Trasmissione dei dati
Per il corretto funzionamento di componenti di Kaspersky Managed Detection and Response, è necessario che Kaspersky elabori i dati dell'utente. I componenti non inviano dati senza l'autorizzazione dell'amministratore di Kaspersky Managed Detection and Response.
L'elenco dei dati dell'utente dipende dalla regione in cui viene utilizzata la soluzione. Per la regione dell'utente, l'elenco dei dati degli utenti potrebbe differire da quello elencato in questa sezione.
Kaspersky protegge le informazioni ricevute in conformità alle leggi e alle regole applicabili di Kaspersky. I dati vengono trasmessi tramite un canale sicuro.
Elenco dei dati sugli eventi che si verificano sui dispositivi dell'Utente
Al fine di facilitare il rilevamento di nuove e complesse minacce per la sicurezza dei dati e le loro fonti, ridurre il rischio di accessi non autorizzati e adottare misure tempestive per aumentare la protezione dei dati archiviati ed elaborati dal Cliente sul suo computer, il Cliente accetta di fornire automaticamente le seguenti informazioni allo scopo di ricevere il Servizio:
- Data di installazione e attivazione del software; nome completo e versione del software, incluse le informazioni sugli aggiornamenti installati e sulla lingua di localizzazione del software.
- Informazioni sul software installato sul computer, inclusi la versione del sistema operativo e la data del download e degli aggiornamenti installati, gli oggetti kernel, i driver, i servizi, le voci di avvio automatico, i programmi che vengono automaticamente avviati in concomitanza a vari eventi di sistema (ad esempio, avvio del sistema operativo, accesso utente e così via), oltre che le configurazioni, le estensioni browser, le estensioni di Microsoft Internet Explorer, le estensioni del sistema di stampa, le estensioni di Esplora risorse, le estensioni della shell del sistema operativo, le checksum degli oggetti caricati (MD5), gli elementi di gestione installazione, le applicazioni del pannello di controllo, le versioni del browser e del client di posta elettronica.
- Informazioni sulle autorizzazioni del file system, il bit effettivo per le autorizzazioni del file system, le versioni delle autorizzazioni del file system, le variabili di ambiente e i nomi delle chiamate di sistema.
- Informazioni sulle autorizzazioni ereditate per un file di sistema.
- Informazioni sul nome del computer, gli indirizzi IP, i gateway predefiniti, gli indirizzi MAC e l'hardware, tra cui un checksum del numero di serie del disco rigido, gli ultimi 12 byte dell'ID di protezione del computer (SID) e l'identificatore di zona di protezione contenuto nello stream di dati NTFS.
- Informazioni sugli strumenti software utilizzati per risolvere i problemi del software installato sul computer dell’Utente, o per modificarne la funzionalità, inoltre i codici restituiti ricevuti dopo l'installazione di ogni parte del software.
- Informazioni sullo stato della protezione anti-virus del computer, comprese le versioni, le date di rilascio e le volte in cui sono stati utilizzati i database anti-virus, le statistiche sugli aggiornamenti e i collegamenti con i servizi di Kaspersky Lab, gli identificatori processo, gli identificatori e le versioni dei componenti software che eseguono la scansione, i contrassegni che denotano l'ambiente di test interno Kaspersky, i codici di errore primari per un evento specifico, i codici di errore secondari per un evento specifico e i numeri ordinali degli eventi.
- Chiave di licenza e numero di serie dei prodotti Kaspersky Lab, nomi e versioni di questi prodotti. Identificatori delle installazioni dei prodotti Kaspersky Lab e descrizione del client dal file di informazioni sulla licenza.
- Informazioni sugli account utente del Cliente: nome dell'account utente, nome dell'utente, identificatore del sistema operativo, informazioni di accesso, privilegi, appartenenze a gruppi, tipi di sessioni di accesso al sistema, nome del pacchetto di autenticazione, nomi di dominio, nomi DNS utilizzati per le sessioni di accesso al sistema di autenticazione, nome server utilizzato per l'autenticazione, nome principale utente (UPN) per l'account e SID.
