Kaspersky Anti Targeted Attack Platform (EDR)

Все данные, которые приложение хранит локально на компьютере, будут удалены с компьютера при удалении Kaspersky Endpoint Security.

Служебные данные

Встроенный агент Kaspersky Endpoint Security хранит локально следующие данные:

Обрабатываемые файлы и данные, передаваемые пользователем в ходе настройки параметров встроенного агента Kaspersky Endpoint Security:
- Файлы на карантине.
- Параметры встроенного агента Kaspersky Endpoint Security:
  - Открытый ключ сертификата для интеграции с Central Node.
  - Данные о лицензии.
Данные, необходимые для интеграции с компонентом Central Node:
- Очередь пакетов событий телеметрии.
- Кеш идентификаторов IOC-файлов, полученных от компонента Central Node.
- Объекты для передачи на сервер в рамках задачи Получить файл.
- Отчеты о результатах задачи Сбор форензик.

Данные из запросов к KATA (EDR)

При интеграции с решением Kaspersky Anti Targeted Attack Platform следующие данные хранятся локально на компьютерах.

Данные из запросов от встроенного агента Kaspersky Endpoint Security к компоненту Central Node:

В запросах на синхронизацию:
- Уникальный идентификатор.
- Базовая часть веб-адреса сервера.
- Имя компьютера.
- IP-адрес компьютера.
- MAC-адрес компьютера.
- Локальное время на компьютере.
- Статус самозащиты Kaspersky Endpoint Security.
- Имя и версия операционной системы, установленной на компьютере.
- Версия Kaspersky Endpoint Security.
- Версии параметров приложения и параметров задач.
- Состояние задач (идентификаторы задач, статусы выполнения, коды ошибок).
В запросах на получение файлов с сервера:
- Уникальные идентификаторы файлов.
- Уникальный идентификатор Kaspersky Endpoint Security.
- Уникальные идентификаторы задач.
- Базовая часть веб-адреса сервера с компонентом Central Node.
- IP-адрес узла.
В отчетах о результатах выполнения задач:
- IP-адрес узла.
- Информация об объектах, обнаруженных при поиске IOC или YARA-проверке.
- Флаги дополнительных действий, выполняемых по завершении задач.
- Ошибки выполнения задач и коды возврата.
- Статусы, с которыми завершались задачи.
- Время завершения выполнения задач.
- Версии параметров, с которыми выполнялись задачи.
- Информация об объектах, переданных на сервер, помещенных на карантин, восстановленных из карантина: пути к объектам, MD5 и SHA256-хеши объектов, идентификаторы объектов на карантине.
- Информация о процессах, запущенных или остановленных на компьютере по запросу сервера: PID и UniquePID, код ошибки, MD5 и SHA256-хеши объектов.
- Информация о службах, запущенных или остановленных на компьютере по запросу сервера (имя службы, тип запуска, код ошибки, MD5 и SHA256-хеши файловых образов служб).
- Информация об объектах, для которых был снят дамп памяти для YARA-проверки (пути, идентификатор файла дампа).
- Файлы, запрошенные сервером.
- Пакеты телеметрии.
- Данные о запущенных процессах:
  - Имя исполняемого файла, включая полный путь и расширение.
  - Параметры автозапуска процесса.
  - Идентификатор процесса.
  - Код сеанса входа в систему.
  - Имя сеанса входа в систему.
  - Дата и время запуска процесса.
  - MD5 и SHA256-хеши объекта.
- Данные о файлах:
  - Путь к файлу.
  - Имя файла.
  - Размер файла.
  - Атрибуты файла.
  - Дата и время создания файла.
  - Дата и время последнего изменения файла.
  - Описание файла.
  - Название компании.
  - MD5 и SHA256-хеши объекта.
  - Раздел реестра (для точек автозапуска).
- Данные в ошибках получения информации об объектах:
  - Полное имя объекта, при обработке которого возникла ошибка.
  - Код ошибки.
Данные телеметрии:
- IP-адрес узла.
- Тип данных в реестре до зафиксированной операции изменения.
- Данные в ключе реестра до зафиксированной операции изменения.
- Текст обрабатываемого скрипта или его части.
- Тип обрабатываемого объекта.
- Способ передачи команды в командный интерпретатор.

Данные из запросов от Central Node к встроенному агенту Kaspersky Endpoint Security:

Параметры задач:
- Типы задач.
- Параметры расписания запуска задач.
- Имена и пароли учетных записей, под которыми необходимо запускать задачи.
- Версии параметров.
- Идентификаторы объектов на карантине.
- Пути к объектам.
- MD5 и SHA256-хеши объектов.
- Командная строка запуска процесса с аргументами.
- Флаги дополнительных действий, выполняемых по завершении задачи.
- Идентификаторы IOC-файлов, которые нужно получить с сервера.
- IOC-файлы.
- Наименование служб.
- Тип запуска служб.
- Папки, для которых необходимо получить результаты задачи Сбор форензик.
- Маски имен объектов и расширений для задачи Сбор форензик.
Параметры Сетевой изоляции:
- Типы параметров.
- Версии параметров.
- Списки исключений из Сетевой изоляции и параметры исключений: направление трафика, IP-адреса, порты, протоколы, полные пути к исполняемым файлам.
- Флаги дополнительных действий.
- Время автоматического отключения изоляции.
Параметры Запрета запуска объектов:
- Типы параметров.
- Версии параметров.
- Списки правил Запрета запуска объектов и параметры правил: пути к объектам, типы объектов, MD5 и SHA256-хеши объектов.
- Флаги дополнительных действий.
Параметры фильтрации событий:
- Имена модулей.
- Полные пути к объектам.
- MD5 и SHA256-хеши объектов.
- Идентификаторы записей в журнале событий Windows.
- Параметры цифровых сертификатов.
- Направление трафика, IP-адреса, порты, протоколы, полные пути к исполняемым файлам.
- Имена пользователей.
- Типы входа пользователей.
- Типы событий телеметрии, для которых применяются фильтры.

Данные о результатах YARA-проверки

Встроенный агент Kaspersky Endpoint Security автоматически передает данные результатов YARA-проверки в Kaspersky Anti Targeted Attack Platform для построения цепочки развития угрозы.

Данные временно хранятся локально в очереди отправки результатов выполнения задач на сервер Kaspersky Anti Targeted Attack Platform. После отправки данные удаляются.

Данные о результатах YARA-проверки содержат следующую информацию:

MD5 и SHA256-хеши файла.
Полное имя файла.
Путь к файлу.
Размер файла.
Имя процесса.
Аргументы процесса.
Путь к файлу процесса.
Windows идентификатор процесса (PID).
Windows идентификатор родительского процесса (PID).
Имя учетной записи пользователя, запустившего процесс.
Дата и время запуска процесса.

В начало