Данные, предоставляемые при использовании Kaspersky Security Network

Набор данных, которые Kaspersky Security Network передает в "Лабораторию Касперского", зависит от режима использования Kaspersky Security Network.

Файл ksn_license.<ID языка> с текстом Положения о Kaspersky Security Network входит в комплект поставки приложения.

Предоставление данных при использовании KSN в стандартном режиме

Если вы используете Kaspersky Security Network в стандартном режиме (в веб-консоли включен переключатель Использование Kaspersky Security Network (KSN) и снят флажок Использовать расширенный режим KSN, в Консоли администрирования выбран вариант Стандартный режим KSN) принимая условия Положении о Kaspersky Security Network, вы соглашаетесь предоставлять в "Лабораторию Касперского" в автоматическом режиме следующую информацию:

• идентификатор регионального центра активации;
• дату и время активации ПО;
• дату окончания срока действия лицензии;
• идентификатор лицензии;
• статус лицензии, по которой используется ПО;
• идентификатор конфигурации;
• контрольную сумму кода активации ПО;
• полную версию ПО;
• уникальный идентификатор устройства;
• идентификатор ПО;
• контрольную сумму файла ключа, с помощью которого активировано ПО;
• идентификатор информационной модели, примененной при предоставлении лицензии на использование ПО;
• идентификатор сертификата, которым подписан заголовок подтверждения статуса лицензионного ключа ПО;
• дату и время создания подтверждения статуса лицензионного ключа ПО;
• контрольную сумму подтверждения статуса лицензионного ключа ПО;
• версию подтверждения статуса лицензионного ключа ПО;
• версию кода активации ПО;
• идентификатор подтверждения статуса активного лицензионного ключа;
• идентификатор конфигурации;
• результат действий, выполненных ПО;
• код ошибки;
• тип контрольной суммы обрабатываемого объекта;
• контрольную сумму обрабатываемого объекта;
• идентификатор компонента ПО;
• версию списка отозванных заключений службы ПО;
• идентификатор сработавшей записи в антивирусных базах ПО;
• временную метку сработавшей записи в антивирусных базах ПО;
• тип сработавшей записи в антивирусных базах ПО;
• название обнаруженной вредоносной программы или легальной программы, которая может быть использована для нанесения вреда устройству или данным пользователя;
• формат данных в запросе к инфраструктуре Правообладателя;
• адрес веб-службы, на который осуществлялось обрабатываемое обращение (веб-адрес, IP-адрес);
• номер порта;
• веб-адрес источника запроса к веб-службе (referer);
• тип установленного ПО.

Предоставление данных при использовании KSN в расширенном режиме

Если вы используете Kaspersky Security Network в расширенном режиме (в веб-консоли включен переключатель Использование Kaspersky Security Network (KSN) и установлен флажок Использовать расширенный режим KSN, в Консоли администрирования выбран вариант Расширенный режим KSN), принимая условия Положении о Kaspersky Security Network, вы соглашаетесь предоставлять в "Лабораторию Касперского" в автоматическом режиме дополнительно к перечисленному выше следующую информацию:

