Данные в запросах к компоненту KATA Central Node

При интеграции с компонентом Central Node следующие данные хранятся локально на устройстве с Kaspersky Endpoint Agent.

Все данные, которые программа хранит локально на устройстве, кроме файлов трассировки и дампов, удаляются с устройства при удалении программы.

Данные из запросов от Kaspersky Endpoint Agent к компоненту Central Node:

  1. В запросах на синхронизацию:
    • уникальный идентификатор Kaspersky Endpoint Agent;
    • базовая часть веб-адреса сервера;
    • имя устройства;
    • IP-адрес устройства;
    • MAC-адрес устройства;
    • локальное время на устройстве;
    • статус самозащиты Kaspersky Endpoint Agent;
    • имя и версия операционной системы, установленной на устройстве;
    • версия Kaspersky Endpoint Agent;
    • версии параметров программы и параметров задач;
    • состояние задач в Kaspersky Endpoint Agent: идентификаторы выполняющихся задач, статусы выполнения, коды ошибок выполнения;
    • состояние параметров Kaspersky Endpoint Agent: тип применяющихся параметров, версия параметров, статус применения параметров, коды ошибок применения.
  2. В запросах на получение файлов с сервера:
    • уникальные идентификаторы файлов;
    • уникальный идентификатор Kaspersky Endpoint Agent;
    • уникальные идентификаторы задач;
    • базовая часть веб-адреса сервера с компонентом Central Node;
    • IP-адрес узла.
  3. В отчетах о результатах выполнения задач:
    • IP-адрес узла;
    • информация об объектах, обнаруженных при поиске IOC или сканировании YARA;
    • флаги дополнительных действий, выполняемых Kaspersky Endpoint Agent по завершении задач (например, "deleteFileAfterReboot": false);
    • ошибки выполнения задач и коды возврата;
    • статусы, с которыми завершались задачи;
    • время завершения выполнения задач;
    • версии параметров, с которыми выполнялись задачи;
    • информация об объектах, переданных на сервер, помещенных на карантин, восстановленных из карантина: пути к объектам, MD5 и SHA256-хеши объектов, идентификаторы объектов на карантине;
    • информация о процессах, запущенных или остановленных на устройстве с Kaspersky Endpoint Agent по запросу сервера: PID и UniquePID, error code, MD5 и SHA256-хеши объектов;
    • информация о службах, запущенных или остановленных на устройстве по запросу сервера (имя службы, тип запуска, error code, MD5 и SHA256-хеши файловых образов служб);
    • информация об объектах, для которых был снят дамп памяти для сканирования YARA (пути, идентификатор файла дампа);
    • файлы, запрошенные сервером;
    • пакеты телеметрии.
    • Данные о запущенных процессах:
      • имя исполняемого файла, включая полный путь и расширение;
      • параметры автозапуска процесса;
      • идентификатор процесса;
      • код сеанса входа в систему;
      • имя сеанса входа в систему;
      • дата и время запуска процесса;
      • MD5-хеш объекта;
      • SHA256-хеш объекта.
    • Данные о файлах:
      • путь к файлу;
      • имя файла;
      • размер файла;
      • атрибуты файла;
      • дата и время создания файла;
      • дата и время последнего изменения файла;
      • описание файла;
      • название компании;
      • MD5-хеш объекта;
      • SHA256-хеш объекта;
      • раздел реестра (для точек автозапуска).
    • Данные в ошибках получения информации об объектах:
      • полное имя объекта, при обработке которого возникла ошибка;
      • код ошибки.
  4. Данные телеметрии:
    • IP-адрес узла;
    • тип данных в реестре до зафиксированной операции изменения;
    • данные в ключе реестра до зафиксированной операции изменения;
    • текст обрабатываемого скрипта или его части;
    • тип обрабатываемого объекта;
    • способ передачи команды в командный интерпретатор.

Данные из запросов от компонента Central Node к Kaspersky Endpoint Agent:

  1. Параметры задач:
    • типы задач;
    • параметры расписания запуска задач;
    • имена и пароли учетных записей, под которыми необходимо запускать задачи;
    • версии параметров;
    • идентификаторы объектов на карантине;
    • пути к объектам;
    • MD5 и SHA256-хеши объектов;
    • командная строка запуска процесса с аргументами;
    • флаги дополнительных действий, выполняемых Kaspersky Endpoint Agent по завершении задачи;
    • идентификаторы IOC-файлов, которые нужно получить с сервера;
    • IOC-файлы;
    • наименование служб;
    • тип запуска служб;
    • папки, для которых необходимо получить результаты задачи Получить список файлов, процессов;
    • маски имен объектов и расширений для задачи Получить список файлов, процессов.
  2. Параметры сетевой изоляции:
    • типы параметров;
    • версии параметров;
    • списки исключений из сетевой изоляции и параметры исключений: направление трафика, IP-адреса, порты, протоколы, полные пути к исполняемым файлам;
    • флаги дополнительных действий, выполняемых Kaspersky Endpoint Agent;
    • время автоматического отключения изоляции.
  3. Параметры запрета запуска и открытия документов:
    • типы параметров;
    • версии параметров;
    • списки правил запрета запуска и параметры правил: пути к объектам, типы объектов, MD5 и SHA256-хеши объектов;
    • флаги дополнительных действий, выполняемых Kaspersky Endpoint Agent.
  4. Параметры фильтрации событий:
    • имена модулей;
    • полные пути к объектам;
    • MD5 и SHA256-хеши объектов;
    • идентификаторы записей в журнале событий Windows;
    • параметры цифровых сертификатов;
    • направление трафика, IP-адреса, порты, протоколы, полные пути к исполняемым файлам;
    • имена пользователей;
    • типы входа пользователей;
    • типы событий телеметрии, для которых применяются фильтры.

В начало