Pour que certains composants de Kaspersky Managed Detection and Response fonctionnent, il est nécessaire que Kaspersky traite les données de l’utilisateur. Les composants n’envoient pas de données sans l’autorisation de l’administrateur de Kaspersky Managed Detection and Response.
Kaspersky protège toute information reçue conformément à la loi et aux règles applicables de Kaspersky. Les données sont transmises à travers un canal sécurisé.
Liste des informations fournies lors de la surveillance de Kaspersky Endpoint Security
Afin de détecter les menaces nouvelles et complexes pour la sécurité des données et leurs sources, ainsi que les menaces d’intrusion, et de prendre des mesures rapides pour augmenter la protection des données stockées et traitées avec un ordinateur par le Client, celui-ci s’engage à fournir automatiquement les informations suivantes pour recevoir le Service :
Date d’installation et d’activation du logiciel, nom complet et version du logiciel, y compris les informations sur les mises à jour installées et la localisation linguistique du logiciel.
Informations sur le logiciel installé sur l’ordinateur, y compris la version du système d’exploitation et les mises à jour installées, les objets de noyau, les pilotes, les services, les entrées de démarrage automatique, les programmes qui sont automatiquement lancés en cas de divers événements système (par exemple, démarrage du système d’exploitation, connexion de l’utilisateur) et leurs configurations, extensions de navigateur, extensions Microsoft Internet Explorer, extension du système d’impression, extensions de l’explorateur Windows, extensions shell du système d’exploitation, sommes de contrôle des objets chargés (MD5), éléments Active Setup, applications du panneau de configuration, navigateurs et versions du client de messagerie.
Informations sur le nom de l’ordinateur, les adresses IP, les passerelles par défaut, les adresses MAC et le matériel, y compris une somme de contrôle du numéro de série du disque dur.
Données sur les outils des logiciels utilisés pour résoudre les problèmes du logiciel installé sur l’ordinateur du Client, ou pour modifier ses fonctionnalités, et les codes de retour reçus après l’installation de chaque logiciel.
Informations sur l’état de la protection antivirus de l’ordinateur, y compris les versions et les dates et heures de publication des bases de données antivirus utilisées, les statistiques sur les mises à jour et les connexions avec les services Kaspersky, l’identifiant de la tâche et l’identifiant du composant logiciel qui effectue l’analyse.
Identifiant de la licence et numéro de série des produits Kaspersky, noms et versions de ces produits. Identifiants des installations des produits Kaspersky.
Informations sur les comptes utilisateurs : nom de compte, nom d’utilisateur, identifiant de système d’exploitation, informations de connexion, privilèges, appartenances aux groupes.
Contenu complet des journaux du système d’exploitation.
Informations sur les détections de Kaspersky Endpoint Security.
Informations sur les emails reçus, y compris ce qui suit : adresses email de l’expéditeur et du destinataire, objet, informations sur les pièces jointes : nom du fichier joint, taille, hachage (MD5), résultats de l’analyse du format de fichier.
Informations sur les connexions réseau, y compris les adresses IP et les ports source et de destination.
Informations sur les connexions HTTP, y compris l’URL visitée, la référence et l’Agent utilisateur.
Informations sur les fichiers traités dans le système d’exploitation : nom et chemin, taille, attributs du système de fichiers, résultats de l’analyse du format de fichier, somme de contrôle (MD5), URL à partir de laquelle le fichier a été téléchargé, adresse email de l’expéditeur à partir duquel le fichier a été reçu et objet de l’email, contenu de la structure VERSIONINFO à partir des métadonnées du fichier, informations sur l’éditeur si le fichier est signé.
Informations sur un processus : PID, trace d’appel du processus, informations sur le fichier exécutable du processus et sa ligne de commande, informations sur le processus parent, informations sur la session de connexion, ligne de commande, arguments de ligne de commande pour le processus.
Liste des informations fournies lors de la surveillance du réseau Kaspersky
Afin de détecter les événements nouveaux et complexes pour la sécurité des données et leurs sources, ainsi que les menaces d’intrusion, et de prendre des mesures rapides pour augmenter la protection des données stockées et traitées avec un ordinateur par le Client, celui-ci s’engage à fournir automatiquement les informations suivantes pour recevoir le Service :
Informations sur l’identifiant, la version, le type et l’horodatage de l’enregistrement dans la base de données antivirus utilisée pour détecter un événement de sécurité des informations, le nom de la menace en fonction de la classification du Titulaire des droits, l’horodatage des bases de données antivirus utilisées, le code de type de fichier, l’identifiant du format de fichier, l’identifiant de la tâche du logiciel qui a détecté l’événement, l’indicateur de vérification de réputation ou de vérification de la signature de fichier.
