Предоставление данных
Для корректной работы компонентов Kaspersky Managed Detection and Response требуется обработка данных на стороне "Лаборатории Касперского". Компоненты не отправляют данные без разрешения администратора Kaspersky Managed Detection and Response.
Список пользовательских данных зависит от региона, в котором используется решение. Для вашего региона список пользовательских данных может отличаться от приведенного в этом разделе.
"Лаборатория Касперского" обеспечивает защиту всех полученных данных в соответствии с законодательством и применимыми правилами "Лаборатории Касперского". Данные передаются по безопасным каналам связи.
Список данных о событиях, происходящих на устройствах Пользователя
В целях выявления новых комплексных угроз безопасности данных и их источников, а также угроз вторжения, и принятия оперативных мер по усилению защиты данных, хранящихся и обрабатываемых Клиентом с помощью компьютера, для получения Услуги Клиент обязуется автоматически предоставлять следующие данные:
- Дата установки и активации программного обеспечения, полные имя и версия программного обеспечения, включая информацию об установленных обновлениях и языковой локализации программного обеспечения.
- Данные об установленном на компьютере программном обеспечении, включая версию операционной системы дату ее загрузки и установленных обновлений, объектах ядра, драйверах, службах, точках автозапуска, программах, которые запускаются автоматически при различных системных событиях (например, запуск операционной системы, вход пользователя в систему и т. д.), и их конфигурациях, расширениях браузеров, расширениях Microsoft Internet Explorer, расширениях системы печати, расширениях Проводника Windows, расширениях оболочки операционной системы, контрольных суммах загруженных объектов (MD5), элементах Active Setup, приложениях панели управления, версиях браузеров и почтовых клиентов.
- Данные о разрешенных возможностях на основе файловой системы, эффективный бит возможностей файловой системы, версия возможностей файловой системы, переменные среды, имена системных вызовов.
- Данные об унаследованных возможностях на основе файловой системы.
- Данные об имени компьютера, IP-адресах, шлюзах по умолчанию, MAC-адресах и оборудовании, включая контрольную сумму серийного номера жесткого диска, последние 12 байтов идентификатора компьютерной безопасности (SID), идентификатор зоны безопасности, извлеченный из потока NTFS.
- Данные о программных средствах, используемых для устранения проблем в программном обеспечении, установленном на компьютере Пользователя или для изменения его функциональных возможностей, а также коды возврата, полученные после установки каждого элемента программного обеспечения.
- Данные о состоянии антивирусной защиты компьютера, включая версию, дату и время выпуска используемых антивирусных баз, статистику обновлений и подключений к службам Лаборатории Касперского, идентификаторы задания, идентификаторы и версии программных компонентов, выполняющих проверку, флаги, обозначающие внутреннюю тестовую среду Kaspersky, коды первичной ошибки для конкретного события, коды вторичной ошибки для конкретного события, порядковые номера событий.
- Лицензионный ключ и серийный номер приложений "Лаборатории Касперского", названия и версии этих приложений. Идентификаторы установок приложений Лаборатории Касперского, описание клиента из файла информации о лицензии.
- Данные об учетных записях пользователей: имя учетной записи, имя пользователя, идентификатор операционной системы, информация для входа, права, членство в группах, типы сеансов входа в систему, имя пакета аутентификации, имена доменов, DNS имена, используемые при аутентификации сеансов входа в систему, имя сервера, используемого для аутентификации, основное имя пользователя (UPN) учетной записи, SID.
- Полное содержимое журналов операционной системы.
- Данные системных вызовов.
- Данные об обнаружениях от приложений "Лаборатории Касперского", поддерживающих работу Kaspersky Managed Detection and Response.
- Данные о полученных электронных письмах, включая: адреса электронной почты отправителя и получателя, тему, информацию о вложениях: имя прикрепленного файла, размер, хеш (MD5) и результаты анализа формата файла.
- Данные о координатах области экрана, с которой снят снимок экрана.
- Данные о сетевых подключениях, включая IP-адреса и порты отправителя и получателя, индексы зон IPv6, информация о направлении сетевого подключения (входящее/исходящее), типы и маски выполненных DNS-запросов, коды ошибок для операции запроса DNS, действия по реагированию на запрос DNS, информация о запрошенном DNS-сервере.
