Kaspersky Anti Targeted Attack Platform (EDR)

若 Kaspersky Endpoint Security 被解除安裝，則應用程式本機儲存在電腦上的所有資料將被從電腦中刪除。

服務資料

Kaspersky Endpoint Security 的內建代理在本機儲存以下資料：

• 在配置 Kaspersky Endpoint Security 的內建代理期間由使用者輸入的被處理檔案和資料：
  • 已隔離的檔案
  • Kaspersky Endpoint Security 內建代理設定：
    • 用於與 Central Node 整合的憑證的公開金鑰
    • 產品授權資料
• 與 Central Node 整合所需的資料：
  • 遙測事件封包佇列
  • 從 Central Node 接收到的 IOC 檔案識別碼的快取
  • 要在 Get 檔案工作中傳遞到伺服器的物件
  • Get 鑒定工作結果報告

KATA (EDR) 請求中的資料

與 Kaspersky Anti Targeted Attack Platform 整合時，以下資料儲存在本機電腦上：

來自 Kaspersky Endpoint Security 的內建代理請求 Central Node 元件的資料：

• 在同步請求中：
  • 唯一 ID
  • 伺服器網址的基本部分
  • 電腦名稱
  • 電腦 IP 位址
  • 電腦 MAC 位址
  • 電腦上的本機時間
  • Kaspersky Endpoint Security 的自我防御狀態
  • 電腦上安裝的作業係統的名稱和版本
  • Kaspersky Endpoint Security 的版本
  • 應用程式設定和工作設定的版本
  • 工作狀態：工作的識別碼、執行狀態、錯誤代碼
• 在從伺服器獲取檔案的請求中：
  • 檔案的唯一識別碼
  • 唯一的 Kaspersky Endpoint Security 識別碼
  • 憑證的唯一識別碼
  • 安裝了 Central Node 元件的伺服器網址的基本部分
  • 主機 IP 位址
• 在工作執行結果的報告中：
  • 主機 IP 位址
  • 有關在 IOC 掃描或 YARA 掃描期間偵測到的物件的資訊
  • 完成工作後執行的附加操作的標誌
  • 工作執行錯誤和返回代碼
  • 工作完成狀態
  • 工作完成時間
  • 用於執行工作的設定的版本
  • 有關提交到伺服器的物件、隔離物件和從隔離區還原的物件的資訊：物件路徑、MD5 和 SHA256 雜湊、隔離物件的識別碼
  • 有關根據伺服器請求啟動或停止的處理程序的資訊：PID 和 UniquePID、錯誤代碼、物件的 MD5 和 SHA256 雜湊
  • 有關應伺服器請求在電腦上啟動或停止的服務的資訊：服務名稱、啟動類型、錯誤代碼、服務檔案映像的 MD5 和 SHA256 雜湊
  • 有關為 YARA 掃描建立記憶體傾印的物件的資訊（路徑、傾印檔案識別碼）
  • 伺服器請求的檔案
  • 遙測封包
  • 關於正在執行的處理程序的資料：
    • 可執行檔案名稱，包括完整路徑和副檔名
    • 處理程序自動執行參數
    • 處理程序 ID
    • 登入工作階段 ID
    • 登入工作階段名稱
    • 處理程序開始的日期和時間
    • 物件的 MD5 和 SHA256 雜湊
  • 檔案資料：
    • 檔案路徑
    • 檔案名稱
    • 檔案大小
    • 檔案屬性
    • 檔案建立的日期和時間
    • 上次修改檔案的日期和時間
    • 檔案描述
    • 公司名稱
    • 物件的 MD5 和 SHA256 雜湊
    • 登錄機碼（適用於自動執行點）
  • 抓取物件資訊時發生的錯誤資料：
    • 發生錯誤時被處理的物件的全名
    • 錯誤代碼
• 遙測資料：
  • 主機 IP 位址
  • 確認的更新操作之前登錄中的資料類型
  • 確認的變更操作之前登錄機碼中的資料
  • 被處理指令碼的文字或其中的一部分
  • 被處理物件的類型
  • 將指令傳遞給指令解釋器的方式

從 Central Node 元件的請求到 Kaspersky Endpoint Security 的內建代理的資料：

• 工作設定：
  • 工作類型
  • 工作排程設定
  • 可以執行工作的帳戶的名稱和密碼
  • 設定版本
  • 隔離物件的識別碼
  • 物件路徑
  • 物件的 MD5 和 SHA256 雜湊
  • 使用引數啟動處理程序的指令行
  • 完成工作後執行的附加操作的標誌
  • 要從伺服器抓取的 IOC 檔案識別碼
  • IOC 檔案
  • 服務名稱
  • 服務啟動類型
  • 必須為其接收 Get 鑒定工作結果的資料夾
  • Get 鑒定工作的物件名稱和副檔名的遮罩
• 網路隔離設定：
  • 設定類型
  • 設定版本
  • 網路隔離排除項目和排除項目設定清單：流量方向、IP 位址、連接埠、通訊協定和可執行檔的完整路徑
  • 附加操作的旗標
  • 自動隔離停用時間
• 執行防護設定
  • 設定類型
  • 設定版本
  • 執行預防規則和規則設定的清單：物件路徑、物件類型、物件的 MD5 和 SHA256 雜湊
  • 附加操作的旗標
• 事件篩選設定：
  • 模組名稱
  • 物件的完整路徑
  • 物件的 MD5 和 SHA256 雜湊
  • Windows 事件記錄中項目的識別碼
  • 數位憑證設定
  • 流量方向、IP 位址、連接埠、通訊協定、可執行檔的完整路徑
  • 使用者名稱
  • 使用者登入名類型
  • 套用篩選器的遙測事件類型

YARA 掃描結果中的資料

Kaspersky Endpoint Security 內建代理會自動將 YARA 掃描結果傳輸至 Kaspersky Anti Targeted Attack Platform 以構建威脅發展鏈。

資料臨時儲存在本機佇列中，用於向 Kaspersky Anti Targeted Attack Platform 伺服器傳送工作執行結果。資料將在傳送後被從臨時儲存中刪除。

YARA 掃描結果包含以下資料：

• 檔案的 MD5 和 SHA256 雜湊
• 檔案完整名稱
• 檔案路徑
• 檔案大小
• 處理程序名稱
• 處理程序引數
• 處理程序檔案的路徑
• 處理程序的 Windows 識別碼 (PID)
• 父處理程序的 Windows 識別碼 (PID)
• 啟動處理程序的使用者帳戶
• 處理程序開始的日期和時間