Hỗ trợ

Hỗ trợ các Giải pháp doanh nghiệp

Kaspersky Endpoint Security 12 cho Windows

Cung cấp dữ liệu

Cung cấp dữ liệu khi sử dụng giải pháp Detection and Response

Kaspersky Anti Targeted Attack Platform (EDR)

Kaspersky Endpoint Security 12 cho Windows
Нет результатов
Нет результатов
Trợ giúp trực tuyến
Câu hỏi thường gặp Yêu cầu hệ thống Tải xuống Mua Gia hạn Diễn đàn Liên hệ hỗ trợ Công cụ khôi phục Video sản phẩm

Kaspersky Anti Targeted Attack Platform (EDR)

14 Tháng Hai, 2024

ID 249510

Lưu thành PDF

Toàn bộ dữ liệu mà ứng dụng lưu trữ cục bộ trên máy tính sẽ bị xóa khỏi máy tính khi gỡ cài đặt Kaspersky Endpoint Security.

Dữ liệu dịch vụ

Tác nhân tích hợp của Kaspersky Endpoint Security sẽ lưu trữ các dữ liệu sau cục bộ:

  • Các tập tin và dữ liệu được xử lý do người dùng nhập trong quá trình cấu hình tác nhân tích hợp sẵn của Kaspersky Endpoint Security:
    • Các tập tin được cách ly
    • Thiết lập của tác nhân tích hợp sẵn của Kaspersky Endpoint Security:
      • Khóa công khai của chứng chỉ được sử dụng để tích hợp với Nút trung tâm
      • Dữ liệu giấy phép
  • Dữ liệu cần thiết để tích hợp với Nút trung tâm:
    • Hàng chờ gói tin sự kiện đo lường từ xa
    • Bộ nhớ đệm của các định danh tập tin IOC nhận được từ Nút trung tâm
    • Các đối tượng cần được chuyển đến máy chủ trong tác vụ Nhận tập tin
    • Các báo cáo kết quả tác vụ Nhận pháp lý

Dữ liệu trong các yêu cầu gửi đến KATA (EDR)

Khi tích hợp với Kaspersky Anti Targeted Attack Platform, các dữ liệu sau được lưu trữ cục bộ trên máy tính:

Dữ liệu từ tác nhân tích hợp sẵn của Kaspersky Endpoint Security yêu cầu tới thành phần Nút trung tâm:

  • Trong các yêu cầu đồng bộ hóa:
    • ID duy nhất
    • Phần cơ bản của địa chỉ web máy chủ
    • Tên máy tính
    • Địa chỉ IP của máy tính
    • Địa chỉ MAC của máy tính
    • Giờ địa phương trên máy tính
    • Trạng thái tự bảo vệ của Kaspersky Endpoint Security
    • Tên và phiên bản của hệ điều hành được cài đặt trên máy tính
    • Phiên bản của Kaspersky Endpoint Security
    • Các phiên bản thiết lập ứng dụng và cài đặt tác vụ
    • Trạng thái tác vụ: định danh tác vụ, trạng thái thực thi, mã lỗi
  • Trong các yêu cầu lấy tập tin từ máy chủ:
    • Định danh duy nhất của tập tin
    • Định danh duy nhất của Kaspersky Endpoint Security
    • Định danh duy nhất của chứng chỉ
    • Phần cơ bản của địa chỉ web của máy chủ có thành phần Nút trung tâm được cài đặt
    • Địa chỉ IP của máy chủ
  • Trong các báo cáo kết quả thực thi tác vụ:
    • Địa chỉ IP của máy chủ
    • Thông tin về các đối tượng được phát hiện trong quá trình quét IOC hoặc quét YARA
    • Các cờ của các hành động bổ sung được thực hiện sau khi hoàn thành tác vụ
    • Lỗi thực thi tác vụ và mã trả về
    • Trạng thái hoàn thành tác vụ
    • Thời gian hoàn thành tác vụ
    • Các phiên bản của thiết lập được sử dụng để thực hiện các tác vụ
    • Thông tin về các đối tượng được gửi tới máy chủ, các đối tượng được cách ly và các đối tượng được khôi phục từ khu vực cách ly: đường dẫn đến các đối tượng, giá trị băm MD5 và SHA256, định danh của các đối tượng được cách ly
    • Thông tin về các tiến trình được khởi chạy hoặc bị dừng trên máy tính theo yêu cầu của máy chủ: PID và UniquePID, mã lỗi, giá trị băm MD5 và SHA256 của các đối tượng
    • Thông tin về các dịch vụ đã khởi tạo hoặc dừng trên máy tính theo yêu cầu của máy chủ: tên dịch vụ, loại khởi chạy, mã lỗi, giá trị băm MD5 và SHA256 của ảnh tập tin của dịch vụ
    • Thông tin về các đối tượng được thực hiện kết xuất bộ nhớ để quét YARA (đường dẫn, định danh tập tin kết xuất)
    • Các tập tin được yêu cầu bởi máy chủ
    • Các gói tin đo lường từ xa
    • Dữ liệu về các tiến trình đang chạy:
      • Tên tập tin thực thi, bao gồm đường dẫn đầy đủ và phần mở rộng
      • Tham số autorun của tiến trình
      • ID tiến trình
      • ID phiên đăng nhập
      • Tên phiên đăng nhập
      • Ngày và thời gian khởi tạo tiến trình
      • Giá trị băm MD5 và SHA256 của đối tượng
    • Dữ liệu trên các tập tin:
      • Đường dẫn đến tập tin
      • Tên tập tin
      • Kích thước tập tin
      • Thuộc tính tập tin
      • Ngày và giờ tạo tập tin
      • Ngày và giờ sửa đổi tập tin lần cuối
      • Mô tả tập tin
      • Tên công ty
      • Giá trị băm MD5 và SHA256 của đối tượng
      • Khóa registry (đối với các mục tự động chạy)
    • Dữ liệu về các lỗi xảy ra khi thông tin về các đối tượng được truy xuất:
      • Tên đầy đủ của đối tượng đã được xử lý khi xảy ra lỗi
      • Mã lỗi
  • Dữ liệu đo lường từ xa:
    • Địa chỉ IP của máy chủ
    • Loại dữ liệu trong registry trước thao tác cập nhật được thực hiện
    • Dữ liệu trong khoá registry trước thao tác thay đổi được thực hiện
    • Văn bản của tập lệnh được xử lý hoặc một phần của tập lệnh đó
    • Loại đối tượng được xử lý
    • Cách truyền lệnh cho trình thông dịch lệnh