• идентификаторы выполненных команд;
• дату и время получения данных;
• идентификатор операции, выполняемой со сторонним ПО;
• идентификатор обновления стороннего ПО;
• эвристически определенное имя отправителя сообщения электронной почты;
• идентификатор сообщения электронной почты;
• счетчик событий;
• время события;
• содержимое фрагмента в обрабатываемом объекте;
• уникальный идентификатор журнала активности обрабатываемого объекта;
• дату и время истечения сертификата;
• дату и время выдачи сертификата;
• архитектуу центрального процессора;
• уникальный идентификатор события;
• дату и время события;
• объем полного и используемого дискового пространства;
• текст сообщения об ошибке;
• название и версию ОС;
• количество циклов обновления и применения антивирусных баз;
• дату и время последнего обновления и применения антивирусных баз;
• идентификатор базы категоризации ПО;
• идентификатор записи в базах ПО;
• версию записи в базе данных ПО;
• дату и время выпуска баз ПО;
• временную метка баз ПО;
• битовую маску параметров DNS-запроса;
• тип запроса к DNS-серверу;
• модель центрального процессора;
• марку центрального процессора;
• контрольную сумму названия устройства пользователя (MD5, SHA2-256, SHA1);
• локальный порт, на который была проведена атака;
• дату и время на устройстве пользователя;
• идентификатор устройства;
• сообщения из системного журнала, содержащие информацию об ошибке;
• номер сборки ОС;
• номер обновления ОС;
• редакцию ОС;
• расширенную информацию о редакции ОС;
• идентификатор ОС;
• версию пакета обновления ОС;
• дату и время запуска ОС;
• идентификатор учетной записи, от имени которой был запущен контролируемый процесс;
• IP-адрес;
• сетевые интерфейсы компьютера;
• метод осуществления HTTP-запроса;
• место внедрения кода в обрабатываемом процессе;
• область действия, к которой принадлежит IP-адрес;
• уникальный идентификатор пользователя в системах Правообладателя;
• тип лицензии;
• идентификатор ключа из хранилища ключей, используемого для шифрования;
• имя компьютера в сети (доменное имя);
• протокол, используемый для передачи данных в KSN;
• идентификатор службы KSN, к которой обращается ПО;
• характеристики шифрования пакета данных, отправляемых в KSN;
• идентификатор пакета данных, отправляемых в KSN;
• внешний IP-адрес;
• локальный IP-адрес;
• MAC-адрес источника сетевой атаки;
• направление сетевого подключения;
• источник обрабатываемого сетевого трафика (локальный или удаленный хост);
• название сетевого протокола, используемого в обнаруженной сетевой атаке;
• тип учетной записи, с правами которой был запущен возможно зараженный объект;
• атрибуты обрабатываемого объекта;
• порядковый номер фрагмента в обрабатываемом объекте;
• загрузочные секторы ОС;
• данные внутреннего журнала, сформированного антивирусным компонентом ПО для обрабатываемого объекта;
• результат проверки сертификата;
• наименование эмитента сертификата;
• публичный ключ сертификата;
• алгоритм вычисления публичного ключа сертификата;
• серийный номер сертификата;
• дату и время подписи объекта;
• имя и параметры владельца сертификата;
• отпечаток цифрового сертификата проверяемого объекта и алгоритм хеширования;
• дату и время последней модификации обрабатываемого объекта;
• дату и время создания обрабатываемого объекта;
• характеристики обнаружения;
• уникальное имя объекта;
• файл обрабатываемого сообщения электронной почты;
• обрабатываемые объекты или их части;
• атрибуты обрабатываемого исполняемого файла;
• дату и время создания обрабатываемого исполняемого файла;
• описание обрабатываемого объекта, указанное в его свойствах;
• энтропия обрабатываемого объекта;
• формат обрабатываемого объекта;
• размер образа приложения;
• признак доверенности проверяемого объекта по KSN;
• результат проверки объекта в KSN;
• количество запусков ПО с момента последней отправки контрольной суммы файла;
• дату и время компоновки исполняемого файла;
• контрольную сумму (MD5) обрабатываемого объекта;
• имя обрабатываемого объекта;
• названия упаковщиков, которыми был упакован обрабатываемый объект;
• название ПО;
• контрольную сумму (MD5) маски, по которой была заблокирована веб-служба;
• контрольную сумму (SHA256) обрабатываемого объекта;
• информацию о том, кем был подписан обрабатываемый объект;
• размер обрабатываемого объекта;