Informations permettant de déterminer la réputation des fichiers et des ressources Internet, y compris l’adresse IP et le nom de domaine de l’adresse URL à laquelle la réputation est demandée, le nom du fichier qui a été exécuté au moment où l’événement a été détecté, le chemin du fichier et les sommes de contrôle (MD5) du fichier ainsi que son chemin.
Informations sur l’émulation du fichier exécutable, y compris la taille du fichier et ses sommes de contrôle (MD5, SHA2-256, SHA1), la version du composant de l’émulation, la profondeur de l’émulation, un vecteur des caractéristiques des blocs logiques et des fonctions au sein des blocs logiques obtenus lors de l’émulation, les données des en-têtes PE du fichier exécutable.
Informations sur tous les objets détectés, y compris le nom et la taille de l’objet, le chemin complet de l’objet sur l’ordinateur, les sommes de contrôle (MD5, SHA2-256) des fichiers en cours de traitement, le nom de l’événement associé à l’objet, la date et l’heure de la détection, l’indicateur de présence de la signature numérique du fichier, le nom de l’organisation qui a signé le fichier, l’état de confiance et le niveau de menace du fichier, l’identifiant et la priorité de la règle utilisée pour la détection, et le type de technologie de détection.
Le type de source à partir de laquelle l’objet a été téléchargé, l’adresse IP de la source (ou la somme de contrôle (MD5) de l’adresse IP lorsqu’elle est locale), l’URL de la source ainsi que l’URL de référence, le nom, le nom et la somme de contrôle (MD5) du domaine du nom de l’hôte qui a envoyé la demande de téléchargement, les informations de service sur le navigateur Internet, qui a envoyé la demande de téléchargement.
Sommes de contrôle (MD5) des parties locales et de domaine des adresses email de l’expéditeur et du destinataire ainsi que somme de contrôle (MD5) de l’objet de l’email.
Les adresses IP locales et distantes de la connexion réseau (ou somme de contrôle (MD5) de l’adresse IP lorsqu’elle est locale), les numéros des ports locaux et distants et l’identifiant du protocole de la connexion.
URL et nom de l’hôte cible, et adresses IP de l’hôte.
L’identifiant du système d’exploitation qui est installé sur une machine virtuelle utilisée par le logiciel pour analyser les objets.
Informations supplémentaires sur les événements, y compris l’indice de fréquence du fichier sur le réseau local du Client, la date de l’intrusion du fichier dans le réseau local et sur l’ordinateur du Client, les identifiants des comptes à partir desquels le processus a été lancé, les sommes de contrôle de leurs noms d’utilisateur, ainsi que les noms de leurs domaines ou groupes de travail, et les informations sur les privilèges des comptes utilisateurs.
Informations sur l’activité réseau du processus, y compris les noms de domaine des ressources réseau qui ont été utilisées pour établir une connexion, et les adresses IP des domaines, la fréquence de la connexion à la ressource réseau sélectionnée ainsi que la taille et le type de données transférées.
Informations sur l’utilisation du domaine de la ressource réseau, y compris l’indice de fréquence des requêtes au domaine à partir du réseau local, l’horodatage de la première requête au domaine à partir du réseau local, la durée des requêtes des différents utilisateurs et les sommes de contrôle de leurs noms, les noms des ordinateurs qui ont amorcé les demandes au domaine et des informations supplémentaires sur les raisons de la détection.
Informations de service sur le composant de traitement des statistiques, y compris la date et l’heure du début et de la fin de la période d’analyse des données statistiques, le volume de la mémoire disque libre et utilisée, l’heure du dernier traitement de l’événement, le temps de fonctionnement de différents algorithmes de détection, les messages sur les erreurs du composant et les messages sur le démarrage réussi de différents algorithmes de détection.
Collecte de données lors de l’utilisation de Kaspersky Endpoint Agent
Pour plus d’informations sur la collecte de données lors de l’utilisation de Kaspersky Endpoint Agent, reportez-vous à l’article d’aide correspondant de Kaspersky Endpoint Agent pour Windows.