Támogatás

Üzleti megoldások támogatása

Kaspersky Endpoint Security 12 for Windows

Adatok feletti rendelkezés

Az adatok feletti rendelkezés a Detection and Response-megoldások használatakor

Kaspersky Anti Targeted Attack Platform (EDR)

Kaspersky Endpoint Security 12 for Windows
Online súgó
GYIK Rendszerkövetelmények Letöltés Vásárlás Megújítás Fórum Kapcsolatfelvétel a támogatással Helyreállítási eszközök Termékvideók
Нет результатов
Нет результатов

Kaspersky Anti Targeted Attack Platform (EDR)

2024. február 14.

ID 249510

Mentés PDF formátumban

A Kaspersky Endpoint Security eltávolításakor az alkalmazás által a számítógépen helyileg tárolt összes adat törlődik a számítógépről.

Szolgáltatási adatok

A Kaspersky Endpoint Security beépített ügynöke a következő adatokat tárolja helyileg:

  • Feldolgozott fájlok és adatok, amelyeket a felhasználó ad meg a Kaspersky Endpoint Security beépített ügynökének konfigurálása során:
    • Karanténba helyezett fájlok
    • A Kaspersky Endpoint Security beépített ügynökének beállításai:
      • A Central Node-dal való integrációhoz használt tanúsítvány nyilvános kulcsa
      • Licencadatok
  • A Central Node-dal való integrációhoz szükséges adatok:
    • Telemetriai eseménycsomag-sor
    • A Central Node-tól kapott IOC-fájlazonosítók gyorsítótára
    • A Fájl lekérése feladat keretében a kiszolgálónak való átadásra szánt objektumok
    • A Get forensic feladat eredményjelentései

A KATA-hoz (EDR) benyújtott kérésekben szereplő adatok

A Kaspersky Anti Targeted Attack Platformmal való integráció során a következő adatok kerülnek helyi tárolásra a számítógépen:

A Kaspersky Endpoint Security beépített ügynöke által a Central Node összetevőnek küldött kérésekben szereplő adatok:

  • Szinkronizálási kérésekben:
    • Egyedi azonosító
    • A kiszolgáló webcímének alapértelmezett része
    • Számítógép neve
    • Számítógép IP-címe
    • Számítógép MAC-címe
    • Helyi idő a számítógépen
    • A Kaspersky Endpoint Security önvédelmi állapota
    • A számítógépre telepített operációs rendszer neve és verziója
    • A Kaspersky Endpoint Security verziója
    • Az alkalmazásbeállítások és a feladatbeállítások verziói
    • Feladatállapotok: feladatok azonosítói, végrehajtási állapotok, hibakódok
  • A fájlok kiszolgálóról való lekérésére irányuló kérésekben:
    • A fájlok egyedi azonosítói
    • Egyedi Kaspersky Endpoint Security-azonosító
    • A tanúsítványok egyedi azonosítói
    • A telepített Central Node összetevővel rendelkező kiszolgáló webcímének alapértelmezett része
    • Gazdagép IP-címe
  • A feladatvégrehajtási eredményekről szóló jelentésekben:
    • Gazdagép IP-címe
    • Információk az IOC- vagy YARA-vizsgálat során észlelt objektumokról
    • A feladatok elvégzésekor végrehajtott további műveletek jelölői
    • Feladatvégrehajtási hibák és visszatérési kódok
    • Feladatok befejezési állapotai
    • Feladatok befejezési ideje
    • A feladatok végrehajtásához használt beállítások verziói
    • A kiszolgálóra küldött, a karanténba áthelyezett és a karanténból visszaállított objektumokra vonatkozó információ: objektumok elérési útjai, MD5 és SHA256 hash kivonatok, a karanténba áthelyezett objektumok azonosítói
    • A kiszolgáló kérésére a számítógépen elindított vagy leállított folyamatokra vonatkozó információk: PID és UniquePID, hibakód, az objektumok MD5 és SHA256 hash kivonatai
    • A kiszolgáló kérésére a számítógépen elindított vagy leállított szolgáltatásokról szóló információk: szolgáltatás neve, indítási típus, hibakód, a szolgáltatásokhoz kapcsolódó fájlképek MD5 és SHA256 hash kivonatai
    • Információ olyan objektumokkal kapcsolatban, amelyeknél a YARA-vizsgálat érdekében memóriakiíratásra került sor (útvonalak, memóriaképfájlok azonosítója)
    • A kiszolgáló által kért fájlok
    • Telemetriai csomagok
    • Futó folyamatok adatai:
      • Futtatható fájl neve a teljes útvonalat és a kiterjesztést is beleértve
      • A folyamat automatikus futtatásával kapcsolatos paraméterek
      • Folyamatazonosító
      • Bejelentkezési munkamenet azonosítója
      • Bejelentkezési munkamenet neve
      • A folyamat elindításának dátuma és időpontja
      • Az objektum MD5 és SHA256 hash kivonatai
    • Fájlokkal kapcsolatos adatok:
      • A fájl elérési útja
      • Fájlnév
      • Fájlméret
      • Fájlattribútumok
      • A fájl létrehozásának dátuma és időpontja
      • A fájl legutóbbi módosításának dátuma és időpontja
      • Fájlleírás
      • Vállalat neve
      • Az objektum MD5 és SHA256 hash kivonatai
      • Beállításkulcs (az automatikus futtatási pontokhoz)
    • Az objektumok információinak fogadásakor felmerülő hibák adatai:
      • Annak az objektumnak a teljes neve, amelynek a feldolgozása során a hiba felmerült
      • Hibakód
  • Telemetriai adatok:
    • Gazdagép IP-címe
    • Adattípus a beállításjegyzékben a végrehajtott frissítési művelet előtt
    • Adat a beállításkulcsban a végrehajtott módosítási művelet előtt
    • A feldolgozott szkript szövege, vagy annak egy része
    • A feldolgozott objektum típusa
    • Parancsok parancsértelmezőbe való továbbításának módja

