Kaspersky Anti Targeted Attack Platform (EDR)

Todos los datos que la aplicación almacena localmente en el equipo se eliminan del mismo cuando Kaspersky Endpoint Security se desinstala.

Datos de servicio

El agente integrado de Kaspersky Endpoint Security almacena los siguientes datos localmente:

• Archivos procesados y datos ingresados por el usuario durante la configuración del agente integrado de Kaspersky Endpoint Security:
  • Archivos en Cuarentena
  • Configuración del agente integrado de Kaspersky Endpoint Security:
    • Clave pública del certificado utilizado para la integración con Central Node
    • Datos de la licencia
• Datos necesarios para la integración con Central Node:
  • Cola de paquetes de eventos de telemetría
  • Caché de identificadores de archivos IOC recibidos de Central Node
  • Objetos que se pasarán al servidor dentro de la tarea Obtener archivo
  • Informes de resultados de la tarea Obtener datos forenses

Datos en solicitudes a KATA (EDR)

Cuando se integran con Kaspersky Anti Targeted Attack Platform, los siguientes datos se almacenan localmente en el equipo:

Datos del agente integrado de las solicitudes de Kaspersky Endpoint Security al componente Central Node:

• En solicitudes de sincronización:
  • ID exclusivo
  • Parte básica de la dirección web del servidor
  • Nombre del equipo
  • Dirección IP del equipo
  • Dirección MAC del equipo
  • Hora local en el equipo
  • Estado de autoprotección de Kaspersky Endpoint Security
  • Nombre y versión del sistema operativo instalado en el equipo
  • Versión de Kaspersky Endpoint Security
  • Versiones de la configuración de la aplicación y la configuración de la tarea
  • Estados de tareas: identificadores de tareas, estados de ejecución, códigos de error
• En las solicitudes de obtención de archivos del servidor:
  • Identificadores únicos de archivos
  • Identificador único de Kaspersky Endpoint Security
  • Identificadores únicos de certificados
  • Parte básica de la dirección web del servidor con el componente Central Node instalado
  • Dirección IP del host
• En los informes de resultados de ejecución de tareas:
  • Dirección IP del host
  • Información sobre los objetos detectados durante un análisis de IOC o un análisis de YARA
  • Indicadores de las acciones adicionales realizadas al finalizar las tareas
  • Errores de ejecución de tareas y códigos de retorno
  • Estados de finalización de las tareas
  • Hora de finalización de las tareas
  • Versiones de la configuración utilizada para la ejecución de las tareas
  • Información sobre los objetos enviados al servidor, objetos en Cuarentena y objetos restaurados de la Cuarentena: rutas a objetos, hashes MD5 y SHA256, identificadores de objetos en Cuarentena
  • Información sobre los procesos iniciados o detenidos en un equipo a solicitud del servidor: PID y UniquePID, código de error, hashes MD5 y SHA256 de los objetos
  • Información sobre los servicios iniciados o detenidos en el equipo a solicitud del servidor: nombre del servicio, tipo de inicio, código de error, hashes MD5 y SHA256 de las imágenes de archivo de los servicios
  • Información sobre los objetos para los que se realizó un volcado de memoria para un análisis de YARA (rutas, identificador de archivo de volcado)
  • Archivos solicitados por el servidor
  • Paquetes de telemetría
  • Datos sobre procesos en ejecución:
    • Nombre del archivo ejecutable, incluida la ruta completa y la extensión
    • Parámetros de ejecución automática del proceso
    • ID del proceso
    • ID de sesión de inicio de sesión
    • Nombre de la sesión de inicio de sesión
    • Fecha y hora en que se inició el proceso
    • Hashes MD5 y SHA256 del objeto
  • Datos en archivos:
    • Ruta del archivo
    • Nombre del archivo
    • Tamaño del archivo
    • Atributos de archivo
    • Fecha y hora en que se creó el archivo
    • Fecha y hora en que se modificó el archivo por última vez
    • Descripción del archivo
    • Nombre de la empresa
    • Hashes MD5 y SHA256 del objeto
    • Clave de registro (para puntos de ejecución automática)
  • Datos en errores que se producen cuando se recuperó información sobre objetos:
    • Nombre completo del objeto que se procesó cuando ocurrió un error
    • Código de error
• Datos de telemetría:
  • Dirección IP del host
  • Tipo de datos en el registro antes de la operación de actualización confirmada
  • Datos en la clave de registro antes de la operación de cambio confirmada
  • El texto del script procesado o parte del mismo
  • Tipo de objeto procesado
  • Manera de pasar un comando al intérprete de comandos

Datos de las solicitudes del componente Central Node al agente integrado de Kaspersky Endpoint Security:

• Configuración de tareas:
  • Tipo de tarea
  • Configuración de la programación de las tareas
  • Nombres y contraseñas de las cuentas en las que se pueden ejecutar las tareas
  • Versiones de configuración
  • Identificadores de objetos en Cuarentena
  • Rutas a los objetos
  • Hashes MD5 y SHA256 de los objetos
  • Línea de comando para iniciar el proceso con los argumentos
  • Indicadores de las acciones adicionales realizadas al finalizar las tareas
  • Identificadores de archivos de IOC que se recuperarán del servidor
  • Archivos IOC
  • Nombre del servicio
  • Tipo de inicio de servicio
  • Carpetas para las que se deben recibir los resultados de la tarea Obtener datos forenses
  • Máscaras de los nombres de objetos y extensiones de la tarea Obtener datos forenses
• Configuración del aislamiento de red:
  • Tipos de configuraciones
  • Versiones de configuración
  • Listas de exclusiones del aislamiento de red y configuración de la exclusión: dirección del tráfico, direcciones IP, puertos, protocolos y rutas completas a archivos ejecutables
  • Indicadores de las acciones adicionales
  • Tiempo de desactivación del aislamiento automático
• Configuración de prevención de ejecución
  • Tipos de configuraciones
  • Versiones de configuración
  • Listas de reglas de prevención de ejecución y configuración de reglas: rutas a objetos, tipos de objetos, hashes MD5 y SHA256 de objetos
  • Indicadores de las acciones adicionales
• Configuración de filtrado de eventos:
  • Nombres de módulos
  • Rutas completas a objetos
  • Hashes MD5 y SHA256 de los objetos
  • Identificadores de las entradas en el registro de eventos de Windows
  • Configuración de certificados digitales
  • Dirección del tráfico, direcciones IP, puertos, protocolos, rutas íntegras a archivos ejecutables
  • Nombres de usuario
  • Tipos de inicio de sesión de usuario
  • Tipos de eventos de telemetría para los que se aplican filtros

Datos en los resultados del análisis de YARA

El agente integrado de Kaspersky Endpoint Security transfiere automáticamente los resultados del análisis de YARA a Kaspersky Anti Targeted Attack Platform para crear una cadena de desarrollo de la amenaza.

Los datos se almacenan temporalmente de forma local en la cola para enviar los resultados de la ejecución de la tarea al servidor de Kaspersky Anti Targeted Attack Platform. Los datos se eliminan del almacenamiento temporal una vez que se han enviado.

Los resultados del análisis de YARA contienen los siguientes datos:

• Hashes MD5 y SHA256 del archivo
• Nombre completo del archivo
• Ruta del archivo
• Tamaño del archivo
• Nombre del proceso
• Argumentos del proceso
• Ruta al archivo de proceso
• Identificador de Windows (PID) del proceso
• Identificador de Windows (PID) del proceso principal
• Cuenta de usuario que inició el proceso
• Fecha y hora en que se inició el proceso