Kaspersky Anti Targeted Attack Platform (EDR)

Alle Daten, die von der App lokal auf dem Computer gespeichert werden, werden bei der Deinstallation von Kaspersky Endpoint Security vom Computer gelöscht.

Dienstdaten

Der integrierte Agent von Kaspersky Endpoint Security speichert die folgenden Daten lokal:

• Verarbeitete Dateien und Daten, die vom Benutzer während der Konfiguration des integrierten Agenten von Kaspersky Endpoint Security eingegeben wurden:
  • Dateien in Quarantäne
  • Einstellungen des integrierten Agenten von Kaspersky Endpoint Security:
    • Öffentlicher Schlüssel des Zertifikats, das für die Integration mit Central Node verwendet wird
    • Lizenzdaten
• Daten, die zur Integration mit Central Node erforderlich sind:
  • Warteschlange für Telemetrie-Ereignispakete
  • Cache der vom Central Node empfangenen IOC-Datei-IDs
  • Objekte, die im Rahmen der Aufgabe Datei abrufen an den Server übertragen werden
  • Die Berichte mit Ergebnissen der Aufgabe Forensische Daten abrufen

Daten in Anfragen an KATA (EDR)

Bei der Integration mit Kaspersky Anti Targeted Attack Platform werden die folgenden Daten lokal auf dem Computer gespeichert:

Daten aus Anfragen des integrierten Agenten von Kaspersky Endpoint Security an die Komponente „Central Node“:

• Bei Synchronisationsanfragen:
  • Eindeutige ID
  • Grundlegender Teil der Webadresse der Servers
  • Computername
  • IP-Adresse des Computers
  • MAC-Adresse des Computers
  • Lokale Zeit auf dem Computer
  • Status des Selbstschutzes von Kaspersky Endpoint Security
  • Name und Version des auf dem Computer installierten Betriebssystems
  • Version von Kaspersky Endpoint Security
  • Versionen der App-Einstellungen und Aufgabeneinstellungen
  • Aufgabenstatus: Aufgaben-IDs, Ausführungsstatus, Fehlercodes
• Bei Anfragen zum Abrufen von Dateien von dem Server:
  • Eindeutige IDs von Dateien
  • Eindeutige ID von Kaspersky Endpoint Security
  • Eindeutige IDs von Zertifikaten
  • Grundlegender Teil der Webadresse des Servers mit installierter Central Node-Komponente
  • Host-IP-Adresse
• In den Berichten über die Ergebnisse der Aufgabenausführung:
  • Host-IP-Adresse
  • Informationen zu den während einer IOC-Untersuchung oder YARA-Untersuchung erkannten Objekten
  • Kennzeichen der zusätzlichen Aktionen, die nach dem Abschluss von Aufgaben durchgeführt werden
  • Fehler bei der Aufgabenausführung und Rückgabecodes
  • Abschlussstatus der Aufgabe
  • Abschlusszeit der Aufgabe
  • Versionen der Einstellungen, die für die Ausführung der Aufgaben verwendet werden
  • Informationen zu isolierten Objekten, die an den Server gesendet wurden, und zu aus der Quarantäne wiederhergestellten Objekten: Pfade der Objekte, MD5- und SHA256-Hashes, IDs von isolierten Objekten
  • Informationen über die auf Anforderung des Servers auf einem Computer gestarteten oder beendeten Prozesse: PID und UniquePID, Fehlercode, MD5- und SHA256-Hashwerte der Objekte
  • Informationen über die Dienste, die auf Anfrage des Servers auf einem Computer gestartet oder beendet wurden: Dienstname, Starttyp, Fehlercode, MD5- und SHA256-Hashwerte von Dateiabbildern der Dienste
  • Informationen zu den Objekten, für die ein Speicherabbild für eine YARA-Untersuchung erstellt wurde (Pfade, ID der Dump-Datei)
  • Vom Server angeforderte Dateien
  • Telemetrie-Pakete
  • Daten zu laufenden Prozessen:
    • Name der ausführbaren Datei, einschließlich vollständiger Pfad und Erweiterung
    • AutoAusführen-Parameter des Prozesses
    • Prozess-ID
    • Anmeldesitzungs-ID
    • Name der Anmeldesitzung
    • Zeitpunkt (Datum und Uhrzeit), zu dem der Prozess gestartet wurde
    • MD5- und SHA256-Hashwerte des Objekts
  • Daten zu Dateien:
    • Dateipfad
    • Dateiname
    • Dateigröße
    • Datei-Attribute
    • Datum und Uhrzeit der Erstellung der Datei
    • Datum und Uhrzeit der letzten Änderung der Datei
    • Dateibeschreibung
    • Name des Unternehmens
    • MD5- und SHA256-Hashwerte des Objekts
    • Registrierungsschlüssel (für AutoAusführen-Punkte)
  • Daten in Fehlern, die beim Abrufen von Informationen zu Objekten aufgetreten sind:
    • Vollständiger Name des Objekts, das verarbeitet wurde, als ein Fehler auftrat
    • Fehlercode
• Telemetrie-Daten:
  • Host-IP-Adresse
  • Datentyp in der Registrierung vor dem festgelegten Update-Vorgang
  • Daten im Registrierungsschlüssel vor dem festgelegten Änderungsvorgang
  • Der Text des verarbeiteten Skripts oder ein Teil davon
  • Typ des verarbeiteten Objekts
  • Methode zur Übertragung eines Befehls an den Befehlsinterpreter

