Kaspersky Anti Targeted Attack Platform (EDR)

Todos los datos que la aplicación almacena localmente en el equipo se eliminan de este cuando se desinstala Kaspersky Endpoint Security.

Datos de servicio

El agente incorporado de Kaspersky Endpoint Security almacena los siguientes datos localmente:

• Archivos procesados y datos ingresados por el usuario durante la configuración del agente incorporado de Kaspersky Endpoint Security:
  • Archivos en cuarentena
  • Configuración del agente incorporado de Kaspersky Endpoint Security:
    • Clave pública del certificado utilizado para la integración con Central Node
    • Datos de licencia
• Datos necesarios para la integración con Central Node:
  • Cola de paquetes de eventos de telemetría
  • Caché de identificadores del archivo de IOC recibidos de Central Node
  • Objetos que se pasarán al servidor dentro de la tarea Obtener archivo
  • Los informes de resultados de la tarea Obtener análisis forense

Datos de solicitudes a KATA (EDR)

Cuando se integra con Kaspersky Anti Targeted Attack Platform, los siguientes datos se almacenan localmente en el equipo:

Datos del agente incorporado de las solicitudes de Kaspersky Endpoint Security al componente de Central Node:

• En solicitudes de sincronización:
  • Id. única
  • Parte básica de la dirección web del servidor
  • Nombre del equipo
  • Dirección IP del equipo
  • Dirección MAC del equipo
  • Hora local en el equipo
  • Estado de autodefensa de Kaspersky Endpoint Security
  • Nombre y versión del sistema operativo instalado en el equipo
  • Versión de Kaspersky Endpoint Security
  • Versiones de la configuración de la aplicación y la configuración de la tarea
  • Estados de tareas: identificadores de tareas, estados de ejecución, códigos de error
• En solicitudes de obtención de archivos del servidor:
  • Identificadores únicos de archivos
  • Identificador único de Kaspersky Endpoint Security
  • Identificadores únicos de certificados
  • Parte básica de la dirección web del servidor con el componente Central Node instalado
  • Dirección IP del host
• En los informes de resultados de ejecución de tareas:
  • Dirección IP del host
  • Información sobre los objetos detectados durante un análisis de IOC o un análisis de YARA
  • Indicadores de las acciones adicionales realizadas al finalizar las tareas
  • Errores de ejecución de tareas y códigos de retorno
  • Estados de finalización de tareas
  • Hora de finalización de la tarea
  • Versiones de la configuración utilizada para la ejecución de las tareas
  • Información sobre los objetos enviados al servidor, objetos en cuarentena y objetos restaurados de la cuarentena: rutas a objetos, hash MD5 y SHA256, identificadores de objetos en cuarentena
  • Información sobre los procesos iniciados o detenidos en un equipo a pedido del servidor: PID y UniquePID, código de error, hashes MD5 y SHA256 de los objetos
  • Información sobre los servicios iniciados o detenidos en un equipo a petición del servidor: nombre del servicio, tipo de inicio, código de error, hashes MD5 y SHA256 de las imágenes de archivo de los servicios
  • Información sobre los objetos para los que se realizó un volcado de memoria para un análisis de YARA (rutas, identificador de archivo de volcado)
  • Archivos solicitados por el servidor
  • Paquetes de telemetría
  • Datos sobre procesos en ejecución:
    • Nombre del archivo ejecutable, incluida la ruta completa y la extensión
    • Parámetros de ejecución automática del proceso
    • Id. del proceso
    • Id. de sesión de inicio
    • Nombre de la sesión de inicio
    • Fecha y hora en que comenzó el proceso
    • Hashes MD5 y SHA256 del objeto
  • Datos en archivos:
    • Ruta de archivo
    • Nombre de archivo
    • Tamaño del archivo
    • Atributos del archivo
    • Fecha y hora en que se creó el archivo
    • Fecha y hora en que se modificó el archivo por última vez
    • Descripción del archivo
    • Nombre de la empresa
    • Hashes MD5 y SHA256 del objeto
    • Clave de registro (para puntos de ejecución automática)
  • Datos de errores que ocurren al recuperar información sobre objetos:
    • Nombre completo del objeto que se procesó cuando ocurrió un error
    • Código de error
• Datos de telemetría:
  • Dirección IP del host
  • Tipo de datos en el registro antes de la operación de actualización confirmada
  • Datos de la clave de registro antes de la operación de cambio confirmada
  • El texto del script procesado o una parte de este
  • Tipo de objeto procesado
  • Modo de pasar un comando al intérprete de comandos

Datos de las solicitudes del componente Central Node al agente incorporado de Kaspersky Endpoint Security:

• Configuración de tarea:
  • Tipo de tarea
  • Configuración de la programación de tarea
  • Nombres y contraseñas de las cuentas con las cuales se pueden ejecutar las tareas
  • Versiones de configuración
  • Identificadores de objetos en cuarentena
  • Ruta a los objetos
  • Hashes MD5 y SHA256 de los objetos
  • Línea de comando para iniciar el proceso con los argumentos
  • Indicadores de las acciones adicionales realizadas al finalizar las tareas
  • Identificadores de archivos de IOC que se recuperarán del servidor
  • Archivos de IOC
  • Nombre del servicio
  • Tipo de inicio de servicio
  • Carpetas para las que se deben recibir los resultados de la tarea Obtener análisis forense
  • Máscaras de los nombres de objetos y extensiones para la tarea Obtener análisis forense
• Configuración de aislamiento de la red:
  • Tipos de configuración
  • Versiones de configuración
  • Listas de exclusiones de aislamiento de red y configuración de exclusión: dirección del tráfico, direcciones IP, puertos, protocolos y rutas completas a archivos ejecutables
  • Indicadores de las acciones adicionales
  • Tiempo de deshabilitación del aislamiento automático
• Ajustes de prevención de ejecución
  • Tipos de configuración
  • Versiones de configuración
  • Listas de reglas de prevención de ejecución y configuración de reglas: rutas a objetos, tipos de objetos, hashes MD5 y SHA256 de objetos
  • Indicadores de las acciones adicionales
• Configuración de filtrado de eventos:
  • Nombres de módulo
  • Rutas completas a objetos
  • Hashes MD5 y SHA256 de los objetos
  • Identificadores de las entradas en el registro de eventos de Windows
  • Configuración de certificados digitales
  • Dirección del tráfico, direcciones IP, puertos, protocolos, rutas completas a archivos ejecutables
  • Nombres de usuario
  • Tipos de inicio de sesión de usuario
  • Tipos de eventos de telemetría para los que se aplican filtros

Datos de los resultados del análisis de YARA

El agente incorporado de Kaspersky Endpoint Security transfiere automáticamente los resultados del análisis de YARA a Kaspersky Anti Targeted Attack Platform para crear una cadena de desarrollo de la amenaza.

Los datos se almacenan temporalmente de forma local en la cola para enviar los resultados de la ejecución de tareas al servidor de Kaspersky Anti Targeted Attack Platform. Los datos se eliminan del almacenamiento temporal una vez que se han enviado.

Los resultados del análisis de YARA contienen los siguientes datos:

• Hashes MD5 y SHA256 del archivo
• Nombre completo del archivo
• Ruta de archivo
• Tamaño del archivo
• Nombre del proceso
• Argumentos del proceso
• Ruta al archivo del proceso
• Identificador de Windows (PID) del proceso
• Identificador de Windows (PID) del proceso principal
• Cuenta de usuario que inició el proceso
• Fecha y hora en que comenzó el proceso