Kaspersky Anti Targeted Attack Platform (EDR)
A Kaspersky Endpoint Security eltávolításakor az alkalmazás által a számítógépen helyileg tárolt összes adat törlődik a számítógépről.
Szolgáltatási adatok
A Kaspersky Endpoint Security beépített ügynöke a következő adatokat tárolja helyileg:
- Feldolgozott fájlok és adatok, amelyeket a felhasználó ad meg a Kaspersky Endpoint Security beépített ügynökének konfigurálása során:
- Karanténba helyezett fájlok
- A Kaspersky Endpoint Security beépített ügynökének beállításai:
- A Central Node-dal való integrációhoz használt tanúsítvány nyilvános kulcsa
- Licencadatok
- A Central Node-dal való integrációhoz szükséges adatok:
- Telemetriai eseménycsomag-sor
- A Central Node-tól kapott IOC-fájlazonosítók gyorsítótára
- A Fájl lekérése feladat keretében a kiszolgálónak való átadásra szánt objektumok
- A Get forensic feladat eredményjelentései
A KATA-hoz (EDR) benyújtott kérésekben szereplő adatok
A Kaspersky Anti Targeted Attack Platformmal való integráció során a következő adatok kerülnek helyi tárolásra a számítógépen:
A Kaspersky Endpoint Security beépített ügynöke által a Central Node összetevőnek küldött kérésekben szereplő adatok:
- Szinkronizálási kérésekben:
- Egyedi azonosító
- A kiszolgáló webcímének alapértelmezett része
- Számítógép neve
- Számítógép IP-címe
- Számítógép MAC-címe
- Helyi idő a számítógépen
- A Kaspersky Endpoint Security önvédelmi állapota
- A számítógépre telepített operációs rendszer neve és verziója
- A Kaspersky Endpoint Security verziója
- Az alkalmazásbeállítások és a feladatbeállítások verziói
- Feladatállapotok: feladatok azonosítói, végrehajtási állapotok, hibakódok
- A fájlok kiszolgálóról való lekérésére irányuló kérésekben:
- A fájlok egyedi azonosítói
- Egyedi Kaspersky Endpoint Security-azonosító
- A tanúsítványok egyedi azonosítói
- A telepített Central Node összetevővel rendelkező kiszolgáló webcímének alapértelmezett része
- Gazdagép IP-címe
- A feladatvégrehajtási eredményekről szóló jelentésekben:
- Gazdagép IP-címe
- Információk az IOC- vagy YARA-vizsgálat során észlelt objektumokról
- A feladatok elvégzésekor végrehajtott további műveletek jelölői
- Feladatvégrehajtási hibák és visszatérési kódok
- Feladatok befejezési állapotai
- Feladatok befejezési ideje
- A feladatok végrehajtásához használt beállítások verziói
- A kiszolgálóra küldött, a karanténba áthelyezett és a karanténból visszaállított objektumokra vonatkozó információ: objektumok elérési útjai, MD5 és SHA256 hash kivonatok, a karanténba áthelyezett objektumok azonosítói
- A kiszolgáló kérésére a számítógépen elindított vagy leállított folyamatokra vonatkozó információk: PID és UniquePID, hibakód, az objektumok MD5 és SHA256 hash kivonatai
- A kiszolgáló kérésére a számítógépen elindított vagy leállított szolgáltatásokról szóló információk: szolgáltatás neve, indítási típus, hibakód, a szolgáltatásokhoz kapcsolódó fájlképek MD5 és SHA256 hash kivonatai
- Információ olyan objektumokkal kapcsolatban, amelyeknél a YARA-vizsgálat érdekében memóriakiíratásra került sor (útvonalak, memóriaképfájlok azonosítója)
- A kiszolgáló által kért fájlok
- Telemetriai csomagok
- Futó folyamatok adatai:
- Futtatható fájl neve a teljes útvonalat és a kiterjesztést is beleértve
- A folyamat automatikus futtatásával kapcsolatos paraméterek
- Folyamatazonosító
- Bejelentkezési munkamenet azonosítója
- Bejelentkezési munkamenet neve
- A folyamat elindításának dátuma és időpontja
- Az objektum MD5 és SHA256 hash kivonatai