Dữ liệu từ các yêu cầu của thành phần Nút trung tâm tới tác nhân tích hợp của Kaspersky Endpoint Security:

  • Thiết lập tác vụ:
    • Loại tác vụ
    • Thiết lập lịch tác vụ
    • Tên và mật khẩu của các tài khoản thông qua đó các tác vụ có thể được chạy
    • Các phiên bản thiết lập
    • Định danh đối tượng được cách ly
    • Đường dẫn đến các đối tượng
    • Giá trị băm MD5 và SHA256 của các đối tượng
    • Dòng lệnh để khởi chạy tiến trình kèm các đối số
    • Các cờ của các hành động bổ sung được thực hiện sau khi hoàn thành tác vụ
    • Định danh tập tin IOC cần được truy xuất từ máy chủ
    • IOC files
    • Tên dịch vụ
    • Kiểu khởi chạy dịch vụ
    • Các thư mục phải nhận được các kết quả của tác vụ Nhận pháp lý
    • Tên đại diện của đối tượng và phần mở rộng cho tác vụ Nhận pháp lý
  • Thiết lập cách ly mạng:
    • Các loại thiết lập
    • Các phiên bản thiết lập
    • Danh sách loại trừ cách ly mạng và thiết lập loại trừ: hướng lưu lượng, địa chỉ IP, cổng, giao thức và đường dẫn đầy đủ đến các tập tin thực thi
    • cờ của những hành động bổ sung
    • Thời gian vô hiệu cách ly tự động
  • Thiết lập Phòng chống thực thi
    • Các loại thiết lập
    • Các phiên bản thiết lập
    • Danh sách các quy tắc phòng chống thực thi và thiết lập quy tắc: đường dẫn đến đối tượng, loại đối tượng, giá trị băm MD5 và SHA256 của đối tượng
    • cờ của những hành động bổ sung
  • Thiết lập lọc sự kiện:
    • Các tên mô-đun
    • Đường dẫn đầy đủ đến các đối tượng
    • Giá trị băm MD5 và SHA256 của các đối tượng
    • Định danh của các mục trong nhật ký sự kiện Windows
    • Thiết lập chứng chỉ số
    • Hướng lưu lượng, địa chỉ IP, cổng, giao thức, đường dẫn đầy đủ đến tập tin thực thi
    • Các tên người dùng
    • Các kiểu đăng nhập người dùng
    • Các loại sự kiện đo lường từ xa được áp dụng bộ lọc

Dữ liệu trong kết quả quét YARA

Tác nhân tích hợp của Kaspersky Endpoint Security sẽ tự động chuyển kết quả quét YARA tới Kaspersky Anti Targeted Attack Platform để xây dựng một chuỗi phát triển mối đe dọa.

Dữ liệu tạm thời được lưu trữ cục bộ trong hàng chờ để gửi kết quả thực hiện tác vụ đến máy chủ Kaspersky Anti Targeted Attack Platform. Dữ liệu sẽ bị xóa khỏi bộ lưu trữ tạm thời sau khi đã được gửi.

Kết quả quét YARA chứa các dữ liệu sau:

  • Giá trị băm MD5 và SHA256 của tập tin
  • Tên đầy đủ của tập tin
  • Đường dẫn đến tập tin
  • Kích thước tập tin
  • Tên tiến trình
  • Đối số của tiến trình
  • Đường dẫn đến tập tin của tiến trình
  • Định danh Windows (PID) của tiến trình
  • Định danh Windows (PID) của tiến trình gốc
  • Tài khoản người dùng đã khởi tạo tiến trình
  • Ngày và thời gian khởi tạo tiến trình

Bạn có thấy bài viết này hữu ích không?
Chúng tôi có thể cải thiện điều gì không?
Cảm ơn bạn đã gửi phản hồi! Bạn đang giúp chúng tôi cải tiến.
Cảm ơn bạn đã gửi phản hồi! Bạn đang giúp chúng tôi cải tiến.