• признак того, что объект находится в автозапуске;
• код типа объекта;
• название продавца ПО;
• заключение ПО по обрабатываемому объекту;
• версию обрабатываемого объекта;
• дату и время первого запуска обрабатываемого объекта;
• источник заключения по обрабатываемому объекту;
• источник получения обрабатываемого объекта;
• имя приложения, частью которого является обрабатываемый объект;
• уровень целостности обрабатываемого объекта;
• IP-адрес, с которого был загружен файл, соответствующий процессу;
• участки оперативной памяти защищаемого компьютера;
• идентификатор модуля ПО;
• результат проверки подписи модуля, целостность которого проверяется ПО;
• адрес загрузки модуля ПО;
• обнаруженные файловые операции, выполненные над обрабатываемым объектом;
• результат операции с обрабатываемым объектом;
• код файловой операции;
• путь к обрабатываемому объекту;
• код каталога файлов;
• идентификатор процесса в системе (PID);
• командную строку запуска;
• полные имена файлов, к которым обращался обрабатываемый процесс;
• IP-адрес, к которому обращался обрабатываемый процесс;
• права доступа, которыми обладает обрабатываемый объект;
• информацию о результатах проверки подписи файла;
• путь к исходному объекту;
• идентификатор уязвимости;
• класс опасности уязвимости;
• место срабатывания в обрабатываемом веб-трафике;
• файл обрабатываемой веб-страницы;
• пакеты данных обрабатываемого веб-трафика;
• идентификатор открытого окна обрабатываемой программы;
• разрядность ОС;
• путь к исполняемому файлу родительского процесса;
• идентификатор родительского процесса в системе (PID);
• аргументы командной строки, переданные процессу при запуске;
• дату и время запуска компонента мониторинг активности;
• версию компонента ПО;
• данные о лицензии для идентификации группы пользователей в компании, которая приобрела лицензию, по комментарию в свойствах лицензии;
• идентификатор обновления ПО;
• дату и время установки ПО;
• тип установки ПО;
• количество устройств/учетных записей, на которое рассчитана лицензия ПО;
• вложенная ошибка, возникшая при работе приложения;
• тип события, по которому собран пакет статистики;
• версию ПО;
• информацию об обновлениях ПО;
• идентификатор установки ПО (PCID);
• название компонента ПО;
• номер строки в тексте скрипта, где возникла ошибка;
• статус работоспособности ПО после обновления;
• название созданной/измененной службы ОС;
• ключ сеанса входа;
• алгоритм шифрования ключа сеанса входа;
• стек памяти в процессе ПО в момент сбоя;
• тип пользовательского сценария;
• данные атрибута;
• веб-адрес, с которого был загружен файл, соответствующий процессу;
• ответ DNS-сервера;
• IP-адрес DNS-сервера;
• имя модуля, в котором предположительно произошел сбой;
• дату и время окончания получения статистик;
• тип ошибки;
• действия пользователя с элементом интерфейса в окне программы;
• время пребывания объекта в буфере;
• IP-адрес атакующего компьютера;
• признак того, что обнаружение является отладочным;
• признак обрабатываемого объекта, по которому было отозвано решение по этому объекту;
• идентификатор задачи, в рамках которой произошло обнаружение;
• количество подключений к KSN, взятых из кеша;
• количество запросов, для которых был найден ответ в локальной базе запросов;
• количество неуспешных подключений к KSN;
• количество неуспешных KSN-транзакций;
• распределение по времени выполнения отмененных запросов к KSN;
• распределение по времени выполнения неуспешных подключений к KSN;
• распределение по времени выполнения неуспешных KSN-транзакций;
• распределение по времени выполнения успешных подключений к KSN;
• распределение по времени выполнения успешных KSN-транзакций;
• распределение по времени выполнения успешных запросов к KSN;
• распределение по времени выполнения запросов к KSN, превысивших ограничение на время ожидания;
• количество новых подключений к KSN;
• количество неуспешных запросов к KSN из-за ошибок маршрутизации;
• количество неуспешных запросов из-за выключенного KSN в параметрах ПО;
• количество неуспешных запросов к KSN из-за сетевых проблем;
• количество успешных подключений к KSN;
• количество успешных KSN-транзакций;
• количество выполненных запросов к KSN;
• тип сообщения статистики;
• степень уверенности в определении обращения к фишинговой веб-службе;
• цель фишинговой атаки;
