Kaspersky Anti Targeted Attack Platform (EDR)

Toate datele pe care aplicația le stochează local pe computer sunt șterse de pe computer atunci când Kaspersky Endpoint Security este dezinstalat.

Datele serviciului

Agentul încorporat al Kaspersky Endpoint Security stochează local următoarele date:

• Fișierele procesate și datele introduse de utilizator în timpul configurării agentului încorporat al Kaspersky Endpoint Security:
  • Fișiere caractinate
  • Setările agentului încorporat al Kaspersky Endpoint Security:
    • Cheia publică a certificatului utilizat pentru integrarea cu Central Node
    • Datele licenței
• Datele necesare pentru integrarea cu Central Node:
  • Coada de pachete de evenimente de telemetrie
  • Cache-ul identificatorilor de fișiere IOC primit de la Central Node
  • Obiectele care urmează să fie transmise serverului în cadrul activității Obținere fișier
  • Rapoartele cu rezultatele activității Obținere rezultate investigație

Datele din solicitările către KATA (EDR)

La integrarea cu Kaspersky Anti Targeted Attack Platform, următoarele date sunt stocate local pe computer:

Datele de la agentul încorporat al solicitărilor Kaspersky Endpoint Security către componenta Central Node:

• În solicitările de sincronizare:
  • ID-ul unic
  • Partea de bază a adresei web a serverului
  • Numele calculatorului
  • Adresa IP a computerului
  • Adresa MAC a computerului
  • Ora locală pe computer
  • Starea de autoprotecție a Kaspersky Endpoint Security
  • Numele și versiunea sistemului de operare care este instalat pe computer
  • Versiunea Kaspersky Endpoint Security
  • Versiunile setărilor aplicației și ale setărilor activităților
  • Stările acțiunilor: identificatorii activităților, stările execuției, codurile de eroare
• În solicitările pentru obținerea fișierelor de pe server:
  • Identificatorii unici ai fișierelor
  • Identificatorul unic al Kaspersky Endpoint Security
  • Identificatorii unici ai certificatelor
  • Partea de bază a adresei web a serverului pe care este instalată componenta Central Node
  • Adresa IP a gazdei
• În rapoartele privind rezultatele executării activităților:
  • Adresa IP a gazdei
  • Informații despre obiectele detectate în timpul unei scanări IOC sau YARA
  • Indicatorii acțiunilor suplimentare efectuate la finalizarea activităților
  • Erorile de execuție a activităților și codurile returnate
  • Stările de finalizare a activităților
  • Ora de finalizare a activităților
  • Versiunile setărilor utilizate pentru executarea activităților
  • Informații despre obiectele trimise către server, obiectele carantinate și obiectele restaurate din carantină: căile către obiecte, hash-urile MD5 și SHA256, identificatorii obiectelor carantinate
  • Informațiile despre procesele pornite sau oprite pe un computer la solicitarea serverului: PID-ul și UniquePID-ul, codul de eroare, hash-urile MD5 și SHA256 ale obiectelor
  • Informațiile despre serviciile pornite sau oprite pe un computer la solicitarea serverului: numele serviciului, tipul pornirii, codul de eroare, hash-urile MD5 și SHA256 ale fișierelor imagini ale serviciilor
  • Informațiile despre obiectele pentru care s-a efectuat un dump de memorie pentru o scanare YARA (căi, identificatorul fișierului dump)
  • Fișierele solicitate de server
  • Pachetele de telemetrie
  • Date despre procesele care rulează:
    • Numele fișierului executabil, inclusiv calea completă și extensia
    • Parametrii de executare automată a procesului
    • ID proces
    • ID-ul sesiunii de conectare
    • Numele sesiunii de conectare
    • Data și ora la care a fost pornit procesul
    • Hash-urile MD5 și SHA256 ale obiectului
  • Date despre fișiere:
    • Cale fișier
    • Nume fișier
    • Mărimea fișierului
    • Atributele fișierului
    • Data și ora la care s-a creat fișierul
    • Data și ora la care fișierul a fost moficicat ultima dată
    • Descriere fișier
    • Numele companiei
    • Hash-urile MD5 și SHA256 ale obiectului
    • Cheia de registry (pentru punctele de executare automată)
  • Date din erorile care apar atunci când au fost preluate informațiile despre obiecte:
    • Numele complet al obiectului care a fost procesat când a apărut o eroare
    • Cod eroare
• Date de telemetrie:
  • Adresa IP a gazdei
  • Tipul de date din registry înainte de operațiunea de actualizare executată
  • Datele din cheia de registry înainte de operațiunea de modificare efectuată
  • Textul scriptului procesat sau o parte a acestuia
  • Tipul obiectului procesat
  • Modul de transmitere a unei comenzi interpretului de comenzi

