О предоставлении данных

Для работы некоторых компонентов Kaspersky Anti Targeted Attack Platform необходима обработка данных на стороне "Лаборатории Касперского". Компоненты не отправляют данные без согласия администратора Kaspersky Anti Targeted Attack Platform.

Вы можете ознакомиться с перечнем данных и условиями их использования, а также дать согласие на обработку данных в следующих соглашениях между вашей организацией и "Лабораторией Касперского":

• В Лицензионном соглашении (например, при установке программы).

  Согласно условиям Лицензионного соглашения, вы соглашаетесь в автоматическом режиме предоставлять "Лаборатории Касперского" информацию, перечисленную в Лицензионном соглашении в пункте Предоставление информации. Лицензионное соглашение входит в комплект поставки программы.

• В Положении о KSN (например, при установке программы или в меню администратора программы после установки).

  При участии в Kaspersky Security Network в "Лабораторию Касперского" автоматически передается информация, полученная в результате работы Kaspersky Anti Targeted Attack Platform. Перечень передаваемых данных указан в Положении о KSN. Пользователь Kaspersky Anti Targeted Attack Platform самостоятельно принимает решение об участии в KSN. Положение о KSN входит в комплект поставки программы.

  Перед тем, как данные KSN-статистики отправляются в "Лабораторию Касперского", они накапливаются в кеше на серверах с компонентами Kaspersky Anti Targeted Attack Platform.

Полученная информация защищается "Лабораторией Касперского" в соответствии с установленными законом требованиями и действующими правилами "Лаборатории Касперского". Данные передаются по зашифрованным каналам связи.

При использовании Kaspersky Private Security Network в "Лабораторию Касперского" не передается информация о работе Kaspersky Anti Targeted Attack Platform, но данные KSN-статистики накапливаются в кеше на серверах с компонентами Kaspersky Anti Targeted Attack Platform в том же составе, что и при использовании Kaspersky Security Network. Эти накопленные данные KSN-статистики могут передаваться за пределы вашей организации в том случае, если сервер с программой Kaspersky Private Security Network находится за пределами вашей организации.

Администратору Kaspersky Private Security Network необходимо обеспечить безопасность этих данных самостоятельно.

Служебные данные программы

Возможность ограничить права пользователей серверов и операционных систем, на которые установлен компонент Central Node, средствами Kaspersky Anti Targeted Attack Platform не предусмотрена. Администратору рекомендуется контролировать доступ пользователей серверов и операционных систем, на которые установлена программа, к персональным данным других пользователей любыми системными средствами на его усмотрение.

К служебным данным Kaspersky Anti Targeted Attack Platform относятся:

• Данные об учетных записях пользователей.
• Данные о подключенных к компоненту Central Node компьютерах, на которых установлена программа Kaspersky Endpoint Agent.
• Данные о предустановках и правилах запрета.
• Данные о задачах, назначенных на компьютеры с программой Kaspersky Endpoint Agent.
• Данные о пользовательских правилах TAA (IOA).
• Данные о пользовательских правилах IDS.
• Данные о пользовательских правилах IOC.
• Данные о правилах сетевой изоляции.
• Данные об исключениях из проверки.
• Данные о шаблонах отчетов.
• Данные о сертификатах Kaspersky Endpoint Agent.

  Указанные выше данные хранятся бессрочно на сервере с компонентом Central Node в директории /data, если компонент Central Node установлен на сервере. При установке компонента Central Node на кластер данные хранятся на серверах хранения данных бессрочно.

• Журнал событий ОС.

  Файлы журнала ОС хранятся бессрочно в директории /var/log на сервере с компонентом Central Node.

• Журнал с информацией о работе программы.

  Файл журнала хранится бессрочно в директории data/ на сервере с компонентом Central Node, если компонент установлен на сервере. При установке компонента Central Node на кластер данные хранятся на серверах хранения данных бессрочно.

• Очередь файлов на проверку.

  Файлы хранятся на сервере с компонентом Central Node в директории /data, если компонент установлен на сервере. При установке компонента Central Node на кластер данные хранятся на серверах хранения данных. Данные хранятся до выполнения проверки.

• Файлы, полученные с компьютеров с Kaspersky Endpoint Agent.