- Данные и методы HTTP-соединений, включая посещенные веб-адреса, источники ссылок, агента пользователя, данные сетевого протокола аутентификации: MD5-хеш данных для аутентификации Kerberos, имя учетной записи или компьютера, имя области Kerberos, которой принадлежит имя сервера, домен, к которому принадлежит имя клиента, основное имя пользователя (UPN) учетной записи, криптографический пакет, который использовался для выданного билета Kerberos, маска флагов билета Kerberos в шестнадцатеричном формате, время выдачи билета Kerberos, время истечения срока действия билета Kerberos, окончательный срок действия билета (после которого билет не может быть продлен), имя контроллера домена, используемого для выдачи тикета Kerberos.
- Данные о протоколах прикладного уровня: объем поискового запроса LDAP, фильтр для поискового запроса LDAP, отличительное имя для поискового запроса LDAP, список атрибутов для поискового запроса LDAP.
- Данные о .NET: полное имя загруженной сборки .NET, флаги сборки для загруженной сборки .NET, флаги модуля для загруженного .NET-модуля, имя домена, в который загружена сборка .NET, флаги для сгенерированной заглушки MSIL, данные управляемого метода: пространство имен управляемого метода взаимодействия, имя управляемого метода взаимодействия, сигнатура управляемого метода взаимодействия, сигнатура собственного метода, сигнатура метода-заглушки.
- Данные о файлах, обрабатываемых в операционной системе: имя и путь, размер, атрибуты, типы файлов и объектов, результаты анализа формата файла, контрольная сумма (MD5), веб-адрес, с которого был загружен файл, адрес электронной почты отправителя, от которого был получен файл, и тема сообщения электронной почты, содержимое файловой системы, структуры VERSIONINFO из метаданных файла, информация об издателе, если файл подписан, ID пользователя-владельца файла, идентификатор группы владельцев файла, время последнего доступа к файлу, время последнего изменения метаданных файла, время создания файла, маски флагов проверки цифровой подписи, временные метки и коды операций над файлами и объектами, количество запусков исполняемого файла, идентификатор формата файла, полный путь к объекту и пути к контейнеру объекта, содержимое файла автозапуска, имя файла и путь к файлу на удаленном сетевом ресурсе, к которому выполняется обращение.
- Содержимое каталога "\etc\".
- Данные выводов команд.
- Данные аудита: результат операции, описание операции, тип события и пользователь операции.
- Данные о процессе: идентификатор процесса (PID), трассировка вызова процесса, информация об исполняемом файле процесса и его командной строки, информация о родительском процессе, MD5-хеш кода ошибки вычисления исполняемого файла, коды первичных ошибок, информация о целостности процесса, информация о сеансе входа, командная строка, аргументы командной строки для процесса, переменные среды для целевого процесса, уникальный идентификатор журнала активности процесса, название и/или адрес места инъекции кода, информация о правах доступа для процесса, коды ошибок вычисления хеша MD5 для объекта из командной строки процесса, список файловых упаковщиков, которыми упакован объект, начальный рабочий каталог для целевого процесса, массив идентификаторов процессов (PID), которые были завершены.
- Данные о реестре: имена, разделы и значения.
- Данные об удаленных операциях: имя удаленного компьютера и полное (FQDN) имя удаленного компьютера, на котором была выполнена удаленная операция, имя учетной записи пользователя, которая инициировала удаленную операцию, предоставляемый системой идентификатор удаленного процесса, инициировавшего удаленную операцию, время начала удаленного процесса, инициировавшего удаленную операцию, имя пространства имен для потребителя событий WMI, имя фильтра, используемого потребителем событий WMI, имя созданного потребителя событий WMI, исходный код потребителя событий WMI.
- Данные об ошибках: код ошибки расчета сумм MD5, код ошибки доступа к файлу, коды первичных ошибок, коды вторичных ошибок.
- Данные о событиях выполнения задач по реагированию, созданных специалистами "Лаборатории Касперского" и специалистами Пользователя: название и тип события, дата и время возникновения события, настройки и результаты выполнения задачи по реагированию (информация об объекте (путь к объекту, название и размер объекта, контрольные суммы объекта MD5 и SHA256), информация о помещении объекта в карантин, информация об удалении объекта, информация о завершении процесса, информация об удалении ключа/ветки реестра, информация о запуске процесса, информация об объектах, запрошенных специалистами "Лаборатории Касперского" для детального анализа с согласия Пользователя (имя, путь, размер и тип объекта, контрольные суммы объекта MD5 и SHA256, описание объекта, дата и время обработки запроса файла, содержимое файла), информация об установке и снятии сетевой изоляции устройства, информация об ошибках в результате выполнения задачи на реагирование).
