Kaspersky Anti Targeted Attack Platform(EDR)

Kaspersky Endpoint Security가 제거되면 애플리케이션이 컴퓨터에 로컬로 저장한 모든 데이터가 삭제됩니다.

서비스 데이터

Kaspersky Endpoint Security의 내장 에이전트는 다음의 데이터를 로컬로 저장합니다.

• Kaspersky Endpoint Security의 내장 에이전트를 구성하는 동안 사용자가 입력한 처리된 파일 및 데이터:
  • 격리된 파일
  • Kaspersky Endpoint Security 내장 에이전트의 설정:
    • 중앙 노드와의 통합에 사용된 인증서의 공개 키
    • 라이센스 데이터
• 중앙 노드와의 통합에 필요한 데이터
  • 원격 측정 이벤트 패킷 대기열
  • 중앙 노드에서 수신한 IOC 파일 식별자의 캐시
  • 파일 가져오기 작업 내에서 서버로 전달할 개체
  • 포렌식 가져오기 작업 결과 리포트

KATA(EDR)에 요청된 데이터

Kaspersky Anti Targeted Attack Platform과 통합하려면 다음의 데이터가 컴퓨터에 로컬로 저장됩니다.

Central Node 구성 요소에 대한 Kaspersky Endpoint Security 요청의 내장 에이전트에서 제공하는 데이터:

• 동기화 요청에서:
  • 고유 ID
  • 서버 웹 주소의 기본 부분
  • 컴퓨터 이름
  • 컴퓨터 IP 주소
  • 컴퓨터 MAC 주소
  • 컴퓨터의 현지 시간
  • Kaspersky Endpoint Security의 자기 보호 상태
  • 컴퓨터에 설치된 운영 체제 이름 및 버전
  • Kaspersky Endpoint Security 버전
  • 애플리케이션 설정 및 작업 설정의 버전
  • 작업 상태: 작업 식별자, 실행 상태, 오류 코드
• 서버에서 파일을 얻기 위한 요청에서:
  • 파일의 고유 식별자
  • 고유한 Kaspersky Endpoint Security 식별자
  • 인증서의 고유 식별자
  • Central Node 구성 요소가 설치된 서버의 웹 주소 기본 부분
  • 호스트 IP 주소
• 작업 실행 결과 리포트에서:
  • 호스트 IP 주소
  • IOC 검사 또는 YARA 검사 중에 감지된 개체 관련 정보
  • 작업 완료 시 수행되는 추가 작업의 플래그
  • 작업 실행 오류 및 반환 코드
  • 작업 완료 상태
  • 작업 완료 시간
  • 작업 실행에 사용하는 설정 버전
  • 서버에 제출된 개체, 격리된 개체 및 격리 저장소에서 복원된 개체 관련: 개체 경로, MD5 및 SHA256 해시, 격리된 개체의 식별자
  • 서버의 요청에 따라 컴퓨터에서 시작되거나 중지된 프로세스 관련 정보: 개체의 PID 및 UniquePID, 오류 코드, MD5 및 SHA256 해시
  • 서버의 요청에 따라 컴퓨터에서 시작되거나 중지된 서비스 관련 정보: 서비스 이름, 시작 유형, 오류 코드, 서비스 파일 이미지의 MD5 및 SHA256 해시
  • YARA 검사를 위해 메모리 덤프가 생성된 개체 관련 정보(경로, 덤프 파일 식별자)
  • 서버에서 요청한 파일
  • 원격 측정 패킷
  • 실행 중인 프로세스에 대한 데이터:
    • 전체 경로 및 확장자를 포함한 실행 파일 이름
    • 프로세스 자동 실행 매개변수
    • 프로세스 ID
    • 로그인 세션 ID
    • 로그인 세션 이름
    • 프로세스가 시작된 날짜 및 시간
    • 개체의 MD5 및 SHA256 해시
  • 파일 데이터:
    • 파일 경로
    • 파일 이름
    • 파일 크기
    • 파일 특성
    • 파일이 생성된 날짜 및 시간
    • 파일이 마지막으로 수정된 날짜 및 시간
    • 파일 설명
    • 회사 이름
    • 개체의 MD5 및 SHA256 해시
    • 레지스트리 키(자동 실행 포인트용)
  • 개체 관련 정보를 검색할 때 발생한 오류 데이터:
    • 오류 발생 시 처리된 개체의 전체 이름
    • 오류 코드
• 원격 측정 데이터:
  • 호스트 IP 주소
  • 커밋된 업데이트 작업 이전에 레지스트리에 있는 데이터 유형
  • 커밋된 변경 작업 이전에 레지스트리 키에 있는 데이터
  • 처리된 스크립트의 텍스트 또는 텍스트의 일부
  • 처리된 개체의 유형
  • 명령 해석기에 명령을 전달하는 방법

Kaspersky Endpoint Security의 내장 에이전트에 대한 중앙 노드 구성 요소에서 요청된 데이터:

• 작업 설정:
  • 작업 유형
  • 작업 스케줄 설정
  • 작업을 실행할 수 있는 계정의 이름과 암호
  • 설정 버전
  • 격리된 개체의 식별자
  • 개체 경로
  • 개체의 MD5 및 SHA256 해시
  • 인수를 이용해 프로세스를 시작하는 명령줄
  • 작업 완료 시 수행되는 추가 작업의 플래그
  • 서버에서 검색할 IOC 파일 식별자
  • IOC 파일
  • 서비스 이름
  • 서비스 시작 유형
  • 포렌식 가져오기 작업 결과를 수신해야 하는 폴더
  • 포렌식 가져오기 작업에 대한 개체 이름 및 확장자 마스크
• 네트워크 격리 설정:
  • 설정 유형
  • 설정 버전
  • 네트워크 격리 예외 및 예외 설정 목록: 트래픽 방향, IP 주소, 포트, 프로토콜 및 실행 파일 전체 경로
  • 추가 작업의 플래그
  • 자동 격리 비활성화 시간
• 실행 방지 알림
  • 설정 유형
  • 설정 버전
  • 실행 방지 규칙 및 규칙 설정 목록: 개체 경로, 개체 유형, 개체의 MD5 및 SHA256 해시
  • 추가 작업의 플래그
• 이벤트 필터링 설정:
  • 모듈 이름
  • 개체에 대한 전체 경로
  • 개체의 MD5 및 SHA256 해시
  • Windows 이벤트 로그 항목의 식별자
  • 디지털 인증서 설정
  • 트래픽 방향, IP 주소, 포트, 프로토콜, 실행 파일 전체 경로
  • 사용자 이름
  • 사용자 로그온 유형
  • 필터가 적용되는 원격 분석 이벤트 유형

YARA 검사 결과 데이터

Kaspersky Endpoint Security의 내장 에이전트는 보안 위협 개발 체인을 구축하기 위해 YARA 검사 결과를 Kaspersky Anti Targeted Attack Platform으로 자동 전송합니다.

데이터는 작업 실행 결과를 Kaspersky Anti Targeted Attack Platform 서버로 전송하기 위해 대기열에 로컬로 임시로 저장됩니다. 전송된 데이터는 임시 저장소에서 삭제됩니다.

YARA 검사 결과에는 다음 데이터가 포함됩니다.

• 파일의 MD5 및 SHA256 해시
• 파일의 전체 이름
• 파일 경로
• 파일 크기
• 프로세스 이름
• 프로세스 인수
• 프로세스 파일 경로
• 프로세스의 Windows 식별자(PID)
• 부모 프로세스의 Windows 식별자(PID)
• 프로세스가 시작된 사용자 계정
• 프로세스가 시작된 날짜 및 시간