  Файлы хранятся на сервере с компонентом Central Node в директории /data, если компонент установлен на сервере. При установке компонента Central Node на кластер данные хранятся на серверах хранения данных. Данные ротируются при заполнении места на диске.

• Файлы с правилами YARA и IDS (пользовательские и от "Лаборатории Касперского").

  Файлы хранятся бессрочно в директории data/ на сервере с компонентом Central Node, если компонент установлен на сервере. При установке компонента Central Node на кластер данные хранятся на серверах хранения данных бессрочно.

• Файлы с данными о переданных во внешние системы обнаружениях.

  Файлы хранятся бессрочно на сервере с компонентом Central Node в директории /data, если компонент установлен на сервере. При установке компонента Central Node на кластер данные хранятся на серверах хранения данных бессрочно.

• Артефакты компонента Sandbox.

  Файлы хранятся на сервере с компонентом Central Node в директории /data, если компонент установлен на сервере. При установке компонента Central Node на кластер данные хранятся на серверах хранения данных. Данные ротируются при заполнении места на диске.

• Файлы, для которых были созданы обнаружения компонентом Sandbox.

  Файлы хранятся на сервере с компонентом Central Node в директории /data, если компонент установлен на сервере. При установке компонента Central Node на кластер данные хранятся на серверах хранения данных. Данные ротируются при заполнении места на диске.

• Файлы сертификатов, которые используются для аутентификации компонентов программы.

  Файлы хранятся бессрочно в директории /var/log на сервере с компонентом Central Node, PCN, SCN, Sensor или на компьютере с Kaspersky Endpoint Agent.

• Ключи шифрования, которые передаются между компонентами программы.

  Файлы хранятся бессрочно в директории /var/log на сервере с компонентом Central Node, PCN, SCN, Sensor или на компьютере с Kaspersky Endpoint Agent.

Программа хранит об учетных записях пользователей следующую информацию:

• Идентификатор учетной записи.
• Имя учетной записи.
• Хеш и соль пароля учетной записи.
• Доменное имя пользователя.
• Роль учетной записи.
• Статус учетной записи.
• Права доступа к тенантам в режиме распределенного решения и мультитенантности.
• Идентификатор тенанта в режиме распределенного решения и мультитенантности.

Программа хранит о подключенных к компоненту Central Node компьютерах, на которых установлена программа Kaspersky Endpoint Agent, следующую информацию:

• Идентификатор компьютера, присвоенный Kaspersky Security Center.
• Имя компьютера.
• IP-адрес компьютера.
• Операционная система, используемая на компьютере.
• Версия Kaspersky Endpoint Agent.
• Статус механизма самозащиты.
• Дата и время отправки первого и последнего пакета телеметрии, отправленного компоненту Central Node.
• Дата и время последней запущенной IOC-проверки.
• Результат последней запущенной IOC-проверки.

Программа хранит о правилах запрета следующую информацию:

• MD5- или SHA256-хеш файла, запрещенного для запуска.
• Имя учетной записи пользователя, создавшего правило запрета.
• Имя учетной записи пользователя, изменившего правило запрета.
• Список компьютеров, на которых запрещен запуск файла.
• Журнал изменений правил запрета.

Программа хранит о задачах, назначенных на компьютеры с программой Kaspersky Endpoint Agent, следующую информацию:

• Тип задачи.
• Имя компьютера.
• IP-адрес компьютера.
• Дата и время создания задачи.
• Срок действия задачи.
• Имя учетной записи пользователя, создавшего задачу.
• Данные параметров задачи.
• Данные отчета о выполнении задачи.
• Комментарий к задаче.

Программа хранит о пользовательских правилах TAA (IOA) следующую информацию:

• Имя правила.
• Исходный код запроса, по которому осуществляется проверка.
• Идентификатор правила.
• Статус правила.
• Дата и время создания правила.
• Важность, указанная при добавлении правила.
• Уровень надежности в зависимости от вероятности ложных срабатываний, заданный при добавлении правила.

Программа хранит о пользовательских правилах IDS следующую информацию:

• Имя учетной записи пользователя, загрузившего файл с правилами.

