Kaspersky Anti Targeted Attack Platform (EDR)
Kaspersky Anti Targeted Attack Platform (EDR)
يتم حذف كل البيانات التي يخزنها التطبيق محليًا على الكمبيوتر من الكمبيوتر عند إلغاء تثبيت Kaspersky Endpoint Security.
بيانات الخدمة
يُخزن العامل المدمج في Kaspersky Endpoint Security البيانات التالية محليًا:
- الملفات والبيانات التي يجري معالجتها التي أدخلها المستخدم أثناء تكوين العامل المدمج في Kaspersky Endpoint Security:
- الملفات المعزولة
- إعدادات العامل المدمج في Kaspersky Endpoint Security:
- المفتاح العام للشهادة المستخدمة للتكامل مع Central Node
- بيانات الترخيص
- البيانات المطلوبة للتكامل مع Central Node:
- قائمة انتظار حزمة حدث القياس عن بُعد
- ذاكرة التخزين المؤقت لمعرفات ملف مؤشر الاختراق المستلمة من Central Node
- الكائنات التي سيتم تمريرها إلى الخادم خلال مهمة الحصول على الملف
- تقارير نتائج مهمة الحصول على التحقيق الجنائي
البيانات في الطلبات المقدمة إلى KATA (EDR)
عند الدمج مع Kaspersky Anti Targeted Attack Platform، يتم تخزين البيانات التالية محليًا على الكمبيوتر:
البيانات من العامل المدمج لطلبات Kaspersky Endpoint Security إلى مكون Central Node:
- في طلبات المزامنة:
- المعرف الفريد
- الجزء الأساسي من عنوان ويب الخادم
- اسم الكمبيوتر
- عنوان IP الكمبيوتر
- عنوان MAC الكمبيوتر
- التوقيت المحلي على الكمبيوتر
- حالة الدفاع الذاتي في Kaspersky Endpoint Security
- اسم وإصدار نظام التشغيل المُثبت على الكمبيوتر
- إصدار Kaspersky Endpoint Security
- إصدارات إعدادات التطبيق وإعدادات المهمة
- حالات المهمة: معرفات المهام وحالات التنفيذ ورموز الخطأ
- في طلبات الحصول على الملفات من الخادم:
- المعرفات الفريدة للملفات
- معرّف Kaspersky Endpoint Security الفريد
- المعرفات الفريدة للشهادات
- الجزء الأساسي من عنوان ويب الخادم المُثبت عليه مكون Central Node
- عنوان IP المضيف
- في تقارير نتائج تنفيذ المهمة:
- عنوان IP المضيف
- معلومات عن الكائنات التي تم اكتشافها أثناء فحص مؤشر الاختراق أو فحص YARA
- علامات الإجراءات الإضافية التي يتم تنفيذها عند الانتهاء من المهام
- أخطاء تنفيذ المهام ورموز الإرجاع
- حالات إكمال المهمة
- وقت إكمال المهمة
- إصدارات الإعدادات المستخدمة لتنفيذ المهام
- معلومات عن الكائنات المرسلة إلى الخادم والكائنات المعزولة والكائنات المستعادة من العزل: المسارات إلى الكائنات وتجزئات MD5 وSHA256 ومعرفات الكائنات المعزولة
- معلومات عن العمليات التي بدأت أو توقفت على جهاز كمبيوتر بناءً على طلب الخادم: PID وUniquePID ورمز الخطأ وتجزئات MD5 وSHA256 للكائنات
- معلومات غن الخدمات التي تم تشغيلها أو إيقافها على جهاز كمبيوتر بناءً على طلب الخادم: اسم الخدمة ونوع بدء التشغيل ورمز الخطأ وتجزئة MD5 وSHA256 لصور ملفات الخدمات
- معلومات عن الكائنات التي تم إجراء تفريغ ذاكرة لأجلها لفحص YARA (المسارات، معرف ملف التفريغ)
- الملفات المطلوبة من قبل الخادم
- حزم القياس عن بعد
- بيانات عن العمليات قيد التشغيل:
- اسم الملف القابل للتنفيذ، بما في ذلك المسار الكامل والملحق
- معلمات التشغيل التلقائي للعملية
- معرف العملية
- معرف جلسة تسجيل الدخول
- اسم جلسة تسجيل الدخول
- تاريخ ووقت بدء العملية
- تجزئات MD5 وSHA256 للكائن
- البيانات الموجودة في الملفات:
