Serwer Kaspersky Anti Targeted Attack Platform (EDR)

All data that the application stores locally on the computer, is deleted from the computer when Kaspersky Endpoint Security is uninstalled.

Dane serwisowe

Wbudowany agent Kaspersky Endpoint Security przechowuje lokalnie następujące dane:

• Przetwarzane pliki i dane wprowadzone przez użytkownika podczas konfigurowania wbudowanego agenta Kaspersky Endpoint Security:
  • Pliki poddane kwarantannie
  • Ustawienia wbudowanego agenta Kaspersky Endpoint Security:
    • Klucz publiczny certyfikatu używanego do integracji ze składnikiem Central Node
    • Dane licencyjne
• Dane wymagane do integracji ze składnikiem Central Node:
  • Kolejka pakietów zdarzeń telemetrii
  • Pamięć podręczna identyfikatorów plików wskaźników IOC otrzymanych od składnika Central Node
  • Obiekty, które mają zostać przekazane do serwera w ramach zadania pobierania pliku (Get file)
  • Raporty z wyników zadania pobierania danych śledczych (Get forensic)

Dane w żądaniach do KATA (EDR)

Podczas integracji z Kaspersky Anti Targeted Attack Platform następujące dane są przechowywane lokalnie na komputerze:

Dane uwzględnione w żądaniach wbudowanego agenta Kaspersky Endpoint Security, kierowanych do składnika Central Node:

• W żądaniach synchronizacji:
  • Unikalny identyfikator
  • Podstawowa część adresu internetowego serwera
  • Nazwa komputera
  • Adres IP komputera
  • Adres MAC komputera
  • Czas lokalny na komputerze
  • Stan autoochrony Kaspersky Endpoint Security
  • Nazwa i wersja systemu operacyjnego zainstalowanego na urządzeniu
  • Wersji Kaspersky Endpoint Security
  • Wersje ustawień aplikacji i ustawień zadań
  • Stany zadań: identyfikatory zadań, stany wykonania, kody błędów
• W żądaniach związanych z pobieraniem plików z serwera:
  • Unikalne identyfikatory plików
  • Unikalny identyfikator Kaspersky Endpoint Security
  • Unikalne identyfikatory certyfikatów
  • Podstawowa część adresu internetowego serwera z zainstalowanym składnikiem Central Node
  • Adres IP hosta
• W raportach z wyników realizacji zadań:
  • Adres IP hosta
  • Informacje o obiektach wykrytych podczas skanowania IOC lub skanowania YARA
  • Flagi dodatkowych akcji wykonywanych po wykonaniu zadań
  • Błędy wykonania zadań i zwracane kody
  • Stany wykonania zadań
  • Czas wykonania zadań
  • Wersje ustawień używanych do wykonywania zadań
  • Informacje o obiektach przesłanych na serwer, obiektach poddanych kwarantannie i obiektach przywróconych z kwarantanny: ścieżki do obiektów, skróty MD5 i SHA256, identyfikatory obiektów poddanych kwarantannie
  • Informacje o procesach uruchomionych lub zatrzymanych na żądanie serwera na komputerze: identyfikator PID i UniquePID, kod błędu, skróty MD5 i SHA256 obiektów
  • Informacje o usługach uruchomionych lub zatrzymanych na komputerze na żądanie serwera: nazwa usługi, typ uruchomienia, kod błędu, skróty MD5 i SHA256 obrazów plików usług
  • Informacje o obiektach, dla których wykonano zrzut pamięci do skanowania YARA (ścieżki, identyfikator pliku zrzutu)
  • Pliki żądane przez serwer
  • Pakiety telemetryczne
  • Dane związane z uruchomionymi procesami:
    • Nazwa pliku wykonywalnego z pełną ścieżką i rozszerzeniem
    • Parametry automatycznego uruchamiania procesu
    • Identyfikator procesu
    • Identyfikator sesji logowania
    • Nazwa sesji logowania
    • Data i godzina rozpoczęcia procesu
    • Skróty MD5 i SHA256 obiektu
  • Informacje o plikach:
    • Ścieżka pliku
    • Nazwa pliku
    • Rozmiar pliku
    • Atrybuty pliku
    • Data i godzina utworzenia pliku
    • Data i godzina ostatniej modyfikacji pliku
    • Opis pliku
    • Nazwa firmy
    • Skróty MD5 i SHA256 obiektów
    • Klucz rejestru (dla punktów automatycznego uruchamiania)
  • Dane związane z błędami występującymi podczas pobierania informacji o obiektach:
    • Pełna nazwa obiektu przetwarzanego podczas wystąpienia błędu
    • Kod błędu
• Dane telemetryczne:
  • Adres IP hosta
  • Typ danych w rejestrze przed zatwierdzoną operacją aktualizacji
  • Dane w kluczu rejestru przed zatwierdzoną operacją zmiany
  • Treść przetwarzanego skryptu lub jego część
  • Typ przetwarzanego obiektu
  • Sposób przekazania polecenia do interpretera poleceń