- Contenuto completo dei log del sistema operativo.
- Informazioni sui sistemi di chiamata.
- Informazioni sui rilevamenti dai programmi Kaspersky Lab che supportano Kaspersky Managed Detection and Response.
- Informazioni sulle e-mail ricevute, inclusi: indirizzi e-mail del mittente e del destinatario, oggetto, informazioni sugli allegati: nome del file allegato, dimensione, hash (MD5), risultati dell'analisi del formato del file.
- Informazioni sulle coordinate dell'area di schermo in cui è stato eseguito lo screenshot.
- Informazioni sulle connessioni di rete, inclusi: indirizzi IP e le porte del mittente e del destinatario, indici di zona IPv6, informazioni sulla direzione della connessione di rete (in entrata/in uscita), tipi e maschere delle query DNS effettuate, codici di errore per un'operazione di query DNS, risposta a una query DNS e informazioni sul server DNS richiesto.
- Dati e metodi di connessione HTTP, inclusi: indirizzi Web visitati, URL di riferimento, agenti utente e dati del protocollo di autenticazione di rete: hash MD5 dei dati per l'autenticazione Kerberos, nome account o computer, nome dell'area di autenticazione Kerberos a cui appartiene il nome server, dominio a cui appartiene il nome client, UPN per l'account, pacchetto di crittografia utilizzato per il ticket Kerberos, maschera di contrassegno per il ticket Kerberos in formato esadecimale, ora di emissione del ticket Kerberos, ora di scadenza del ticket Kerberos, data di scadenza del ticket (dopo la quale il ticket non può essere rinnovato) e nome del controller di dominio utilizzato per emettere il ticket Kerberos.
- Informazioni sui protocolli a livello di applicazione: dimensione richiesta di ricerca LDAP, filtro richiesta di ricerca LDAP, nome univoco della richiesta di ricerca LDAP, elenco di attributi per la richiesta di ricerca LDAP.
- Informazioni su .NET: nome completo della build .NET scaricata, flag dell'assembly della build .NET scaricata, flag del modulo .NET scaricato, nome del dominio della build .NET scaricata, moduli per lo stub MSIL generato, informazioni sul metodo gestito: spazio dei nomi, nome e firma del metodo gestito di interoperabilità, firma del metodo nativo, firma dello stub del metodo.
- Le informazioni sui file vengono elaborate all'interno del sistema operativo: nome e percorso del file, dimensioni, attributi, tipi di file e oggetti, risultati dell'analisi del formato del file, checksum (MD5), indirizzo Web di download del file, indirizzo e-mail e oggetto dell'e-mail del mittente del file, contenuto del file system della struttura VERSIONINFO dei metadati del file, informazioni sul publisher (se il file è firmato), ID utente del proprietario del file, ID del gruppo dei proprietari del file, marca temporale dell'ultimo accesso al file e dell'ultima modifica dei metadati del file, creazione del file, maschere dei flag di verifica della firma digitale, marche temporali e codici delle operazioni su file e oggetti, numero di avvii dei file eseguibili, identificatore del formato del file, percorso completo dell'oggetto e del relativo container, contenuto del file di esecuzione automatica, nome e percorso del file della risorsa di rete remota a cui si sta eseguendo l'accesso.
- Contenuto della directory \etc\.
- Dati di output del comando.
- Dati audit: risultato dell'operazione, descrizione dell'operazione, tipo di evento e utente dell'operazione.
