Collecte des données

Pour que certains composants de Kaspersky Managed Detection and Response fonctionnent, il est nécessaire que Kaspersky traite les données de l’utilisateur. Les composants n’envoient pas de données sans l’autorisation de l’administrateur de Kaspersky Managed Detection and Response.

La liste des données utilisateur dépend de la région dans laquelle la solution est utilisée. Pour votre région, la liste des données utilisateur peut différer de celle figurant dans cette section.

Kaspersky protège toute information reçue conformément à la loi et aux règles applicables de Kaspersky. Les données sont transmises à travers un canal sécurisé.

Liste des données sur les événements se produisant sur les ressources de l’Utilisateur

Afin de détecter les menaces nouvelles et complexes pour la sécurité des données et leurs sources, ainsi que les menaces d’intrusion, et de prendre des mesures rapides pour augmenter la protection des données stockées et traitées avec un ordinateur par le Client, celui-ci s’engage à fournir automatiquement les informations suivantes pour recevoir le Service :

• Date de l’installation et de l’activation du logiciel, nom complet et version du logiciel, y compris des informations sur les mises à jour installées et la langue de localisation du logiciel.
• Informations sur le logiciel installé sur l’ordinateur : version du système d’exploitation, date du téléchargement et mises à jour installées, objets de noyau, pilotes, services, entrées Autostart, programmes automatiquement lancés lors de différents événements du système (par exemple le démarrage du système d’exploitation, la connexion de l’utilisateur, etc.) et leurs configurations, extensions de navigateurs, extensions de Microsoft Internet Explorer, extensions de système d’impression, extensions de Windows Explorer, extensions « shell » de système d’exploitation, sommes de contrôle d’objet chargé (MD5), éléments Active Setup, applications de panel de contrôle, versions du navigateur et de la messagerie du client.
• Informations sur les autorisations du système de fichiers, bit effectif pour les autorisations du système de fichiers, versions des autorisations du système de fichiers, variables d’environnement et noms des appels système.
• Informations sur les autorisations héritées pour un fichier système.
• Informations sur le nom de l’ordinateur, adresses IP, passerelles par défaut, adresses et matériel MAC, y compris une somme de contrôle du numéro de série de HDD, 12 derniers octets de l’ID de sécurité de l’ordinateur (SID) et identifiant de zone de sécurité extrait du flux de données NTFS.
• Informations sur les outils logiciels utilisés afin de résoudre les problèmes du logiciel installé sur l’ordinateur de l’Utilisateur, ou afin de changer ses fonctionnalités, et codes de retour reçus après l’installation de chaque élément du logiciel.
• Informations sur l’état de la protection antivirus de l’ordinateur, y compris les versions et les dates et heures de publication des bases antivirus utilisées, statistiques sur les mises à jour et les connexions aux services Kaspersky Lab, identifiants des tâches, identifiants et versions des composants logiciels effectuant l’analyse, indicateurs de l’environnement de test interne de Kaspersky, codes d’erreur primaires pour un événement spécifique, codes d’erreur secondaires pour un événement spécifique et numéros ordinaux des événements.
• Clé de licence et numéro de série des produits Kaspersky Lab, ainsi que noms et versions de ces produits. Identifiants des installations de produits Kaspersky Lab, et description client du fichier d’information de la licence.
• Informations sur les comptes utilisateur du Client : nom du compte utilisateur, nom de l’utilisateur, identifiant du système d’exploitation, informations de connexion, privilèges, adhésions à des groupes, types de sessions de connexion au système, nom du paquet d’authentification, noms de domaine, noms DNS utilisés pour l’authentification des sessions de connexion au système, nom du serveur utilisé pour l’authentification, nom du principal utilisateur (« user principal name » ou UPN) du compte et SID.
• Contenu complet des journaux du système d’exploitation.
• Informations sur les systèmes d’appel.
• Informations sur la détection des programmes de Kaspersky Lab prenant en charge Kaspersky Managed Detection and Response.
• Informations sur les e-mails reçus, y compris ce qui suit : adresses e-mail de l’expéditeur et du destinataire, objet, informations sur les pièces jointes : nom du fichier joint, taille, hachage (MD5), et résultats de l’analyse du format de fichier.
• Informations sur les coordonnées de la zone de l’écran où la capture d’écran a été réalisée.
• Informations sur les connexions au réseau : ports et adresses IP expéditeurs et destinataires, indices de zone IPv6, direction de la connexion au réseau (entrante/sortante), types et masques des requêtes DNS réalisées, codes d’erreur pour une opération de requête DNS, réponse à une requête DNS, serveur DNS demandé.
• Méthodes et données de connexion HTTP, dont les adresses Web visitées, URL du référant, agents de l’utilisateur, données du protocole d’authentification du réseau : hash de données MD5 pour authentification Kerberos, nom du compte ou de l’ordinateur, nom de domaine Kerberos auquel appartient le nom de serveur, le domaine auquel appartient le nom du client, l’UPN du compte, paquet de cryptographie utilisé pour le ticket Kerberos, masque de l’indicateur pour le ticket Kerberos au format hexadécimal, heure d’émission du ticket Kerberos, heure d’expiration du ticket Kerberos, date d’expiration du ticket (après laquelle il sera impossible de le renouveler) et nom du contrôleur de domaine utilisé pour émettre le ticket Kerberos.