Программа хранит о пользовательских правилах IOC следующую информацию:

• Имя учетной записи пользователя, загрузившего файл с правилами.
• Имя IOC-файла.
• Содержимое IOC-файла.

Программа хранит о правилах сетевой изоляции следующую информацию:

• Имя учетной записи пользователя, включившего сетевую изоляцию.
• Идентификатор изолированного компьютера.
• Имя правила.
• Статус правила.
• Список ресурсов, исключенных из сетевой изоляции.

Программа хранит об исключениях из проверки следующую информацию:

• Имя учетной записи пользователя, добавившего исключение.
• Список объектов, исключенных из проверки.
• Идентификатор правила исключения.

Программа хранит о шаблонах отчетов следующую информацию:

• Идентификатор учетной записи пользователя, создавшего или изменившего шаблон.
• Дата создания шаблона.
• Дата последнего изменения шаблона.
• Текст шаблона в виде HTML-кода.

Программа хранит о сертификатах Kaspersky Endpoint Agent следующую информацию:

• Имя учетной записи пользователя, загрузившего файл сертификата.
• Дайджест сертификата.
• Серийный номер сертификата.
• Публичный ключ.

Данные компонентов Central Node и Sensor

В этом разделе содержится следующая информация о данных пользователей, хранящихся на сервере с компонентом Central Node и на сервере с компонентом Sensor:

• состав хранимых данных;
• место хранения;
• срок хранения;
• доступ пользователей к данным.

Данные трафика компонента Sensor

Данные трафика компонента Sensor хранятся на сервере с компонентом Sensor или на сервере с компонентами Sensor и Central Node, если Sensor и Central Node установлены на одном сервере.

Данные трафика записываются и хранятся в последовательно создаваемых файлах. Программа перестает записывать данные в один файл и начинает записывать в следующий файл в следующих случаях:

• при достижении максимального размера файла (вы можете настроить этот параметр);
• по окончании заданного в настройках промежутка времени (вы можете настроить этот параметр);
• при перезагрузке службы сохранения трафика или всей программы Kaspersky Anti Targeted Attack Platform.

По мере накопления данных трафика, Kaspersky Anti Targeted Attack Platform фильтрует данные и оставляет только следующую информацию:

• информацию, связанную с обнаружениями, выполненными технологией Targeted Attack Analyzer;
• PCAP-файлы, в которых:
  • IP-адрес источника или назначения совпадают каким-либо IP-адресом из обнаружения;
  • данные трафика относятся ко времени, отстоящему от времени обнаружения не более, чем на 15 минут.

Отфильтрованные данные трафика переносятся в отдельный раздел. Все остальные данные трафика (не отвечающие условиям фильтрации), удаляются.

Данные отфильтрованного трафика сохраняются в последовательно создаваемых файлах. Программа перестает записывать данные в один файл и начинает записывать в следующий файл в следующих случаях:

• при достижении максимального размера файла;
• по окончании заданного в настройках промежутка времени.

Данные отфильтрованного трафика хранятся за последние сутки. Более старые данные удаляются.

Данные в обнаружениях

Данные пользователя могут содержаться в обнаружениях. Если компонент Central Node установлен на сервере, информация об обнаружениях и файлы, по результатам проверки которых возникло обнаружение, хранятся на сервере с компонентом Central Node в директории /data. При установке компонента Central Node на кластер информация об обнаружениях и файлы, по результатам проверки которых возникло обнаружение, хранятся на серверах хранения данных.

Возможность ограничить права пользователей серверов и операционных систем, на которые установлен компонент Central Node, средствами Kaspersky Anti Targeted Attack Platform не предусмотрена. Администратору рекомендуется контролировать доступ пользователей серверов и операционных систем, на которые установлена программа, к персональным данным других пользователей любыми системными средствами на его усмотрение.

Во всех обнаружениях хранится следующая информация:

• Время обнаружения.
• Категория обнаруженного объекта.
• Имя обнаруженного файла.
• Обнаруженный URL-адрес.
• MD5- , SHA256-хеш обнаруженного файла.
• Комментарии пользователя, добавленные в информацию об обнаружении.
• Идентификатор правила TAA, по которому было выполнено обнаружение.
• IP-адрес и имя компьютера, на котором выполнено обнаружение.
• Идентификатор компьютера, на котором выполнено обнаружение.