Daten aus Anfragen der Central Node-Komponente an den integrierten Agenten von Kaspersky Endpoint Security:

• Aufgabeneinstellungen:
  • Aufgabentyp
  • Einstellungen für den Aufgabenzeitplan
  • Namen und Kennwörter der Benutzerkonten, unter denen die Aufgaben ausgeführt werden können
  • Versionen von Einstellungen
  • IDs von isolierten Objekten
  • Pfade der Objekte
  • MD5- und SHA256-Hashes der Objekte
  • Befehlszeile zum Starten des Prozesses mit den Argumenten
  • Kennzeichen der zusätzlichen Aktionen, die nach dem Abschluss von Aufgaben durchgeführt werden
  • Vom Server abzurufende IOC-Datei-IDs
  • IOC-Dateien
  • Dienstname
  • Starttyp des Dienstes
  • Ordner, für die die Ergebnisse der Aufgabe Forensische Daten abrufen empfangen werden müssen
  • Masken der Objektnamen und Erweiterungen für die Aufgabe Forensische Daten abrufen
• Einstellungen der Netzwerkisolation:
  • Arten von Einstellungen
  • Versionen von Einstellungen
  • Listen mit Ausnahmen der Netzwerkisolation und Ausnahmeeinstellungen: Richtung des Datenverkehrs, IP-Adressen, Ports, Protokolle und vollständige Pfade der ausführbaren Dateien
  • Kennzeichen der zusätzlichen Aktionen
  • Zeitpunkt der Deaktivierung der automatischen Isolierung
• Einstellungen der Ausführungsprävention
  • Arten von Einstellungen
  • Versionen von Einstellungen
  • Listen mit Ausführungsverhinderungsregeln und Regeleinstellungen: Pfade der Objekte, Objekttypen, MD5- und SHA256-Hashes von Objekten
  • Kennzeichen der zusätzlichen Aktionen
• Einstellungen für Ereignisfilterung:
  • Modulnamen
  • Vollständige Pfade von Objekten
  • MD5- und SHA256-Hashes der Objekte
  • IDs der Einträge im Windows-Ereignisprotokoll
  • Einstellungen für digitale Zertifikate
  • Richtung des Datenverkehrs, IP-Adressen, Ports, Protokolle, vollständige Pfade der ausführbaren Dateien
  • Benutzernamen
  • Typen der Benutzeranmeldung
  • Arten von Telemetrie-Ereignissen, für die Filter angewendet werden

Daten in YARA-Untersuchungsergebnissen

Der integrierte Agent von Kaspersky Endpoint Security überträgt automatisch YARA-Untersuchungsergebnisse an Kaspersky Anti Targeted Attack Platform, um eine Bedrohungsentwicklungskette zu erstellen.

Die Daten werden vorübergehend lokal in der Warteschlange gespeichert, um die Ergebnisse der Aufgabenausführung an den Kaspersky Anti Targeted Attack Platform-Server zu senden. Die Daten werden nach dem Absenden aus dem Zwischenspeicher gelöscht.

YARA-Untersuchungsergebnisse enthalten die folgenden Daten:

• MD5- und SHA256-Hashwerte der Datei
• Vollständiger Name der Datei
• Dateipfad
• Dateigröße
• Prozessname
• Prozess-Argumente
• Pfad der Prozessdatei
• Windows-ID (PID) des Prozesses
• Windows-ID (PID) des übergeordneten Prozesses
• Benutzerkonto, das den Prozess gestartet hat
• Zeitpunkt (Datum und Uhrzeit), zu dem der Prozess gestartet wurde