• Informations sur les protocoles des couches d’application : taille de la requête de recherche LDAP, filtre de la requête de recherche LDAP, nom unique de la requête de recherche LDAP, liste des attributs de la requête de recherche LDAP.
• Informations.NET : nom complet de la version.NET téléchargée, indicateurs d’assemblage pour la version.NET téléchargée, indicateurs de module pour le module.NET téléchargé, nom de domaine pour la version.NET téléchargée, modules pour le stub MSIL généré, informations sur la méthode gérée : espace de nommage de la méthode gérée d’interopération, nom de la méthode gérée d’interopération, signature de la méthode gérée d’interopération, signature de la méthode native et signature du stub de la méthode.
• Les informations concernant les fichiers sont traitées dans le système d’exploitation : nom et chemin du fichier, taille, attributs, types de fichier et d’objet, résultats de l’analyse du format du fichier, somme de contrôle (MD5), adresse Internet à partir de laquelle le fichier a été téléchargé, adresse e-mail de l’expéditeur ayant envoyé le fichier et l’objet de l’e-mail, le contenu du fichier système de la structure VERSIONINFO à partir des métadonnées du fichier, informations sur l’éditeur si le fichier a été signé, ID utilisateur du propriétaire du fichier, ID du groupe de propriétaires du fichier, horodatage du dernier accès au fichier, horodatage de la dernière modification des métadonnées du fichier, création du fichier, masques de l’indicateur de la signature numérique, horodateurs et codes des opérations sur les fichiers et objets, nombre de lancements de fichiers exécutables, identifiant du format de fichier, chemin complet de l’objet et chemin du conteneur de l’objet, contenus du fichier d’exécution automatique (autorun), ainsi que le nom du fichier et le chemin menant au fichier sur la ressource réseau distante accédée.
• Contenu du répertoire \etc\.
• Données de sortie de commande.
• Données auditd : résultat de l’opération, description de l’opération, type d’événement et utilisation de l’opération.
• Informations sur le processus : identifiant du processus (PID), suivi des appels de processus, informations sur le fichier exécutable du processus et sa ligne de commande, informations sur le processus parent, hash MD5 du code d’erreur de calcul du fichier exécutable, codes d’erreur primaires, informations sur l’intégrité du processus, informations de connexion à la session, ligne de commande, arguments de ligne de commande pour le processus, variables d’environnement pour le processus cible, identifiant unique du journal d’activité du processus, nom et/ou adresse du site d’injection de code, informations sur les droits d’accès pour le processus, codes d’erreur pour le calcul du hash MD5 d’un objet à partir de la ligne de commande du processus, liste des enveloppeurs de l’objet, répertoire de travail initial pour le processus cible et tableau d’identifiants (PID) pour les processus complets.
• Informations sur le registre : noms, sections et valeurs.
• Informations sur les opérations distantes : le nom de l’ordinateur distant et nom complet (« fully qualified name » ou FDQN) de l’ordinateur distant sur lequel l’opération distante a été réalisée, nom du compte utilisateur à l’origine de l’opération distante, identifiant système du processus distant à l’origine de l’opération distante, heure de début du processus distant à l’origine de l’opération distante, nom de l’espace de nommage de l’utilisateur des événements WMI, nom du filtre des événements WMI de l’utilisateur, nom de l’utilisateur créé des événements WMI et code source de l’utilisateur des événements WMI.
• Informations sur les erreurs : code d’erreur du calcul MD5, code d’erreur d’accès aux fichiers, codes d’erreur primaires et codes d’erreur secondaires.
• Informations sur les tâches de réponse aux événements créées par les spécialistes de Kaspersky Lab et de l’Utilisateur : nom et type de l’événement, date et heure auxquelles l’événement s’est produit, paramètres et résultats de la tâche de réponse (informations sur l’objet [chemin d’accès à l’objet, nom et taille de l’objet, sommes de contrôle MD5 et SHA256, informations sur la mise en quarantaine de l’objet, informations sur la suppression de l’objet, informations sur l’arrêt du processus, informations sur la suppression d’une clé/branche de registre, informations sur le démarrage du processus, informations sur les objets demandés par les spécialistes de Kaspersky Lab pour une analyse détaillée avec le consentement de l’Utilisateur [nom, chemin, taille et type de l’objet, sommes de contrôle MD5 et SHA256, description de l’objet, date et heure du traitement de la demande de fichier, et contenu du fichier], informations sur l’installation et la suppression de l’isolation réseau de l’appareil et informations sur les erreurs résultant de la tâche de réponse).
• Données sur les scripts en cours d’exécution sur l’ordinateur : arguments de ligne de commande, contenu du script ou d’une partie du script en cours d’exécution sur l’ordinateur, et contenu de l’objet ou d’une partie de l’objet reçu par AMSI.
• Données sur les commandes reçues par l’application console, y compris les interpréteurs de ligne de commande, utilisant la redirection d’entrée via un canal ou un fichier, ainsi que les commandes exécutées par l’utilisateur dans les applications console, y compris les interpréteurs de ligne de commande.

