de inicio del proceso remoto que inició la operación remota, el nombre del espacio de nombre para el usuario de los eventos WMI, el nombre del filtro de eventos WMI del usuario, el nombre del usuario creado de los eventos WMI y el código fuente del usuario de los eventos WMI.
- Información de error: código de error para el cálculo MD5, código de error de acceso al archivo, códigos de error principales y códigos de error secundarios.
- Información sobre las tareas de evento de respuesta creadas por especialistas de Kaspersky Lab y del Usuario: nombre y tipo del evento, fecha y hora en que ocurrió el evento, y configuración y resultados de la tarea de respuesta (información sobre el objeto [ruta del objeto, nombre y tamaño del objeto, y sumas de comprobación MD5 y SHA256], información sobre la puesta en cuarentena del objeto, información sobre la supresión del objeto, información sobre la terminación del proceso, información sobre la supresión de una clave/rama de registro, información sobre el inicio del proceso, información sobre objetos solicitados por especialistas de Kaspersky Lab para un análisis detallado a partir del consentimiento del Usuario [nombre, ruta, tamaño y tipo del objeto, sumas de comprobación MD5 y SHA256, descripción del objeto, fecha y hora del procesamiento de la solicitud de archivos, y contenido del archivo], información sobre la instalación y la eliminación del aislamiento de red del dispositivo, e información sobre los errores resultantes de la tarea de respuesta).
- Datos sobre los scripts que se ejecuten en el ordenador: argumentos de la línea de comandos, contenido del script o parte del script que se ejecuten en el ordenador y el contenido del objeto o parte del objeto recibido por AMSI.
- Datos sobre los comandos recibidos por la aplicación de consola, incluidos los intérpretes de la línea de comandos, que utilicen la redirección de entradas a través de una tubería («pipe») o un archivo, así como los comandos ejecutados por el usuario en las aplicaciones de consola, incluidos los intérpretes de la línea de comandos.
Lista de datos sobre eventos que se detectan como resultado del análisis de tráfico de red
Con el fin de identificar los eventos de seguridad de datos nuevos y complicados, como también sus orígenes, así como las amenazas de intrusión, y para tomar medidas rápidas para aumentar la protección de los datos almacenados y procesados con el ordenador por el Cliente, el Cliente acepta proporcionar automáticamente lo siguiente información para recibir el Servicio:
- Información sobre el identificador, la versión, el tipo y la marca de tiempo del registro en la base de datos antivirus utilizada para detectar un evento de seguridad de la información, el nombre de la amenaza según la clasificación del Titular del derecho, la marca de tiempo de las bases de datos antivirus que se utilizan, el código de tipo de archivo, el identificador de formato de archivo, el identificador de tarea del software que detectó el evento, el indicador de verificación de reputación o verificación de firma de archivo.
- Información para determinar la reputación de archivos y recursos web, incluida la dirección IP y el nombre de dominio de la dirección URL en la que se solicita la reputación, el nombre del archivo que se ejecutó en el momento en que se detectó el evento, la ruta del archivo y las sumas de comprobación (MD5) del archivo, y su ruta.
- Información sobre la emulación del archivo ejecutable, incluido el tamaño del archivo y sus sumas de comprobación (MD5, SHA256, SHA1), la versión del componente de emulación, la profundidad de la emulación, una serie de propiedades de los bloques lógicos y funciones dentro de los bloques lógicos obtenidos durante la emulación, los datos de los encabezados PE del archivo ejecutable.
- Información acerca de todos los objetos detectados, como el nombre y el tamaño del objeto, la ruta completa al objeto en el ordenador, las sumas de comprobación (MD5, SHA256) de los archivos que se procesan, el nombre del evento asociado con el objeto, la fecha y hora de detección, la marca de la presencia de la firma digital del archivo, el nombre de la organización que firmó el archivo, el estado de confianza y el nivel de amenaza del archivo, el identificador y la prioridad de la regla utilizada para la detección y el tipo de tecnología de detección.
- El tipo de origen desde el que se descargó el objeto, la dirección IP de la fuente (o suma de comprobación (MD5) de la dirección IP, cuando es local), la dirección URL de la fuente, así como la dirección URL de referencia, el nombre, el dominio nombre y suma de comprobación (MD5) del nombre del host que envió la solicitud de descarga y la información de servicio sobre el navegador web que envió la solicitud de descarga.
- Sumas de comprobación (MD5) de las partes local y de dominio de las direcciones de correo electrónico del remitente y del destinatario, así como la suma de comprobación (MD5) del asunto del correo electrónico.
- Direcciones IP locales y remotas de la conexión de red, los números de los puertos locales y remotos, y el identificador de protocolo de la conexión.
- Dirección URL y nombre del host de destino, y las direcciones IP del host.
- El identificador del sistema operativo instalado en una máquina virtual que el software utiliza para analizar objetos.
- Información adicional sobre eventos, incluido el índice de frecuencia del archivo en la red local del Usuario, la fecha de intrusión del archivo en la red local y en el ordenador del Usuario, los identificadores de las cuentas desde las que se inició el proceso, las sumas de comprobación de sus nombres de usuario, así como los nombres de sus dominios o grupos de trabajo e información sobre los privilegios de las cuentas de usuario.
- Información sobre la actividad de red del proceso, incluidos los nombres de dominio de los recursos de red que se utilizan para establecer una conexión, y las direcciones IP de los dominios, la frecuencia de la conexión con el recurso de red seleccionado, el tamaño y el tipo de los datos transferidos.
- Información sobre el uso del dominio del recurso de red, incluido el índice de frecuencia de las solicitudes al dominio desde la red local, la marca de hora de la primera solicitud al dominio desde la red local, la duración de las solicitudes de diferentes usuarios y las sumas de comprobación de sus nombres, los nombres de los ordenadores que iniciaron las solicitudes al dominio e información adicional sobre las razones de detección.
- Información de servicio sobre el componente de procesamiento de estadísticas, incluida la fecha y hora del inicio y el final del término que se utilizó para analizar los datos estadísticos, el volumen de la memoria de disco libre y utilizada, la hora del último procesamiento de eventos, el tiempo de funcionamiento de los diferentes algoritmos de detección, los mensajes sobre los errores del componente y los mensajes sobre el inicio exitoso de los diferentes algoritmos de detección.
- Datos enviados al soporte técnico.
Suministro de datos mientras se usa Kaspersky Endpoint Agent
Para obtener detalles sobre el suministro de datos mientras usa Kaspersky Endpoint Agent, consulte el artículo de ayuda correspondiente de Kaspersky Endpoint Agent for Windows.
Inicio de página