Datele din solicitările componentei Central Node către agentul încorporat al Kaspersky Endpoint Security:

• Setările activității:
  • Tip activitate
  • Setările planificării activității
  • Numele și parolele conturilor sub care pot fi executate activitățile
  • Versiunile setărilor
  • Identificatorii obiectelor carantinate
  • Căile către obiecte
  • Hash-urile MD5 și SHA256 ale obiectelor
  • Linie de comandă pentru pornirea procesului cu argumente
  • Indicatorii acțiunilor suplimentare efectuate la finalizarea activităților
  • Identificatorii fișierelor IOC care urmează să fie preluați de pe server
  • IOC files
  • Nume serviciu
  • Tipul pornirii serviciului
  • Directoarele pentru care trebuie să fie primite rezultatele activității Obținerea informații investigație
  • Măștile numelor obiectelor și a extensiilor pentru activitatea Obținere informații investigație
• Setările izolării rețelei:
  • Tipurile de setări
  • Versiunile setărilor
  • Listele excluderilor izolării rețelei și setările excluderii: direcția traficului, adresele IP, porturile, protocoalele și căile complete către fișierele executabile
  • Indicatorii acțiunilor suplimentare
  • Ora dezactivării izolării automate
• Setările pentru prevenirea executării
  • Tipurile de setări
  • Versiunile setărilor
  • Listele cu regulile de prevenire a executării și setările regulilor: căile către obiecte, tipurile de obiecte, hash-urile MD5 și SHA256 ale obiectelor
  • Indicatorii acțiunilor suplimentare
• Setările de filtrare a evenimentelor:
  • Nume modul
  • Căile complete către obiecte
  • Hash-urile MD5 și SHA256 ale obiectelor
  • Identificatorii intrărilor din jurnalul de evenimente Windows
  • Setările certificatului digital
  • Direcția traficului, adresele IP, porturile, protocoalele, căile complete către fișierele executabile
  • Numele de utilizatori
  • Tipurile de conectare a utilizatorului
  • Tipurile de evenimente de telemetrie pentru care se aplică filtre

Datele din rezultatele scanării YARA

Agentul încorporat al Kaspersky Endpoint Security transferă automat rezultatele scanării YARA către Kaspersky Anti Targeted Attack Platform pentru a construi un lanț de dezvoltare a amenințării.

Datele sunt stocate temporar local în coada de așteptare pentru trimiterea rezultatelor execuției activităților către serverul Kaspersky Anti Targeted Attack Platform. Datele sunt șterse din stocarea temporară odată ce au fost trimise.

Rezultatele scanării YARA conțin următoarele date:

• Hash-urile MD5 și SHA256 ale fișierului
• Numele complet al fișierului
• Cale fișier
• Mărimea fișierului
• Numele procesului
• Argumentele procesului
• Calea către fișierul de proces
• Identificatorul Windows (PID) al procesului
• Identificatorul Windows (PID) al procesului părinte
• Contul de utilizator care a pornit procesul
• Data și ora la care a fost pornit procesul