Liste des données relatives aux événements détectés à la suite de l’analyse du trafic réseau

Afin de détecter les événements nouveaux et complexes pour la sécurité des données et leurs sources, ainsi que les menaces d’intrusion, et de prendre des mesures rapides pour augmenter la protection des données stockées et traitées avec un ordinateur par le Client, celui-ci s’engage à fournir automatiquement les informations suivantes pour recevoir le Service :

• Informations sur l’identifiant, version, type, date et heure de l’enregistrement de la base de données antivirus utilisée afin de détecter un événement lié à la sécurité de l’information, nom de la menace basé sur la classification de Kaspersky Lab, heure et date des bases de données antivirus utilisées, code du type de fichier, identifiant du format de fichier, identifiant de tâche du logiciel qui a détecté l’événement, indicateur de la vérification de réputation ou de la vérification de la signature de fichier.
• Informations permettant de déterminer la réputation des fichiers et des ressources Internet, y compris l’adresse IP et le nom de domaine de l’adresse URL à laquelle la réputation est demandée, le nom du fichier qui a été exécuté au moment où l’événement a été détecté, le chemin du fichier et les sommes de contrôle (MD5) du fichier ainsi que son chemin.
• Informations sur l’émulation du fichier exécutable : taille de fichier et sommes de contrôle (MD5, SHA-256, SHA1), version du composant d’émulation, profondeur de l’émulation, tableau de propriétés de blocs logiques et fonctions pour les blocs logiques obtenus pendant l’émulation, et données tirées des en-têtes PE du fichier exécutable.
• Informations sur tous les objets détectés, y compris le nom et la taille de l’objet, le chemin complet de l’objet sur l’ordinateur, les sommes de contrôle (MD5, SHA-256) des fichiers en cours de traitement, le nom de l’événement associé à l’objet, la date et l’heure de la détection, l’indicateur de présence de la signature numérique du fichier, le nom de l’organisation qui a signé le fichier, l’état de confiance et le niveau de menace du fichier, l’identifiant et la priorité de la règle utilisée pour la détection, et le type de technologie de détection.
• Le type de source à partir de laquelle l’objet a été téléchargé, l’adresse IP de la source (ou la somme de contrôle (MD5) de l’adresse IP lorsqu’elle est locale), l’URL de la source ainsi que l’URL de référence, le nom, le nom et la somme de contrôle (MD5) du domaine du nom de l’hôte qui a envoyé la demande de téléchargement, et les informations de service sur le navigateur Internet, qui a envoyé la demande de téléchargement.
• Sommes de contrôle (MD5) des parties locales et de domaine des adresses électroniques de l’expéditeur et du destinataire, ainsi que somme de contrôle (MD5) de l’objet de l’e-mail.
• Adresses IP locales et distantes de la connexion réseau, nombres des ports locaux et distants, et identifiant du protocole de connexion.
• Adresse URL et nom de l’hôte cible, et adresses IP de l’hôte.
• L’identifiant du système d’exploitation qui est installé sur une machine virtuelle utilisée par le logiciel pour analyser les objets.
• Informations complémentaires concernant les événements : indice de fréquence du fichier dans le réseau local de l’Utilisateur, date de l’intrusion du fichier dans le réseau local et sur l’ordinateur de l’Utilisateur, identifiants des comptes à partir desquels le processus a démarré, sommes de contrôle de leurs noms d’utilisateur, ainsi que noms de leurs domaines ou groupes de travail, et informations sur les privilèges des comptes utilisateurs.
• Informations sur l’activité réseau du processus : noms de domaine des ressources réseau qui sont utilisées afin d’établir une connexion, et adresses IP des domaines, fréquence de la connexion à la ressource réseau sélectionnée, taille et type des données transférées.
• Informations sur l’utilisation du domaine de la ressource réseau, y compris l’indice de fréquence des requêtes au domaine à partir du réseau local, l’horodatage de la première requête au domaine à partir du réseau local, la durée des requêtes des différents utilisateurs et les sommes de contrôle de leurs noms, les noms des ordinateurs qui ont amorcé les demandes au domaine et des informations supplémentaires sur les raisons de la détection.
• Informations de service sur le composant de traitement des statistiques, y compris la date et l’heure du début et de la fin de la période d’analyse des données statistiques, le volume de la mémoire disque libre et utilisée, l’heure du dernier traitement de l’événement, le temps de fonctionnement de différents algorithmes de détection, les messages sur les erreurs du composant et les messages sur le démarrage réussi de différents algorithmes de détection.
• Données envoyées à l’assistance technique.

Collecte de données lors de l’utilisation de Kaspersky Endpoint Agent

Pour plus d’informations sur la collecte de données lors de l’utilisation de Kaspersky Endpoint Agent, reportez-vous à la section Kaspersky Endpoint Agent pour Windows.