- Fájlokkal kapcsolatos adatok:
- A fájl elérési útja
- Fájlnév
- Fájlméret
- Fájlattribútumok
- A fájl létrehozásának dátuma és időpontja
- A fájl legutóbbi módosításának dátuma és időpontja
- Fájlleírás
- Vállalat neve
- Az objektum MD5 és SHA256 hash kivonatai
- Beállításkulcs (az automatikus futtatási pontokhoz)
- Az objektumok információinak fogadásakor felmerülő hibák adatai:
- Annak az objektumnak a teljes neve, amelynek a feldolgozása során a hiba felmerült
- Hibakód
- Telemetriai adatok:
- Gazdagép IP-címe
- Adattípus a beállításjegyzékben a végrehajtott frissítési művelet előtt
- Adat a beállításkulcsban a végrehajtott módosítási művelet előtt
- A feldolgozott szkript szövege, vagy annak egy része
- A feldolgozott objektum típusa
- Parancsok parancsértelmezőbe való továbbításának módja
A Kaspersky Endpoint Security beépített ügynökéhez intézett, a Central Node összetevőre vonatkozó kérések adatai:
- Feladatbeállítások:
- Feladattípus
- Feladatütemezési beállítások
- Azoknak a fiókoknak a neve és jelszava, amelyekkel a feladatok lefuttathatók
- A beállítások verziói
- A karanténba helyezett objektumok azonosítói
- Az objektumok elérési útja
- Az objektumok MD5 és SHA256 hash kivonatai
- Parancssor a folyamat argumentumokkal való megkezdéséhez
- A feladatok elvégzésekor végrehajtott további műveletek jelölői
- A kiszolgálóról lekérdezni kívánt IOC-fájlazonosítók
- IOC-fájlok
- A szolgáltatás neve
- Szolgáltatás indítási típusa
- Mappák, amelyekre vonatkozóan a Get forensic feladat eredményeit meg kell kapni
- A Get forensic feladathoz kapcsolódó objektumnevek és bővítmények maszkjai
- Hálózatelkülönítési beállítások:
- Beállítástípusok
- A beállítások verziói
- A hálózatelkülönítési kizárások és kizárási beállítások listái: forgalom iránya, IP-címek, portok, protokollok, a futtatható fájlok teljes elérési útja
- A további műveletek jelölői
- Az automatikus leválasztás letiltásának ideje
- Végrehajtás-megelőzési beállítások
- Beállítástípusok
- A beállítások verziói
- A futtatás megakadályozási szabályainak és a szabályok beállításainak listája: objektumok elérési útvonala, objektumok típusa, objektumok MD5 és SHA256 hash kivonatai
- A további műveletek jelölői
- Az események szűrésének beállításai:
- Modulnevek
- Az objektumok teljes elérési útvonala
- Az objektumok MD5 és SHA256 hash kivonatai
- A Windows eseménynapló bejegyzéseinek azonosítói
- Digitális tanúsítvány beállításai
- Forgalom iránya, IP-címek, portok, protokollok, a futtatható fájlok teljes elérési útja
- Felhasználónevek
- Felhasználói bejelentkezési típusok
- A kiszűrt telemetriai események típusai
YARA-vizsgálati eredményekben szereplő adatok
A Kaspersky Endpoint Security beépített ügynöke automatikusan elküldi a YARA-vizsgálati eredményeket a Kaspersky Anti Targeted Attack Platform számára, fenyegetésfejlődési lánc felépítése céljából.
Az adatokat a rendszer ideiglenesen helyben tárolja a feladatvégrehajtási eredmények elküldési várólistáján a Kaspersky Anti Targeted Attack Platform kiszolgálója számára. Az adatok az elküldés után törlődnek az ideiglenes tárból.
A YARA-vizsgálati eredmények a következő adatokat tartalmazzák:
- A fájl MD5 és SHA256 hash kivonatai
- A fájl teljes neve
- A fájl elérési útja
- Fájlméret
- Folyamatnév
- Folyamat argumentumai
- A folyamatfájl elérési útja
- A folyamat Windows-azonosítója (PID)
- A szülőfolyamat Windows-azonosítója (PID)
- A folyamatot elindító felhasználói fiók
- A folyamat elindításának dátuma és időpontja