- Данные о скриптах, запускаемых на компьютере: аргументы командной строки, содержимое скрипта или части скрипта, запущенного на компьютере и содержимое объекта или части объекта, полученного по AMSI.
- Данные о командах, полученных консольным приложением, включая интерпретаторы, с использованием перенаправления ввода через канал или файл, а также командах, выполненных пользователем в консольных приложениях, включая интерпретаторы.
Список данных о событиях, выявленных в результате анализа сетевого трафика:
В целях выявления новых комплексных событий безопасности данных и их источников, а также угроз вторжения, и принятия оперативных мер по усилению защиты данных, хранящихся и обрабатываемых Клиентом с помощью компьютера, для получения Услуги Клиент обязуется автоматически предоставлять следующие данные:
- Данные об идентификаторе, версии, типе и временной отметке записи в антивирусной базе данных, используемой для обнаружения события информационной безопасности, название угрозы на основе классификации "Лаборатории Касперского", временная отметка используемых антивирусных баз, код типа файла, идентификатор формата файла, идентификатор задачи программного обеспечения, обнаружившего событие, индикатор проверки репутации или проверки подписи файла.
- Данные для определения репутации файлов и веб-ресурсов, включая IP-адрес и доменное имя веб-адреса, для которого запрашивается репутация, имя файла, который исполнялся в момент обнаружения события, путь к файлу и контрольные суммы (MD5) файла и пути к нему.
- Данные об эмуляции исполняемого файла, включая размер файла и его контрольные суммы (MD5, SHA256, SHA1), версию компонента эмуляции, глубину эмуляции, массив свойств логических блоков и функций внутри логических блоков, полученные во время эмуляции и данные из PE-заголовков исполняемого файла.
- Данные обо всех обнаруженных объектах, включая имя и размер объекта, полный путь к объекту на компьютере, контрольные суммы (MD5, SHA256) обрабатываемых файлов, имя события, связанного с объектом, дата и время обнаружения, признак наличия цифровой подписи файла, название организации, подписавшей файл, статус доверенности и уровень угрозы файла, идентификатор и приоритет правила, используемого для обнаружения и тип технологии обнаружения.
- Тип источника, из которого был загружен объект, IP-адрес источника (или контрольная сумма (MD5) IP-адреса, если он локальный), веб-адрес источника, веб-адрес источника ссылки, имя, доменное имя и контрольная сумма (MD5) имени устройства, отправившего запрос на загрузку, и служебная информации о веб-браузере, отправившем запрос на загрузку.
- Контрольные суммы (MD5) локальной и доменной частей адресов электронной почты отправителя и получателя, а также контрольная сумма (MD5) темы сообщения электронной почты.
- Локальный и удаленный IP-адреса сетевого подключения, номера локальных и удаленных портов и идентификатор протокола подключения.
- Веб-адрес и имя целевого устройства, а также IP-адреса устройства.
- Идентификатор операционной системы, установленной на виртуальной машине, используемой программным обеспечением для анализа объектов.
- Дополнительная информация о событиях, включая индекс частоты встречаемости файла в локальной сети Пользователя, дату проникновения файла в локальную сеть и на компьютер Пользователя, идентификаторы учетных записей, с которых был запущен процесс, контрольные суммы их имен пользователей, а также имена их доменов или рабочих групп, информация о правах учетных записей пользователей.
- Информация о сетевой активности процесса, включая доменные имена сетевых ресурсов, используемых для установления соединения, и IP-адреса доменов, частота подключения к выбранному сетевому ресурсу, размер и тип передаваемых данных.
- Информация об использовании домена сетевого ресурса, включая индекс частоты запросов к домену из локальной сети, временную отметку первого запроса к домену из локальной сети, длительность запросов от различных пользователей и контрольные суммы их имен, имен их компьютеров, инициировавших запросы к домену, дополнительная информация о причинах обнаружения.
- Служебная информация о компоненте обработки статистики, включая дату и время начала и окончания периода, используемого для анализа статистических данных, объем свободной и использованной дисковой памяти, время последней обработки события, время работы различных алгоритмов обнаружения, сообщения об ошибках компонента, сообщения об успешном запуске различных алгоритмов обнаружения.
- Данные, передаваемые в службу технической поддержки.
Предоставление данных при использовании Kaspersky Endpoint Agent
Подробную информацию о предоставлении данных при использовании Kaspersky Endpoint Agent см. в справке Kaspersky Endpoint Agent для Windows.
В начало