- Informazioni sul processo: identificatore del processo (PID), tracciamento delle chiamate del processo, informazioni sul file eseguibile del processo e sulla sua riga di comando, informazioni sul processo principale, hash MD5 del codice di errore di calcolo del file eseguibile, codici di errore primari, informazioni di integrità del processo, informazioni di accesso alla sessione, riga di comando, argomenti della riga di comando per il processo, variabili d'ambiente per il processo di destinazione, identificatore unico del log di attività del processo, nome e/o indirizzo del sito di inserimento del codice, informazioni sui diritti di accesso per il processo, codici di errore per il calcolo dell'hash MD5 per un oggetto dalla riga di comando del processo, elenco di wrapper di file che incapsulano l'oggetto, directory di lavoro iniziale per il processo di destinazione, serie di identificatori (PID) per i processi completati.
- Informazioni sul Registro di sistema: nomi, sezioni e valori.
- Informazioni sulle operazioni da remoto: nome del computer remoto e nome completo (FQDN) del computer remoto su cui è stata eseguita l'operazione da remoto, nome dell'account utente che ha avviato l'operazione da remoto, identificatore fornito dal sistema del processo remoto che ha avviato l'operazione da remoto, ora di inizio del processo remoto che ha avviato l'operazione da remoto, nome dello spazio dei nomi per l'utente degli eventi WMI, nome del filtro eventi WMI dell'utente, nome dell'utente creato per gli eventi WMI e il codice sorgente dell'utente degli eventi WMI.
- Informazioni sull'errore: codice di errore per il calcolo MD5, codice di errore di accesso al file, codici di errore primari e codici di errore secondari.
- Informazioni sulle attività degli eventi di risposta creati dagli specialisti di Kaspersky Lab e dell’Utente: nome e tipo di evento, data e ora in cui si è verificato l'evento; impostazioni e risultati dell'attività di risposta (informazioni sull'oggetto [percorso all'oggetto, nome e dimensioni dell'oggetto, checksum MD5 e SHA256], informazioni sulla quarantena dell'oggetto, informazioni sull'eliminazione dell'oggetto, informazioni sulla terminazione del processo, informazioni sull'eliminazione di una chiave di registro/ramo, informazioni sull'avvio del processo, informazioni sugli oggetti richiesti dagli specialisti di Kaspersky Lab per un'analisi dettagliata con il consenso dell’Utente [nome, percorso, dimensione e tipo dell'oggetto, checksum MD5 e SHA256, descrizione dell'oggetto, data e ora dell'elaborazione della richiesta di file, contenuti dei file], informazioni sull'installazione e la rimozione dell'isolamento della rete del dispositivo, informazioni sugli errori derivanti dall'attività di risposta).
- Dati sugli script in esecuzione sul computer: argomenti della riga di comando, contenuto dello script o di una parte dello stesso in esecuzione sul computer e contenuto dell'oggetto o di una parte dello stesso ricevuto da AMSI.
- Dati sui comandi ricevuti dall'applicazione della console, inclusi gli interpreti della riga di comando, che utilizzano il reindirizzamento dell'input tramite una pipe o un file, nonché i comandi eseguiti dall'utente nelle applicazioni della console, inclusi gli interpreti della riga di comando.
Elenco dei dati sugli eventi rilevati a seguito dell'analisi del traffico di rete
Al fine di facilitare il rilevamento di nuovi e complessi eventi per la sicurezza dei dati e le loro fonti, ridurre il rischio di accessi non autorizzati e adottare misure tempestive per aumentare la protezione dei dati archiviati ed elaborati dal Cliente sul suo computer, il Cliente accetta di fornire automaticamente le seguenti informazioni allo scopo di ricevere il Servizio:
- Informazioni su identificatore, versione, tipo e timestamp del record nel database anti-virus utilizzato per rilevare un evento relativo alla sicurezza delle informazioni, il nome della minaccia in base alla classificazione di Kaspersky Lab, timestamp dei database anti-virus utilizzati, codice tipo di file, identificatore formato file, ID di operazione del software che ha rilevato l'evento, il contrassegno di verifica della reputazione o la verifica della firma del file.