• весовую характеристику обнаруженного обращения к фишинговой веб-службе;
• идентификатор протокола;
• идентификатор операции, выполняемой ПО;
• дату и время начала получения статистики;
• вероятность отправки статистики компонентом мониторинг активности;
• код события, обрабатываемого компонентом мониторинг активности дольше стандартного времени обработки;
• время обработки события в базах, обработка которого компонентом мониторинг активности длилась дольше стандартного времени;
• время задержки обработки события о совершении действия в ОС в подсистеме поведенческого анализа;
• количество задержанных событий текущего типа, совершенных в ОС;
• максимально допустимое время обработки события компонентом мониторинг активности;
• время задержки обработки события о совершении действия в ОС в подсистеме проактивной защиты;
• количество обработанных событий, совершенных в ОС;
• количество обработанных синхронных событий, совершенных в ОС;
• суммарную задержку всех событий текущего типа, совершенных в ОС;
• время задержки обработки события о совершении действия в ОС в подсистеме постоянного хранения событий;
• время обработки события, обработка которого компонентом мониторинг активности длилась дольше стандартного времени;
• общее количество событий, обработка которых компонентом мониторинг активности длилась дольше стандартного времени;
• суммарную задержку всех событий, совершенных в ОС;
• количество ожидающих синхронных событий, совершенных в ОС;
• дату и время обнаружения стороннего ПО компонентом мониторинг активности;
• номер обнаруженного ПО в контексте компонента мониторинг активности;
• причину обнаружения стороннего ПО компонентом мониторинг активности;
• дату и время получения события о совершении действия в ОС;
• разницу во времени между наступлением первого события в очереди и текущим событием на момент отправки пакета статистики компонентом мониторинг активности;
• тип события, обработка которого была прервана по тайм-ауту (klif-событие/swmon-событие);
• старший и младший номер фильтра перехвата, осуществившего перехват, обработка которого компонентом мониторинг активности была прервана по тайм-ауту;
• идентификатор перехвата, обработка которого была прервана по тайм-ауту в подсистеме мониторинг активности;
• количество klif-событий, которые наступили по тайм-ауту на момент отправки пакета статистики компонентом мониторинг активности;
• размер очереди событий, обрабатываемых компонентом мониторинг активности, обработка которых была прервана по тайм-ауту;
• количество событий компонента мониторинг активности, которые наступили по тайм-ауту на момент отправки пакета статистики компонентом мониторинг активности;
• версию отправляемой статистики;
• технические характеристики применяемых технологий обнаружения;
• версию определенного компилятора;
• свойства и контрольные суммы частей исполняемого файла;
• версию эмулятора;
• глубину эмуляции;
• тип задачи проверки исполняемого файла, в результате которой отправляется статистика;
• время хранения обрабатываемого объекта; а
• лгоритм расчета отпечатка цифрового сертификата;
• название компонента;
• временную метку компонента обновления (обновленную версию);
• временную метку компонента (локальную версию);
• число неуспешных завершений установки обновления для компонента обновления;
• код категории ошибки;
• число ошибок установки обновления для компонента обновления;
• временную метку корневого индекса загружаемых обновлений;
• временную метку корневого индекса имеющихся обновлений;
• код ошибки задачи обновления;
• значение фильтра TARGET для задачи обновления;
• тип задачи обновления;
• версию компонента обновления;
• битовую маску параметров обрабатываемого объекта;
• контрольную сумму от имени пользователя;
• идентификатор безопасности учетной записи (SID);
• DNS-адрес веб-службы, к которой осуществляется обращение;
• источник хоста;
• заголовок обрабатываемого HTTP-запроса;
• IP-адрес (IPv4) веб-службы, на который осуществлялось обращение;
• IP-адрес (IPv6) веб-службы, на который осуществлялось обращение;
• признак того, что сообщение является одним из набора сообщений, относящихся к одному обращению к веб-службе;
• обрабатываемый веб-адрес;
• информация о клиенте, использующем сетевой протокол (user agent);
• идентификатор зоны безопасности из потока NTFS.