При изменении обнаружения на сервере хранится следующая информация:

• Учетная запись пользователя, который изменил обнаружение.
• Учетная запись пользователя, которому было назначено обнаружение.
• Дата и время изменения обнаружения.

Если обнаружено сообщение электронной почты, на сервере может храниться следующая информация:

• Адреса электронной почты отправителя и получателей сообщения, копии и скрытой копии сообщения.
• Тема сообщения электронной почты.
• Дата и время поступления сообщения в Kaspersky Anti Targeted Attack Platform, с точностью до секунд.
• Все служебные заголовки сообщения (так, как они выглядят в сообщении).

Если обнаружение выполнено технологией URL Reputation, на сервере может храниться следующая информация:

• Имя компьютера, с которого были отправлены данные.
• Имя компьютера, получившего данные.
• IP-адрес компьютера, с которого были отправлены данные.
• IP-адрес компьютера, получившего данные.
• URI переданного ресурса.
• Информация о прокси-сервере.
• Уникальный идентификатор сообщения электронной почты.
• Адреса электронной почты отправителя и получателей сообщения (включая получателей копии и скрытой копии сообщения).
• Тема сообщения электронной почты.
• Дата и время поступления сообщения в Kaspersky Anti Targeted Attack Platform, с точностью до секунд.
• Список обнаруженных объектов.
• Время сетевого соединения.
• URL-адрес сетевого соединения.

Если обнаружение выполнено технологией Intrusion Detection System, на сервере может храниться следующая информация:

• Имя компьютера, с которого были отправлены данные.
• Имя компьютера, получившего данные.
• IP-адрес компьютера, с которого были отправлены данные.
• IP-адрес компьютера, получившего данные.
• Переданные данные.
• Время передачи данных.
• URL-адрес, извлеченный из файла с трафиком, User Agent, метод.
• Файл с трафиком, в котором произошло обнаружение.

Если обнаружение выполнено с помощью правил YARA, на сервере может храниться следующая информация:

• Версия правил YARA, с помощью которых было выполнено обнаружение.
• Категория обнаруженного объекта.
• Имя обнаруженного объекта.
• MD5-хеш обнаруженного объекта.

Если обнаружение выполнено с помощью компонента Sandbox, на сервере может храниться следующая информация:

• Версия баз программы, с помощью которых было выполнено обнаружение.
• Категория обнаруженного объекта.
• Имена обнаруженных объектов.
• MD5-хеши обнаруженных объектов.
• Информация об обнаруженных объектах.

Если обнаружение выполнено в результате работы пользовательских правил IOC или TAA (IOA), на сервере может храниться следующая информация:

• Дата и время выполнения проверки.
• Идентификаторы компьютеров, на которых выполнено обнаружение.
• Имя правила TAA (IOA).
• Имя IOC-файла.
• Информация об обнаруженных объектах.

Если обнаружение выполнено выполнено технологией Anti-Malware Engine, на сервере может храниться следующая информация:

• Версии баз компонентов Kaspersky Anti Targeted Attack Platform, с помощью которых было выполнено обнаружение.
• Категория обнаруженного объекта.
• Список обнаруженных объектов.
• MD5-хеш обнаруженных объектов.
• Дополнительная информация об обнаружении.

Данные в событиях

Данные пользователя могут содержаться в событиях. Если компонент Central Node установлен на сервере, информация о произошедших событиях хранится на сервере с компонентом в директории /data. При установке компонента Central Node на кластер информация хранится на серверах хранения данных.

Данные ротируются по мере заполнения диска.

Возможность ограничить права пользователей серверов и операционных систем, на которые установлен компонент Central Node, средствами Kaspersky Anti Targeted Attack Platform не предусмотрена. Администратору рекомендуется контролировать доступ пользователей серверов и операционных систем, на которые установлена программа, к персональным данным других пользователей любыми системными средствами на его усмотрение.