Dane uwzględnione w żądaniach składnika Central Node kierowanych do wbudowanego agenta Kaspersky Endpoint Security:

• Ustawienia zadania:
  • Typ zadania
  • Ustawienia planowania zadań
  • Nazwy i hasła kont, których można używać do wykonywania zadań
  • Wersje ustawień
  • Identyfikatory obiektów poddanych kwarantannie
  • Ścieżki do obiektów
  • Skróty MD5 i SHA256 obiektów
  • Wiersz polecenia z argumentami używany do rozpoczynania procesu
  • Flagi dodatkowych akcji wykonywanych po wykonaniu zadań
  • Identyfikatory plików IOC do pobrania z serwera
  • Pliki IOC
  • Nazwa usługi
  • Typ uruchomienia usługi
  • Foldery, dla których należy odebrać wyniki zadania pobierania danych śledczych (Get forensic)
  • Maski nazw obiektów i rozszerzeń dla zadania pobierania danych śledczych (Get forensic)
• Ustawienia izolacji sieci:
  • Typy ustawień
  • Wersje ustawień
  • Listy wykluczeń izolacji sieci i ustawień wykluczeń: kierunek ruchu, adresy IP, porty, protokoły i pełne ścieżki do plików wykonywalnych
  • Flagi dodatkowych akcji
  • Czas wyłączenia automatycznej izolacji
• Ustawienia zapobiegania wykonywania
  • Typy ustawień
  • Wersje ustawień
  • Listy reguł zapobiegania wykonywaniu i ustawień reguł: ścieżki do obiektów, typy obiektów, skróty MD5 i SHA256 obiektów
  • Flagi dodatkowych akcji
• Ustawienia filtrowania zdarzeń:
  • Nazwy modułów
  • Pełne ścieżki do obiektów
  • Skróty MD5 i SHA256 obiektów
  • Identyfikatory wpisów w dzienniku zdarzeń systemu Windows
  • Ustawienia certyfikatów cyfrowych
  • Kierunek ruchu, adresy IP, porty, protokoły, pełne ścieżki do plików wykonywalnych
  • Nazwy użytkowników
  • Typy logowania użytkowników
  • Typy zdarzeń telemetrycznych, dla których są stosowane filtry

Dane w wynikach skanowania YARA

Wbudowany agent Kaspersky Endpoint Security automatycznie przesyła wyniki skanowania YARA do serwera Kaspersky Anti Targeted Attack Platform w celu zbudowania łańcucha rozwoju zagrożeń.

Dane są tymczasowo przechowywane lokalnie w kolejce do wysyłania wyników wykonania zadań do serwera Kaspersky Anti Targeted Attack Platform. Dane są usuwane z pamięci tymczasowej po ich przesłaniu.

Wyniki skanowania YARA zawierają następujące dane:

• Skróty MD5 i SHA256 obiektów
• Pełna nazwa pliku
• Ścieżka pliku
• Rozmiar pliku
• Nazwa procesu
• Argumenty procesu
• Ścieżka do pliku procesu
• Identyfikator procesu (PID) systemu Windows
• Identyfikator procesu nadrzędnego (PID) systemu Windows
• Konto użytkownika, które rozpoczęło proces
• Data i godzina rozpoczęcia procesu

Przejdź do góry