A Kaspersky Endpoint Security beépített ügynökéhez intézett, a Central Node összetevőre vonatkozó kérések adatai:

  • Feladatbeállítások:
    • Feladattípus
    • Feladatütemezési beállítások
    • Azoknak a fiókoknak a neve és jelszava, amelyekkel a feladatok lefuttathatók
    • A beállítások verziói
    • A karanténba helyezett objektumok azonosítói
    • Az objektumok elérési útja
    • Az objektumok MD5 és SHA256 hash kivonatai
    • Parancssor a folyamat argumentumokkal való megkezdéséhez
    • A feladatok elvégzésekor végrehajtott további műveletek jelölői
    • A kiszolgálóról lekérdezni kívánt IOC-fájlazonosítók
    • IOC-fájlok
    • A szolgáltatás neve
    • Szolgáltatás indítási típusa
    • Mappák, amelyekre vonatkozóan a Get forensic feladat eredményeit meg kell kapni
    • A Get forensic feladathoz kapcsolódó objektumnevek és bővítmények maszkjai
  • Hálózatelkülönítési beállítások:
    • Beállítástípusok
    • A beállítások verziói
    • A hálózatelkülönítési kizárások és kizárási beállítások listái: forgalom iránya, IP-címek, portok, protokollok, a futtatható fájlok teljes elérési útja
    • A további műveletek jelölői
    • Az automatikus leválasztás letiltásának ideje
  • Végrehajtás-megelőzési beállítások
    • Beállítástípusok
    • A beállítások verziói
    • A futtatás megakadályozási szabályainak és a szabályok beállításainak listája: objektumok elérési útvonala, objektumok típusa, objektumok MD5 és SHA256 hash kivonatai
    • A további műveletek jelölői
  • Az események szűrésének beállításai:
    • Modulnevek
    • Az objektumok teljes elérési útvonala
    • Az objektumok MD5 és SHA256 hash kivonatai
    • A Windows eseménynapló bejegyzéseinek azonosítói
    • Digitális tanúsítvány beállításai
    • Forgalom iránya, IP-címek, portok, protokollok, a futtatható fájlok teljes elérési útja
    • Felhasználónevek
    • Felhasználói bejelentkezési típusok
    • A kiszűrt telemetriai események típusai

YARA-vizsgálati eredményekben szereplő adatok

A Kaspersky Endpoint Security beépített ügynöke automatikusan elküldi a YARA-vizsgálati eredményeket a Kaspersky Anti Targeted Attack Platform számára, fenyegetésfejlődési lánc felépítése céljából.

Az adatokat a rendszer ideiglenesen helyben tárolja a feladatvégrehajtási eredmények elküldési várólistáján a Kaspersky Anti Targeted Attack Platform kiszolgálója számára. Az adatok az elküldés után törlődnek az ideiglenes tárból.

A YARA-vizsgálati eredmények a következő adatokat tartalmazzák:

  • A fájl MD5 és SHA256 hash kivonatai
  • A fájl teljes neve
  • A fájl elérési útja
  • Fájlméret
  • Folyamatnév
  • Folyamat argumentumai
  • A folyamatfájl elérési útja
  • A folyamat Windows-azonosítója (PID)
  • A szülőfolyamat Windows-azonosítója (PID)
  • A folyamatot elindító felhasználói fiók
  • A folyamat elindításának dátuma és időpontja

Hasznosnak találta ezt a cikket?
Min tudnánk javítani?
Köszönjük a visszajelzést! Segít nekünk a fejlesztésben.
Köszönjük a visszajelzést! Segít nekünk a fejlesztésben.