Предоставление данных при использовании KSN в расширенном режиме при интеграции с Kaspersky Endpoint Detection and Response Expert (on-premise)

Если вы используете Kaspersky Endpoint Security как часть решения Kaspersky Endpoint Detection and Response Expert (on-premise) и используете Kaspersky Security Network в расширенном режиме, принимая условия Положении о Kaspersky Security Network, вы соглашаетесь предоставлять в "Лабораторию Касперского" в автоматическом режиме дополнительно к перечисленному выше следующую информацию:

• название устройства пользователя;
• идентификатор устройства, с которого выполнено удаленное подключение;
• семейство ОС;
• использованный прокси-сервер;
• действия, выполняемые заданиями планировщика задач ОС;
• дату и время запуска заданий планировщика задач ОС;
• результат запуска заданий планировщика задач ОС;
• идентификатор службы;
• параметры заданий планировщика задач ОС;
• информацию о событиях в системных журналах (время события; название журнала, в котором обнаружено событие; тип и категорию события; название источника события и его описание);
• количество передаваемых объектов;
• хост, с которым установлено соединение для передачи объектов;
• параметры задачи передачи объектов;
• идентификатор задачи передачи объектов;
• количество переданных объектов;
• информацию о принадлежности пользователя к группе пользователей;
• тип файловой системы тома;
• идентификатор индикатора атаки (IOA);
• идентификатор тактики атаки по MITRE;
• идентификатор техники атаки по MITRE;
• имя техники атаки по MITRE;
• имя индикатора атаки (IOA);
• версию индикатора атаки (IOA);
• уникальный идентификатор сеанса входа;
• тип сеанса входа в систему;
• информацию о сторонних приложениях, вызвавших ошибку (имя и путь к файлу приложения; размер и контрольную сумма (MD5, SHA256, SHA1) файла приложения;
• идентификатор процесса приложения в операционной системе (PID);
• дату и время создания и компоновки файла процесса;
• адрес возникновения ошибки и стек памяти приложения;
• длительность работы приложения до возникновения ошибки;
• имена, версии и контрольные суммы (MD5, SHA256, SHA1) файлов компонентов приложения;
• значение уровня уверенности в обнаружении вредоносной программы или легальной программы, которая может быть использована для нанесения вреда компьютеру или данным пользователя;
• электронный адрес или части электронного адреса отправителя обрабатываемого сообщения электронной почты;
• тему обрабатываемого сообщения электронной почты;
• электронный адрес или части электронного адреса получателя обрабатываемого сообщения электронной почты;
• текст запроса;
• область поиска запроса;
• контрольную сумму (SHA1) обрабатываемого объекта;
• дату и время подписания файла;
• привилегии, назначенные обрабатываемому объекту;
• переменные окружения, назначенные обрабатываемому объекту;
• тип системной функции, примененной для запуска нового процесса;
• IP-адреса или контрольные суммы IP-адресов источника и получателя обрабатываемого сетевого соединения;
• номера портов источника и получателя обрабатываемого сетевого соединения;
• атрибуты открытия обрабатываемого объекта;
• дату и время завершения обрабатываемого процесса;
• признак наличия и действительности цифровой подписи у обрабатываемого объекта;
• ошибку обработки обнаружения;
• тип объекта, обнаруженного ПО;
• важность окна запроса действия пользователя;
• режим работы компонента защиты ПО;
• настроенные параметры ПО;
• идентификатор модели контроллера USB-устройства;
• укороченный серийный номер жесткого диска;
• тип диска;
• тип контроллера USB-устройства;
• объем исходящего трафика;
• индикаторы HTTP/HTTPS-запросов (URL запроса; тип библиотеки открытого программного обеспечения; запрошенное имя домена; CND-провайдер; метод запроса; время начала запроса; размер пакета запроса; общую продолжительность запроса; код статуса; размер ответного пакета; тип контента ответа; время начала заголовка запроса; время окончания заголовка запроса; время начала тела запроса; время окончания тела запроса; время начала заголовка ответа; время окончания заголовка ответа; время начала тела ответа; время окончания тела ответа; число переадресаций; число ошибок разрешений DNS; общее число разрешений DNS; число разрешенных единовременно хостов; результат единичного разрешения; время начала единичного разрешения; время окончания единичного разрешения; флаг, указывающий на успешное разрешение; число ошибок сокет-соединений; общее число сокет-соединений; конечный адрес единичного соединения; время начала единичного соединения; время окончания единичного соединения; время начала единичной установки связи; время окончания единичной установки связи; тип HTTP; версия HTTP; тип SSL; тип набора шифров; индикатор успешности соединения; информацию об ошибке соединения; информацию об исключении запроса; информацию о стеке, если ответ нестандартный).

Предоставление данных при использовании Kaspersky Endpoint Security в стандартном режиме и режиме Агента Endpoint Detection and Response

Если вы используете Kaspersky Endpoint Security в стандартном режиме или режиме Агента Endpoint Detection and Response и используете Kaspersky Security Network в расширенном режиме, принимая условия Положении о Kaspersky Security Network, вы соглашаетесь предоставлять в "Лабораторию Касперского" в автоматическом режиме дополнительно к перечисленному выше следующую информацию:

• идентификатор ПО, полученный из лицензии;
• идентификатор лицензии ПО;
• серийный номер лицензионного ключа ПО;
• локализацию ПО;
• идентификатор компании-партнера, у которого был размещен заказ на покупку лицензии на использование ПО;
• идентификатор ребрендинга ПО;
• статус работы компонента ПО;
• идентификатор ПО, для которого предназначена лицензия;
• признак участия в KSN;
• время задержки отправки статистики.

В начало