- Informazioni per determinare la reputazione dei file e delle risorse Web, inclusi indirizzo IP e nome dominio dell'indirizzo URL al quale si richiede la reputazione, nome del file eseguito al momento del rilevamento dell'evento, percorso del file e checksum (MD5) del file e suo percorso.
- Informazioni sull'emulazione del file eseguibile, inclusi, dimensioni del file e relative checksum (MD5, SHA256, SHA1), versione del componente di emulazione, profondità di emulazione, serie di proprietà e funzioni dei blocchi logici ottenute durante l'emulazione, dati estratti dalle intestazioni PE del file eseguibile.
- Informazioni su tutti gli oggetti rilevati, inclusi nome e dimensioni dell'oggetto, percorso completo dell'oggetto sul computer, checksum (MD5, SHA256) dei file elaborati, nome dell'evento associato all'oggetto, data e ora del rilevamento, contrassegno della presenza della firma digitale del file, nome dell'organizzazione che ha firmato il file, stato di attendibilità e livello della minaccia del file, identificatore e priorità della regola impiegata per il rilevamento, infine, tipo di tecnologia di rilevamento.
- Tipo di origine da cui è stato scaricato l'oggetto, indirizzo IP dell'origine, o checksum (MD5) dell'indirizzo IP quando è locale, indirizzo URL dell'origine, nonché indirizzo URL del referrer, nome, nome di dominio e checksum (MD5) dell'host che ha inviato la richiesta di download e informazioni di servizio sul browser Web che ha inviato la richiesta di download.
- Le checksum (MD5) delle parti di dominio e locali degli indirizzi e-mail del mittente e del destinatario, oltre che la checksum (MD5) dell'oggetto dell'e-mail.
- Gli indirizzi IP locali e remoti della connessione di rete, i numeri delle porte locali e remote e l'identificatore protocollo della connessione.
- Indirizzo URL e nome dell'host di destinazione e indirizzi IP dell'host.
- Identificatore del sistema operativo, installato in una macchina virtuale, utilizzato dal software per analizzare gli oggetti.
- Informazioni aggiuntive sugli eventi, inclusi, l'indice di frequenza del file nella rete locale dell’Utente, la data di intrusione del file nella rete locale e sul computer dell’Utente, gli identificatori degli account dai quali ha avuto inizio il processo, le checksum dei loro nomi utente, i nomi dei loro domini o gruppi di lavoro, le informazioni sui privilegi degli account utente.
- Informazioni sull'attività di rete del processo, inclusi i nomi dominio delle risorse di rete utilizzate per stabilire una connessione, oltre che gli indirizzi IP dei domini, la frequenza della connessione alla risorsa di rete selezionata, le dimensioni e il tipo dei dati trasferiti.
- Informazioni sull'utilizzo del dominio della risorsa di rete, inclusi indice di frequenza delle richieste al dominio dalla rete locale, timestamp della prima richiesta al dominio dalla rete locale, durata delle richieste da diversi utenti e checksum dei relativi nomi, nomi dei computer che hanno avviato le richieste al dominio, ulteriori informazioni sui motivi del rilevamento.
- Informazioni di servizio sul componente di elaborazione delle statistiche, inclusi data e ora di inizio e di fine del periodo di tempo utilizzato per analizzare i dati delle statistiche, volume della memoria del disco libera e in uso, ora dell'ultima elaborazione dell'evento, tempo di funzionamento di diversi algoritmi di rilevamento, messaggi sugli errori del componente, messaggi sul corretto avvio di diversi algoritmi di rilevamento.
- Dati inviati all'assistenza tecnica.
Trasmissione dei dati durante l'utilizzo di Kaspersky Endpoint Agent
Per informazioni dettagliate sulla trasmissione dei dati durante l'utilizzo di Kaspersky Endpoint Agent, fare riferimento a Kaspersky Endpoint Agent for Windows.
Inizio pagina