- مسار الملف
- اسم الملف
- حجم الملف
- سمات الملف
- تاريخ ووقت إنشاء الملف
- تاريخ ووقت آخر تعديل للملف
- وصف الملف
- اسم الشركة
- تجزئات MD5 وSHA256 للكائن
- مفتاح التسجيل (لنقاط التشغيل التلقائي)
- البيانات في الأخطاء التي تحدث عند استرداد معلومات عن الكائنات:
- الاسم الكامل للكائن الذي تمت معالجته عند حدوث خطأ
- رمز الخطأ
- بيانات القياس عن بعد:
- عنوان IP المضيف
- نوع البيانات في التسجيل قبل عملية التحديث الملتزم بها
- البيانات الموجودة في مفتاح التسجيل قبل عملية التغيير الملتزم بها
- نص البرنامج النصي الذي تمت معالجته أو جزء منه
- نوع الكائن الذي تم معالجته
- طريقة تمرير أمر إلى مترجم الأوامر
البيانات من طلبات مكون Central Node إلى العامل المدمج في Kaspersky Endpoint Security:
- إعدادات المهمة:
- نوع المهمة
- إعدادات جدولة المهمة
- أسماء وكلمات مرور الحسابات التي يمكن تشغيل المهام تحتها
- إصدارات الإعدادات
- معرفات الكائنات المعزولة
- المسارات إلى الكائنات
- تجزئات MD5 وSHA256 للكائنات
- سطر الأوامر لبدء العملية باستخدام الوسيطات
- علامات الإجراءات الإضافية التي يتم تنفيذها عند الانتهاء من المهام
- معرفات ملف مؤشر الاختراق التي سيتم استردادها من الخادم
- ملفات IOC
- اسم الخدمة
- نوع بدء تشغيل الخدمة
- المجلدات التي يجب استلام نتائج مهمة الحصول على التحقيق الجنائي لها
- أقنعة أسماء الكائنات وملحقاتها لمهمة الحصول على التحقيق الجنائي
- إعدادات عزل شبكة الاتصال:
- أنواع الإعدادات
- إصدارات الإعدادات
- قوائم استثناءات عزل شبكة الاتصالات وإعدادات الاستثناء: اتجاه حركة المرور وعناوين IP والمنافذ والبروتوكولات والمسارات الكاملة إلى الملفات القابلة للتنفيذ
- علامات الإجراءات الإضافية
- وقت تعطيل العزل التلقائي
- إعدادات منع التنفيذ
- أنواع الإعدادات
- إصدارات الإعدادات
- قوائم قواعد منع التنفيذ وإعدادات القواعد: المسارات إلى الكائنات وأنواع الكائنات وتجزئة MD5 وSHA256 للكائنات
- علامات الإجراءات الإضافية
- إعدادات تصفية الأحداث:
- أسماء الوحدات النمطية
- المسارات الكاملة إلى الكائنات
- تجزئات MD5 وSHA256 للكائنات
- معرفات الإدخالات في سجل أحداث Windows
- إعدادات الشهادة الرقمية
- اتجاه حركة المرور وعناوين IP والمنافذ والبروتوكولات والمسارات الكاملة إلى الملفات القابلة للتنفيذ
- أسماء المستخدمين
- أنواع تسجيل دخول المستخدم
- أنواع أحداث القياس عن بُعد التي يتم تطبيق عوامل التصفية عليها
البيانات في نتائج فحص YARA
ينقل العامل المدمج في Kaspersky Endpoint Security نتائج فحص YARA تلقائيًا إلى Kaspersky Anti Targeted Attack Platform لبناء سلسلة تطور التهديدات.
يتم تخزين البيانات مؤقتًا محليًا في قائمة الانتظار لإرسال نتائج تنفيذ المهمة إلى خادم Kaspersky Anti Targeted Attack Platform. ويتم حذف البيانات من التخزين المؤقت بمجرد إرسالها.
تحتوي نتائج فحص YARA على البيانات التالية:
- تجزئات MD5 وSHA256 للملف
- الاسم الكامل للملف
- مسار الملف
- حجم الملف
- اسم العملية
- وسائط العملية
- المسار إلى ملف العملية
- معرف Windows (PID) للعملية
- معرف Windows (PID) للعملية الأصل
- حساب المستخدم الذي بدأ العملية
- تاريخ ووقت بدء العملية
هل وجدت هذه المقالة مفيدة؟
ما الذي يمكننا تحسينه؟
شكرًا لك على ملاحظاتك! تساعدُنا على التحسن.
شكرًا لك على ملاحظاتك! تساعدُنا على التحسن.