Данные о событиях могут содержать следующую информацию:

• Имя компьютера, на котором произошло событие.
• Уникальный идентификатор компьютера с Kaspersky Endpoint Agent.
• Имя пользователя, под учетной записью которого произошло событие.
• Имя группы, в которую входит пользователь.
• Тип события.
• Время события.
• Информация о файле, для которого записано событие: имя, путь, полное имя.
• MD5- и SHA256-хеш файла.
• Время создания файла.
• Время изменения файла.
• Флаги прав доступа к файлу.
• Переменные окружения процесса.
• Параметры командной строки.
• Текст команды, введенный в командную строку.
• Локальный IP-адрес адаптера.
• Локальный порт.
• Имя удаленного хоста.
• IP-адрес удаленного хоста.
• Порт на удаленном хосте.
• URL- и IP-адреса посещенных веб-сайтов, а также ссылки с этих веб-сайтов.
• Протокол сетевого соединения.
• Метод HTTP-запроса.
• Заголовок HTTP-запроса.
• Информация о переменных реестра Windows: путь к переменной, имя переменной, значение переменной.
• Содержание скрипта или двоичного файла, переданного на AMSI-проверку.
• Информация о событии в журнале Windows: тип события, идентификатор типа события, идентификатор события, пользователь, под учетной записью которого событие записано в журнал, полный текст события из журнала событий Windows в формате XML.

Данные в отчетах

Данные пользователя могут содержаться в отчетах. Если компонент Central Node установлен на сервере, информация о произошедших событиях хранится на сервере с компонентом в директории /data бессрочно. При установке компонента Central Node на кластер информация хранится на серверах хранения данных.

Возможность ограничить права пользователей серверов и операционных систем, на которые установлен компонент Central Node, средствами Kaspersky Anti Targeted Attack Platform не предусмотрена. Администратору рекомендуется контролировать доступ пользователей серверов и операционных систем, на которые установлена программа, к персональным данным других пользователей любыми системными средствами на его усмотрение.

В отчетах может содержаться следующая информация:

• Дата создания отчета.
• Период, за который сформирован отчет.
• Идентификатор учетной записи пользователя, сформировавшего отчет.
• Статус отчета.
• Текст отчета в виде HTML-кода.

Данные об объектах в Хранилище и на карантине

Объекты в Хранилище и на карантине могут содержать данные пользователя. Информация об объектах в Хранилище и о копиях объектов, помещенных на карантин на компьютерах с Kaspersky Endpoint Agent, сохраненных на сервере с помощью задачи Получить файл, хранится на сервере с компонентом Central Node в директории /data бессрочно.

Возможность ограничить права пользователей серверов и операционных систем, на которые установлен компонент Central Node, средствами Kaspersky Anti Targeted Attack Platform не предусмотрена. Администратору рекомендуется контролировать доступ пользователей серверов и операционных систем, на которые установлена программа, к персональным данным других пользователей любыми системными средствами на его усмотрение.

Данные об объектах в Хранилище и на карантине могут содержать следующую информацию:

• Имя объекта.
• Путь к объекту на компьютере с Kaspersky Endpoint Agent.
• MD5-, SHA256-хеш файла.
• Идентификатор пользователя, поместившего объект на карантин на компьютере с Kaspersky Endpoint Agent.
• Идентификатор пользователя, поместившего объект в Хранилище.
• IP-адрес компьютера, на котором хранится объект, помещенный на карантин.
• Имя компьютера, на котором хранится объект, помещенный на карантин.
• Уникальный идентификатор компьютера, на котором хранится объект, помещенный на карантин.
• Идентификатор правила TAA (IOA), по которому было выполнено обнаружение.
• Категория обнаруженного объекта.
• Результаты проверки объекта с помощью отдельных модулей и технологий программы.

Данные компонента Sandbox

На время обработки тело переданного компонентом Central Node файла сохраняется в открытом виде на сервере с компонентом Sandbox. Во время обработки доступ к переданному файлу может получить администратор сервера в режиме Technical Support Mode. Проверенный файл удаляется специальным скриптом по расписанию. По умолчанию один раз в 60 минут.

Информация о данных, хранящихся на сервере с компонентом Sandbox, приведена в таблице ниже.

Данные, хранящиеся на сервере с компонентом Sandbox

Данные, пересылаемые между компонентами программы

Central Node и Kaspersky Endpoint Agent для Windows

Программа Kaspersky Endpoint Agent для Windows отправляет на компонент Central Node отчеты о выполнении задач, информацию о событиях и обнаружениях, произошедших на компьютерах с Kaspersky Endpoint Agent для Windows, а также информацию о терминальных сессиях.

