Kaspersky Anti Targeted Attack Platform (EDR)

Alle gegevens die het programma lokaal op de computer opslaat, worden van de computer verwijderd wanneer Kaspersky Endpoint Security wordt verwijderd.

Service gegevens

De ingebouwde agent van Kaspersky Endpoint Security slaat de volgende gegevens lokaal op:

• Verwerkte bestanden en gegevens die door de gebruiker zijn ingevoerd tijdens de configuratie van de ingebouwde agent van Kaspersky Endpoint Security:
  • In quarantaine geplaatste bestanden
  • Instellingen van de ingebouwde agent van Kaspersky Endpoint Security:
    • Openbare sleutel van het certificaat dat wordt gebruikt voor integratie met Central Node
    • Licentie gegevens
• Gegevens vereist voor integratie met Central Node:
  • Pakketwachtrij voor telemetriegebeurtenissen
  • Cache van IOC-bestands-ID's ontvangen van Central Node
  • Objecten die moeten worden doorgegeven aan de server binnen de taak Bestand ophalen
  • De resultatenrapporten voor taak Get forensic

Gegevens in verzoeken aan KATA (EDR)

Bij integratie met Kaspersky Anti Targeted Attack Platform worden de volgende gegevens lokaal op de computer opgeslagen:

Gegevens van de ingebouwde agent van Kaspersky Endpoint Security-verzoeken aan de Central Node-component:

• Bij synchronisatieverzoeken:
  • Unieke ID
  • Basisgedeelte van het webadres van de server
  • Computer naam
  • IP-adres van de computer
  • MAC-adres van de computer
  • Lokale tijd op de computer
  • Zelfverdedigingsstatus van Kaspersky Endpoint Security
  • Naam en versie van het besturingssysteem dat op de computer is geïnstalleerd
  • Versie van Kaspersky Endpoint Security
  • Versies van de applicatie-instellingen en taakinstellingen
  • Taakstatussen: identifiers van taken, uitvoeringsstatussen, foutcodes
• In verzoeken om bestanden van de server te verkrijgen:
  • Unieke identificatiegegevens van bestanden
  • Unieke identificatie van Kaspersky Endpoint Security
  • Unieke identificatiecodes van certificaten
  • Basisgedeelte van het webadres van de server waarop de Central Node-component is geïnstalleerd
  • Host IP-adres
• In de rapporten over de resultaten van de taakuitvoering:
  • Host IP-adres
  • Informatie over de gedetecteerde objecten tijdens een IOC-scan of YARA-scan
  • Vlaggen van de aanvullende acties die zijn uitgevoerd na voltooiing van taken
  • Taakuitvoeringsfouten en retourcodes
  • Voltooiingsstatussen van taken
  • Voltooiingstijd van de taak
  • Versies van de instellingen die worden gebruikt voor de uitvoering van de taken
  • Informatie over de objecten die naar de server zijn verzonden, in quarantaine geplaatste objecten en objecten die uit quarantaine zijn hersteld: paden naar objecten, MD5- en SHA256-hashes, identifiers van in quarantaine geplaatste objecten
  • Informatie over de processen die zijn gestart of gestopt op een computer op verzoek van de server: PID en UniquePID, foutcode, MD5- en SHA256-hashes van de objecten
  • Informatie over de services die op een computer zijn gestart of gestopt op verzoek van de server: servicenaam, opstarttype, foutcode, MD5- en SHA256-hashes van bestandsafbeeldingen van de services
  • Informatie over de objecten waarvoor een geheugendump is gemaakt voor een YARA-scan (paths, dump file identifier)
  • Bestanden aangevraagd door de server
  • Telemetrie pakketten
  • Gegevens over lopende processen:
    • Uitvoerbare bestandsnaam, inclusief volledig pad en extensie
    • Parameters voor automatisch starten verwerken
    • Proces-ID
    • Gebruikersnaam sessie ID
    • Naam aanmeldingssessie
    • Datum en tijd waarop het proces is gestart
    • MD5- en SHA256-hashes van het object
  • Gegevens over bestanden:
    • Het bestandspad
    • Bestandsnaam
    • Bestandsgrootte
    • Bestandskenmerken
    • Datum en tijd waarop het bestand is aangemaakt
    • Datum en tijd waarop het bestand voor het laatst is gewijzigd
    • Bestandsomschrijving
    • Bedrijfsnaam
    • MD5- en SHA256-hashes van het object
    • Registersleutel (voor punten voor automatisch starten)
  • Gegevens in fouten die optreden wanneer informatie over objecten werd opgehaald:
    • Volledige naam van het object dat werd verwerkt toen er een fout optrad
    • Foutcode
• Telemetrische gegevens:
  • Host IP-adres
  • Gegevenstype in het register voorafgaand aan de vastgelegde updatebewerking
  • Gegevens in de registersleutel voorafgaand aan de vastgestelde wijzigingsbewerking
  • De tekst van het verwerkte script of een deel ervan
  • Type van het verwerkte object
  • Manier om een commando door te geven aan de commando-interpreter

