Kaspersky Anti Targeted Attack Platform (EDR)
Kaspersky Anti Targeted Attack Platform (EDR)
若 Kaspersky Endpoint Security 被解除安裝,則應用程式本機儲存在電腦上的所有資料將被從電腦中刪除。
服務資料
Kaspersky Endpoint Security 的內建代理在本機儲存以下資料:
- 在配置 Kaspersky Endpoint Security 的內建代理期間由使用者輸入的被處理檔案和資料:
- 已隔離的檔案
- Kaspersky Endpoint Security 內建代理設定:
- 用於與 Central Node 整合的憑證的公開金鑰
- 產品授權資料
- 與 Central Node 整合所需的資料:
- 遙測事件封包佇列
- 從 Central Node 接收到的 IOC 檔案識別碼的快取
- 要在 Get 檔案工作中傳遞到伺服器的物件
- Get 鑒定工作結果報告
KATA (EDR) 請求中的資料
與 Kaspersky Anti Targeted Attack Platform 整合時,以下資料儲存在本機電腦上:
來自 Kaspersky Endpoint Security 的內建代理請求 Central Node 元件的資料:
- 在同步請求中:
- 唯一 ID
- 伺服器網址的基本部分
- 電腦名稱
- 電腦 IP 位址
- 電腦 MAC 位址
- 電腦上的本機時間
- Kaspersky Endpoint Security 的自我防御狀態
- 電腦上安裝的作業係統的名稱和版本
- Kaspersky Endpoint Security 的版本
- 應用程式設定和工作設定的版本
- 工作狀態:工作的識別碼、執行狀態、錯誤代碼
- 在從伺服器獲取檔案的請求中:
- 檔案的唯一識別碼
- 唯一的 Kaspersky Endpoint Security 識別碼
- 憑證的唯一識別碼
- 安裝了 Central Node 元件的伺服器網址的基本部分
- 主機 IP 位址
- 在工作執行結果的報告中:
- 主機 IP 位址
- 有關在 IOC 掃描或 YARA 掃描期間偵測到的物件的資訊
- 完成工作後執行的附加操作的標誌
- 工作執行錯誤和返回代碼
- 工作完成狀態
- 工作完成時間
- 用於執行工作的設定的版本
- 有關提交到伺服器的物件、隔離物件和從隔離區還原的物件的資訊:物件路徑、MD5 和 SHA256 雜湊、隔離物件的識別碼
- 有關根據伺服器請求啟動或停止的處理程序的資訊:PID 和 UniquePID、錯誤代碼、物件的 MD5 和 SHA256 雜湊
- 有關應伺服器請求在電腦上啟動或停止的服務的資訊:服務名稱、啟動類型、錯誤代碼、服務檔案映像的 MD5 和 SHA256 雜湊
- 有關為 YARA 掃描建立記憶體傾印的物件的資訊(路徑、傾印檔案識別碼)
- 伺服器請求的檔案
- 遙測封包
- 關於正在執行的處理程序的資料:
- 可執行檔案名稱,包括完整路徑和副檔名
- 處理程序自動執行參數
- 處理程序 ID
- 登入工作階段 ID
- 登入工作階段名稱
- 處理程序開始的日期和時間
- 物件的 MD5 和 SHA256 雜湊
- 檔案資料:
- 檔案路徑
- 檔案名稱
- 檔案大小
- 檔案屬性
- 檔案建立的日期和時間
- 上次修改檔案的日期和時間
- 檔案描述
- 公司名稱
- 物件的 MD5 和 SHA256 雜湊
- 登錄機碼(適用於自動執行點)
- 抓取物件資訊時發生的錯誤資料:
- 發生錯誤時被處理的物件的全名
- 錯誤代碼
- 遙測資料:
- 主機 IP 位址
- 確認的更新操作之前登錄中的資料類型
- 確認的變更操作之前登錄機碼中的資料
- 被處理指令碼的文字或其中的一部分
- 被處理物件的類型
- 將指令傳遞給指令解釋器的方式
從 Central Node 元件的請求到 Kaspersky Endpoint Security 的內建代理的資料:
- 工作設定:
- 工作類型
- 工作排程設定
- 可以執行工作的帳戶的名稱和密碼
- 設定版本
- 隔離物件的識別碼
- 物件路徑
- 物件的 MD5 和 SHA256 雜湊
- 使用引數啟動處理程序的指令行
- 完成工作後執行的附加操作的標誌
- 要從伺服器抓取的 IOC 檔案識別碼
- IOC 檔案
- 服務名稱
- 服務啟動類型
- 必須為其接收 Get 鑒定工作結果的資料夾
- Get 鑒定工作的物件名稱和副檔名的遮罩
- 網路隔離設定:
- 設定類型
- 設定版本
- 網路隔離排除項目和排除項目設定清單:流量方向、IP 位址、連接埠、通訊協定和可執行檔的完整路徑
- 附加操作的旗標
- 自動隔離停用時間
- 執行防護設定
- 設定類型
- 設定版本
- 執行預防規則和規則設定的清單:物件路徑、物件類型、物件的 MD5 和 SHA256 雜湊
- 附加操作的旗標
- 事件篩選設定:
- 模組名稱
- 物件的完整路徑
- 物件的 MD5 和 SHA256 雜湊
- Windows 事件記錄中項目的識別碼
- 數位憑證設定
- 流量方向、IP 位址、連接埠、通訊協定、可執行檔的完整路徑
- 使用者名稱
- 使用者登入名類型
- 套用篩選器的遙測事件類型
YARA 掃描結果中的資料
Kaspersky Endpoint Security 內建代理會自動將 YARA 掃描結果傳輸至 Kaspersky Anti Targeted Attack Platform 以構建威脅發展鏈。
資料臨時儲存在本機佇列中,用於向 Kaspersky Anti Targeted Attack Platform 伺服器傳送工作執行結果。資料將在傳送後被從臨時儲存中刪除。
YARA 掃描結果包含以下資料:
- 檔案的 MD5 和 SHA256 雜湊
- 檔案完整名稱
- 檔案路徑
- 檔案大小
- 處理程序名稱
- 處理程序引數
- 處理程序檔案的路徑
- 處理程序的 Windows 識別碼 (PID)
- 父處理程序的 Windows 識別碼 (PID)
- 啟動處理程序的使用者帳戶
- 處理程序開始的日期和時間
此文章對您有幫助嗎?
我們可以如何改善?
感謝您的意見回饋!您正協助我們改善。
感謝您的意見回饋!您正協助我們改善。