Если связь с компонентом Central Node отсутствует, все данные, предназначенные для отправки, накапливаются до тех пор, пока они не будут отправлены на компонент Central Node или программа Kaspersky Endpoint Agent для Windows не будет удалена с компьютера, но не более 21 дня.

Если событие произошло на компьютере пользователя, Kaspersky Endpoint Agent для Windows отправляет следующие данные в базу событий:

1. Общие сведения для всех событий:
   • Тип события.
   • Время события.
   • Учетная запись пользователя, от имени которой было совершено событие.
   • Имя хоста, на котором произошло событие.
   • IP-адрес хоста.
   • Тип операционной системы, установленной на хосте.
2. Событие создания файла.
   • Сведения о процессе, создавшем файл: имя файла процесса, MD5-, SHA256-хеш файла процесса.
   • Имя файла.
   • Путь к файлу.
   • Полное имя файла.
   • MD5-, SHA256-хеш файла.
   • Дата создания и изменения файла.
   • Размер файла.
3. Событие мониторинга реестра.
   • Сведения о процессе, изменившем реестр: ID процесса, имя файла процесса, MD5-, SHA256-хеш файла процесса.
   • Путь к ключу реестра.
   • Имя параметра реестра.
   • Значение параметра реестра.
   • Тип параметра реестра.
   • Предыдущий путь к ключу реестра.
   • Предыдущее значение параметра реестра.
   • Предыдущий тип параметра реестра.
4. Событие загрузки драйвера.
   • Имя файла.
   • Путь к файлу.
   • Полное имя файла.
   • MD5-, SHA256-хеш файла.
   • Размер файла.
   • Дата создания и изменения файла.
5. Событие открытия порта на прослушивание.
   • Сведения о процессе, открывшем порт на прослушивание: имя файла процесса, MD5-, SHA256-хеш файла процесса.
   • Номер порта.
   • IP-адрес адаптера.
6. Событие в журнале ОС.
   • Время события, хост, на котором произошло событие, имя учетной записи пользователя.
   • ID события.
   • Имя журнала/канала.
   • ID события в журнале.
   • Имя провайдера.
   • Подтип события аутентификации.
   • Имя домена.
   • Удаленный IP-адрес.
   • Поля заголовка события: ProviderName, EventId, Version, Level, Task, Opcode, Keywords, TimeCreatedSystemTime, EventRecordId, CorellationActivityId, ExecutionProcessID, ThreadID, Channel, Computer.
   • Поля тела события: AccessList, AccessMask, AccountExpires, AllowedToDelegateTo, Application, AuditPolicyChanges, AuthenticationPackageName, CategoryId, CommandLine, DisplayName, Dummy, ElevatedToken, EventCode, EventProcessingFailure, FailureReason, FilterRTID, HandleId, HomeDirectory, HomePath, ImpersonationLevel, IpAddress, IpPort, KeyLength, LayerName, LayerRTID, LmPackageName, LogonGuid, LogonHours, LogonProcessName, LogonType, MandatoryLabel, MemberName, MemberSid, NewProcessId, NewProcessName, NewUacValue, NewValue, NewValueType, ObjectName, ObjectServer, ObjectType, ObjectValueName, OldUacValue, OldValue, OldValueType, OperationType, PackageName, ParentProcessName, PasswordLastSet, PrimaryGroupId, PriviledgeList, ProcessId, ProcessName, ProfileChanged, ProfilePath, Protocol, PublisherId, ResourceAttributes, RestrictedAdminMode, SamAccountName, ScriptPath, ServiceAccount, ServiceFileName, ServiceName, ServiceStartType, ServiceType, SettingType, SettingValue, ShareLocalPath, ShareName, SidHistory, SourceAddress, SourcePort, Status, SubcategoryGuid, SubcategoryId, SubjectDomainName, SubjectLogonId, SubjectUserName, SubjectUserSid, SubStatus, TargetDomainName, TargetLinkedLogonId, TargetLogonId, TargetOutboundDomainName, TargetOutboundUserName, TargetUserName, TargetUserSid, TaskContent, TaskName, TokenElevationType, TransmittedServices, UserAccountControl, UserParameters, UserPrincipalName, UserWorkstations, VirtualAccount, Workstation, WorkstationName.
7. Событие запуска процесса.
   • Сведения о файле процесса: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла, дата создания и изменения файла, имя организации, выпустившей цифровой сертификат файла, результат проверки цифровой подписи файла.
   • UniquePID.
   • Параметры запуска процесса.
   • Время запуска процесса.
   • Сведения о родительском процессе: путь к файлу, UniquePID, MD5-, SHA256-хеш файла процесса, параметры запуска процесса.
8. Событие остановки процесса
   • Сведения о файле процесса: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла, время завершения процесса.
   • UniquePID.
   • Параметры запуска процесса.
   • Сведения о родительском процессе: путь к файлу, UniquePID, MD5-, SHA256-хеш файла процесса, параметры запуска процесса.
9. Событие загрузки модуля.
   • Сведения о файле, загрузившем модуль: UniquePID, имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла.
   • Имя DLL.
   • Путь к DLL.
   • Полное имя DLL.
   • MD5-, SHA256-хеш DLL.
   • Размер DLL.
   • Дата создания и изменения DLL.
   • Имя организации, выпустившей цифровой сертификат DLL.
   • Результат проверки цифровой подписи DLL.
10. Событие блокирования запуска процесса.
    • Сведения о файле, который пытались выполнить: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла, дата создания и изменения файла.
    • Параметры командной строки.
11. Событие блокирования запуска файла.
    • Сведения о файле, который пытались открыть: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, тип контрольной суммы, по которой произведена блокировка, размер файла (0 – MD5, !=0 – SHA256, для поиска не используется).
    • Сведения об исполняемом файле: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла, дата создания и изменения файла.
    • Сведения о родительском процессе: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, PID, UniquePID.
12. Событие программы Kaspersky Endpoint Security для Windows.
    • Результат проверки.
    • Название обнаруженного объекта.
    • Идентификатор записи в базах программы.
    • Время выпуска баз программы, с помощью которых было выполнено обнаружение.
    • Режим обработки объекта.
    • Категория обнаруженного объекта (например, название вируса).
    • MD5-хеш обнаруженного объекта.
    • SHA256-хеш обнаруженного объекта.
    • Уникальный идентификатор процесса.
    • PID процесса, отображаемый в диспетчере задач Windows.
    • Командная срока запуска процесса.
    • Причина ошибки при обработке объекта.
    • Содержание скрипта, проверенного с помощью AMSI.
13. Событие AMSI-проверки.
    • Содержание скрипта, проверенного с помощью AMSI.

