Kaspersky Anti Targeted Attack Platform (EDR)

Todos os dados que a aplicação armazena localmente no computador, são eliminados do computador quando o Kaspersky Endpoint Security for desinstalado.

Dados de serviço

O agente integrado do Kaspersky Endpoint Security armazena os seguintes dados localmente:

• Ficheiros processados e dados introduzidos pelo utilizador durante a configuração do agente integrado do Kaspersky Endpoint Security:
  • Ficheiros em quarentena
  • Definições do agente integrado do Kaspersky Endpoint Security:
    • Chave pública do certificado usado para integração com o Central Node
    • Dados de licença
• Dados necessários para integração com o Central Node:
  • Fila de pacotes de eventos de telemetria
  • Cache de identificadores de ficheiros IOC recebidos do Central Node
  • Objetos a serem passados para o servidor na tarefa Obter ficheiro
  • Os relatórios de resultados da tarefa Obter informações forenses

Dados em pedidos para o KATA (EDR)

Ao integrar com o Kaspersky Anti Targeted Attack Platform, os seguintes dados são armazenados localmente no computador:

Dados do agente integrado do Kaspersky Endpoint Security solicitam ao componente do Nó Central:

• Em pedidos de sincronização:
  • ID único
  • Parte básica do endereço da Internet do servidor
  • Nome do computador
  • Endereço IP do computador
  • Endereço MAC do computador
  • Hora local no computador
  • Estado de autodefesa do Kaspersky Endpoint Security
  • Nome e versão do sistema operativo que está instalado no computador
  • Versão do Kaspersky Endpoint Security
  • Versões das definições das aplicações e definições da tarefa
  • Estado da tarefa: identificadores das tarefas, estado de execução, códigos de erro
• Nos pedidos para obter ficheiros do servidor:
  • Identificadores exclusivos dos ficheiros
  • Identificador exclusivo do Kaspersky Endpoint Security
  • Identificadores exclusivos dos certificados
  • Parte básica do endereço da Internet do servidor com o componente do Nó Central instalado
  • Endereço IP do anfitrião
• Nos relatórios sobre os resultados da execução da tarefa:
  • Endereço IP do anfitrião
  • Informações sobre os objetos detetados durante uma verificação IOC ou verificação YARA
  • Sinalizadores das ações adicionais realizadas após a conclusão das tarefas
  • Erros de execução de tarefas e códigos de retorno
  • Estados da conclusão da tarefa
  • Tempo de conclusão da tarefa
  • Versões das definições usadas para a execução das tarefas
  • Informações sobre os objetos enviados para o servidor, objetos em quarentena e objetos restaurados da quarentena: caminhos para objetos, hashes MD5 e SHA256, identificadores de objetos em quarentena
  • Informações sobre os processos iniciados ou interrompidos num computador a pedido do servidor: PID e UniquePID, código de erro, hashes MD5 e SHA256 dos objetos
  • Informações sobre os serviços iniciados ou interrompidos num computador a pedido do servidor: nome do serviço, tipo de inicialização, código de erro, hashes MD5 e SHA256 das imagens do ficheiro dos serviços
  • Informações sobre os objetos para os quais foi efetuada uma informação de memória para uma verificação YARA (caminhos, identificador do ficheiro de informação)
  • Ficheiros solicitados pelo servidor
  • Pacotes de telemetria
  • Dados sobre processos em execução:
    • Nome do ficheiro executável, incluindo caminho completo e extensão
    • Parâmetros de execução automática do processo
    • ID do processo
    • ID da sessão de início de sessão
    • Nome da sessão de início de sessão
    • Data e hora em que o processo foi iniciado
    • Hashes MD5 e SHA256 do objeto
  • Dados nos ficheiros:
    • Caminho do ficheiro
    • Nome do ficheiro
    • Tamanho do ficheiro
    • Atributos do ficheiro
    • Data e hora em que o ficheiro foi criado
    • Data e hora em que o ficheiro foi modificado pela última vez
    • Descrição do ficheiro
    • Nome da empresa
    • Hashes MD5 e SHA256 do objeto
    • Chave de registo (para pontos de execução automática)
  • Dados em erros que ocorrem quando as informações sobre os objetos foram recuperadas:
    • Nome completo do objeto que foi processado quando ocorreu um erro
    • Código de erro
• Dados de telemetria:
  • Endereço IP do anfitrião
  • Tipo de dados no registo antes da operação de atualização confirmada
  • Dados na chave do registo antes da operação de alteração confirmada
  • O texto do script processado ou parte do mesmo
  • Tipo de objeto processado
  • Forma de passar um comando para o interpretador de comandos

Dados dos pedidos do componente Central Node ao agente integrado do Kaspersky Endpoint Security:

• Definições da tarefa:
  • Tipo de tarefa
  • Definições de agendamento da tarefa
  • Nomes e passwords das contas em que as tarefas podem ser executadas
  • Versões das definições
  • Identificadores de objetos em quarentena
  • Caminhos para os objetos
  • Hashes MD5 e SHA256 dos objetos
  • Linha de comandos para iniciar o processo com os argumentos
  • Sinalizadores das ações adicionais realizadas após a conclusão das tarefas
  • Identificadores do ficheiro IOC a serem recuperados do servidor
  • IOC files
  • Nome do serviço
  • Tipo de inicialização do serviço
  • Pastas em que os resultados da tarefa Obter informações forenses têm de ser recebidos
  • Máscaras dos nomes de objeto e extensões para a tarefa Obter informações forenses
• Definições de isolamento de rede:
  • Tipos de definições
  • Versões das definições
  • Listas de exclusões de isolamento de rede e definições de exclusão: direção do tráfego, endereços IP, portas, protocolos e caminhos completos para os ficheiros executáveis
  • Sinalizadores das ações adicionais
  • Tempo de desativação do isolamento automático
• Definições da prevenção da execução
  • Tipos de definições
  • Versões das definições
  • Listas de regras de prevenção de execução e definições de regras: caminhos para objetos, tipos de objetos, hashes MD5 e SHA256 de objetos
  • Sinalizadores das ações adicionais
• Definições de filtro de eventos:
  • Nomes dos módulos
  • Caminhos completos para os objetos
  • Hashes MD5 e SHA256 dos objetos
  • Identificadores das entradas no registo de eventos do Windows
  • Definições de certificado digital
  • Direção do tráfego, endereços IP, portas, protocolos, caminhos completos para ficheiros executáveis
  • Nomes de utilizador
  • Tipos de inícios de sessão do utilizador
  • Tipos de eventos de telemetria em que os filtros são aplicados

Dados nos resultados da verificação YARA

O agente integrado do Kaspersky Endpoint Security transfere automaticamente os resultados da verificação YARA para o Kaspersky Anti Targeted Attack Platform para criar uma cadeia de desenvolvimento de ameaças.

Os dados são temporariamente armazenados localmente na fila para enviar os resultados da execução da tarefa para o servidor Kaspersky Anti Targeted Attack Platform. Os dados são eliminados do armazenamento temporário após serem enviados.

Os resultados da verificação YARA contêm os seguintes dados:

• Hashes MD5 e SHA256 do ficheiro
• Nome completo do ficheiro
• Caminho do ficheiro
• Tamanho do ficheiro
• Nome do processo
• Argumentos do processo
• Caminho para o ficheiro do processo
• Identificador do Windows (PID) do processo
• Identificador do Windows (PID) do processo principal
• Conta do utilizador que iniciou o processo
• Data e hora em que o processo foi iniciado