Todos los datos que la aplicación almacena localmente en el equipo se eliminan de este cuando se desinstala Kaspersky Endpoint Security.
Datos de servicio
El agente incorporado de Kaspersky Endpoint Security almacena los siguientes datos localmente:
Archivos procesados y datos ingresados por el usuario durante la configuración del agente incorporado de Kaspersky Endpoint Security:
Archivos en cuarentena
Configuración del agente incorporado de Kaspersky Endpoint Security:
Clave pública del certificado utilizado para la integración con Central Node
Datos de licencia
Datos necesarios para la integración con Central Node:
Cola de paquetes de eventos de telemetría
Caché de identificadores del archivo de IOC recibidos de Central Node
Objetos que se pasarán al servidor dentro de la tarea Obtener archivo
Los informes de resultados de la tarea Obtener análisis forense
Datos de solicitudes a KATA (EDR)
Cuando se integra con Kaspersky Anti Targeted Attack Platform, los siguientes datos se almacenan localmente en el equipo:
Datos del agente incorporado de las solicitudes de Kaspersky Endpoint Security al componente de Central Node:
En solicitudes de sincronización:
Id. única
Parte básica de la dirección web del servidor
Nombre del equipo
Dirección IP del equipo
Dirección MAC del equipo
Hora local en el equipo
Estado de autodefensa de Kaspersky Endpoint Security
Nombre y versión del sistema operativo instalado en el equipo
Versión de Kaspersky Endpoint Security
Versiones de la configuración de la aplicación y la configuración de la tarea
Estados de tareas: identificadores de tareas, estados de ejecución, códigos de error
En solicitudes de obtención de archivos del servidor:
Identificadores únicos de archivos
Identificador único de Kaspersky Endpoint Security
Identificadores únicos de certificados
Parte básica de la dirección web del servidor con el componente Central Node instalado
Dirección IP del host
En los informes de resultados de ejecución de tareas:
Dirección IP del host
Información sobre los objetos detectados durante un análisis de IOC o un análisis de YARA
Indicadores de las acciones adicionales realizadas al finalizar las tareas
Errores de ejecución de tareas y códigos de retorno
Estados de finalización de tareas
Hora de finalización de la tarea
Versiones de la configuración utilizada para la ejecución de las tareas
Información sobre los objetos enviados al servidor, objetos en cuarentena y objetos restaurados de la cuarentena: rutas a objetos, hash MD5 y SHA256, identificadores de objetos en cuarentena
Información sobre los procesos iniciados o detenidos en un equipo a pedido del servidor: PID y UniquePID, código de error, hashes MD5 y SHA256 de los objetos
Información sobre los servicios iniciados o detenidos en un equipo a petición del servidor: nombre del servicio, tipo de inicio, código de error, hashes MD5 y SHA256 de las imágenes de archivo de los servicios
Información sobre los objetos para los que se realizó un volcado de memoria para un análisis de YARA (rutas, identificador de archivo de volcado)
Archivos solicitados por el servidor
Paquetes de telemetría
Datos sobre procesos en ejecución:
Nombre del archivo ejecutable, incluida la ruta completa y la extensión
Parámetros de ejecución automática del proceso
Id. del proceso
Id. de sesión de inicio
Nombre de la sesión de inicio
Fecha y hora en que comenzó el proceso
Hashes MD5 y SHA256 del objeto
Datos en archivos:
Ruta de archivo
Nombre de archivo
Tamaño del archivo
Atributos del archivo
Fecha y hora en que se creó el archivo
Fecha y hora en que se modificó el archivo por última vez
Descripción del archivo
Nombre de la empresa
Hashes MD5 y SHA256 del objeto
Clave de registro (para puntos de ejecución automática)
Datos de errores que ocurren al recuperar información sobre objetos:
Nombre completo del objeto que se procesó cuando ocurrió un error
Código de error
Datos de telemetría:
Dirección IP del host
Tipo de datos en el registro antes de la operación de actualización confirmada
Datos de la clave de registro antes de la operación de cambio confirmada
El texto del script procesado o una parte de este
Tipo de objeto procesado
Modo de pasar un comando al intérprete de comandos
Datos de las solicitudes del componente Central Node al agente incorporado de Kaspersky Endpoint Security:
Configuración de tarea:
Tipo de tarea
Configuración de la programación de tarea
Nombres y contraseñas de las cuentas con las cuales se pueden ejecutar las tareas
Versiones de configuración
Identificadores de objetos en cuarentena
Ruta a los objetos
Hashes MD5 y SHA256 de los objetos
Línea de comando para iniciar el proceso con los argumentos
Indicadores de las acciones adicionales realizadas al finalizar las tareas
Identificadores de archivos de IOC que se recuperarán del servidor
Archivos de IOC
Nombre del servicio
Tipo de inicio de servicio
Carpetas para las que se deben recibir los resultados de la tarea Obtener análisis forense
Máscaras de los nombres de objetos y extensiones para la tarea Obtener análisis forense
Configuración de aislamiento de la red:
Tipos de configuración
Versiones de configuración
Listas de exclusiones de aislamiento de red y configuración de exclusión: dirección del tráfico, direcciones IP, puertos, protocolos y rutas completas a archivos ejecutables
Indicadores de las acciones adicionales
Tiempo de deshabilitación del aislamiento automático
Ajustes de prevención de ejecución
Tipos de configuración
Versiones de configuración
Listas de reglas de prevención de ejecución y configuración de reglas: rutas a objetos, tipos de objetos, hashes MD5 y SHA256 de objetos
Indicadores de las acciones adicionales
Configuración de filtrado de eventos:
Nombres de módulo
Rutas completas a objetos
Hashes MD5 y SHA256 de los objetos
Identificadores de las entradas en el registro de eventos de Windows
Configuración de certificados digitales
Dirección del tráfico, direcciones IP, puertos, protocolos, rutas completas a archivos ejecutables
Nombres de usuario
Tipos de inicio de sesión de usuario
Tipos de eventos de telemetría para los que se aplican filtros
Datos de los resultados del análisis de YARA
El agente incorporado de Kaspersky Endpoint Security transfiere automáticamente los resultados del análisis de YARA a Kaspersky Anti Targeted Attack Platform para crear una cadena de desarrollo de la amenaza.
Los datos se almacenan temporalmente de forma local en la cola para enviar los resultados de la ejecución de tareas al servidor de Kaspersky Anti Targeted Attack Platform. Los datos se eliminan del almacenamiento temporal una vez que se han enviado.
Los resultados del análisis de YARA contienen los siguientes datos:
Hashes MD5 y SHA256 del archivo
Nombre completo del archivo
Ruta de archivo
Tamaño del archivo
Nombre del proceso
Argumentos del proceso
Ruta al archivo del proceso
Identificador de Windows (PID) del proceso
Identificador de Windows (PID) del proceso principal