Gegevens van verzoeken van de Central Node-component aan de ingebouwde agent van Kaspersky Endpoint Security:

• Taak instellingen:
  • Type taak
  • Instellingen voor taakschema's
  • Namen en wachtwoorden van de accounts waaronder de taken kunnen worden uitgevoerd
  • Versies van instellingen
  • ID's van in quarantaine geplaatste objecten
  • Paden naar de objecten
  • MD5- en SHA256-hashes van de objecten
  • Opdrachtregel om het proces met de argumenten te starten
  • Vlaggen van de aanvullende acties die zijn uitgevoerd na voltooiing van taken
  • IOC-bestands-ID's die van de server moeten worden opgehaald
  • IOC-bestanden
  • Service naam
  • Type opstartservice
  • Mappen waarvoor de resultaten van de Get forensic taak moeten worden ontvangen
  • Maskers van de objectnamen en extensies voor de Get forensic taak
• Instellingen voor netwerkisolatie:
  • Soorten instellingen
  • Versies van instellingen
  • Lijsten met netwerkisolatie-uitsluitingen en uitsluitingsinstellingen: verkeersrichting, IP-adressen, poorten, protocollen en volledige paden naar uitvoerbare bestanden
  • Vlaggen van de aanvullende acties
  • Tijdstip van automatische uitschakeling van de isolatie
• Instellingen preventie van uitvoering
  • Soorten instellingen
  • Versies van instellingen
  • Lijsten met uitvoeringspreventieregels en regelinstellingen: paden naar objecten, typen objecten, MD5- en SHA256-hashes van objecten
  • Vlaggen van de aanvullende acties
• Instellingen voor gebeurtenisfiltering:
  • Module namen
  • Volledige paden naar objecten
  • MD5- en SHA256-hashes van de objecten
  • Identificaties van de vermeldingen in het Windows-gebeurtenislogboek
  • Instellingen voor digitale certificaten
  • Verkeersrichting, IP-adressen, poorten, protocollen, volledige paden naar uitvoerbare bestanden
  • Gebruikersnamen
  • Aanmeldingstypen voor gebruikers
  • Typen telemetriegebeurtenissen waarvoor filters worden toegepast

Gegevens in YARA scanresultaten

De ingebouwde agent van Kaspersky Endpoint Security draagt automatisch YARA-scanresultaten over naar Kaspersky Anti Targeted Attack Platform om een ontwikkelingsketen voor bedreigingen op te bouwen.

De gegevens worden tijdelijk lokaal opgeslagen in de wachtrij voor het verzenden van taakuitvoeringsresultaten naar de Kaspersky Anti Targeted Attack Platform-server. Na verzending worden de gegevens uit de tijdelijke opslag verwijderd.

YARA-scanresultaten bevatten de volgende gegevens:

• MD5- en SHA256-hashes van het bestand
• Volledige naam van het bestand
• Het bestandspad
• Bestandsgrootte
• De naam van het proces
• Argumenten verwerken
• Pad naar het procesbestand
• Windows-identificatie (PID) van het proces
• Windows-identificatie (PID) van het bovenliggende proces
• Gebruikersaccount waarmee het proces is gestart
• Datum en tijd waarop het proces is gestart

Naar boven