Central Node и Kaspersky Endpoint Agent для Linux

Программа Kaspersky Endpoint Agent для Linux отправляет на компонент Central Node отчеты о выполнении задач, информацию о событиях и обнаружениях, произошедших на компьютерах с Kaspersky Endpoint Agent для Linux, а также информацию о терминальных сессиях.

Если связь с компонентом Central Node отсутствует, все данные, предназначенные для отправки, накапливаются до тех пор, пока они не будут отправлены на компонент Central Node или программа Kaspersky Endpoint Agent для Linux не будет удалена с компьютера, но не более 21 дня.

Если событие произошло на компьютере пользователя, Kaspersky Endpoint Agent для Linux отправляет следующие данные в базу событий:

1. Общие сведения для всех событий:
   • Тип события.
   • Время события.
   • Учетная запись пользователя, от имени которой было совершено событие.
   • Имя хоста, на котором произошло событие.
   • IP-адрес хоста.
   • Тип и версия операционной системы, установленной на хосте.
   • Имя хоста, с которого был совершен удаленный вход в систему.
   • Имя пользователя, назначенное при регистрации в системе.
   • Группа, к которой принадлежит пользователь.
   • Имя пользователя, которое использовалось для входа в систему.
   • Группа, к которой принадлежит пользователь, чье имя использовалось для входа в систему.
   • Имя пользователя, создавшего файл.
   • Название группы, пользователи которой могут изменить или удалить файл.
   • Разрешения, которые могут использоваться для доступа к файлу.
   • Наследуемые привилегии файла.
2. Событие запуска процесса.
   • Сведения о файле процесса: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла.
   • UniquePID.
   • Команда, с помощью которой был запущен процесс.
   • Тип процесса.
   • Переменные окружения процесса.
   • Время запуска процесса.
   • Время завершения процесса.
   • Сведения о родительском процессе: путь к файлу, UniquePID, MD5-, SHA256-хеш файла процесса, команда, с помощью которой был запущен процесс.
3. Событие создания файла.
   • Сведения о процессе, создавшем файл: имя файла процесса, MD5-, SHA256-хеш файла процесса.
   • Имя файла.
   • Путь к файлу.
   • Полное имя файла.
   • Тип файла.
   • MD5-, SHA256-хеш файла.
   • Дата создания и изменения файла.
   • Размер файла.
4. Событие в журнале ОС.
   • Время события.
   • Тип события.
   • Результат операции.
   • Сведения о родительском процессе: путь к файлу, UniquePID, MD5-, SHA256-хеш файла процесса, команда, с помощью которой был запущен процесс.

Central Node и Sandbox

Компонент Central Node отправляет на компонент Sandbox файлы и URL-адреса, выделенные из сетевого или почтового трафика. Перед передачей файлы никак не изменяются. Компонент Sandbox отправляет компоненту Central Node результаты проверки.

Central Node и Sensor

Программа может пересылать между компонентами Central Node и Sensor следующие данные:

• Файлы и сообщения электронной почты.
• Данные об обнаружениях, выполненных технологиями Intrusion Detection System и URL Reputation.
• Информацию о лицензии.
• Список данных, исключенных из проверки.
• Данные программы Endpoint Sensors, если настроена интеграция с прокси-сервером.
• Базы программы, если настроено получение обновления баз от компонента Central Node.

Серверы с ролями PCN и SCN

Если программа работает в режиме распределенного решения, то между PCN и подключенными SCN передаются следующие данные:

• Об обнаружениях.
• О событиях.
• О задачах.
• О политиках.
• О проверке по пользовательским правилам IOC, TAA (IOA), IDS, YARA.
• О файлах в Хранилище.
• Об учетных записях пользователей.
• О лицензии.
• Список компьютеров с Kaspersky Endpoint Agent.
• Объекты, помещенные в Хранилище.
• Объекты, помещенные на карантин на компьютерах с Kaspersky Endpoint Agent.
• Файлы, прикрепленные к обнаружениям.
• IOC- и YARA-файлы.

Данные в файлах трассировки программы

Возможность ограничить права пользователей серверов и операционных систем, на которые установлен компонент Central Node, средствами Kaspersky Anti Targeted Attack Platform не предусмотрена. Администратору рекомендуется контролировать доступ пользователей серверов и операционных систем, на которые установлена программа, к персональным данным других пользователей любыми системными средствами на его усмотрение.

В файлы трассировки могут попасть любые персональные данные пользователя или конфиденциальные данные вашей организации. Файлы хранятся в директории /data/var/log/kaspersky бессрочно.

Данные Kaspersky Endpoint Agent для Windows

Программа Kaspersky Endpoint Agent для Windows хранит и обрабатывает данные локально для обеспечения основной функциональности, аудита и повышения скорости решения возникших проблем специалистами Службы технической поддержки "Лаборатории Касперского".

На компьютерах с Kaspersky Endpoint Agent для Windows хранятся данные, подготовленные для отправки на серверы Kaspersky Anti Targeted Attack Platform и в Kaspersky Security Center в автоматическом режиме.

Файлы, подготовленные Kaspersky Endpoint Agent для Windows к отправке на проверку на серверы программы, хранятся на компьютерах с Kaspersky Endpoint Agent для Windows в открытом незашифрованном виде в той директории, которая по умолчанию используется для хранения файлов перед отправкой.

На сервер с компонентом Central Node могут передаваться файлы, связанные с обнаруженными событиями.

Среди этих данных могут быть персональные данные пользователя или конфиденциальные данные вашей организации.

Отключение отправки данных с компьютеров с Kaspersky Endpoint Agent для Windows на сервер с компонентом Central Node не предусмотрено.

Не используйте программу Kaspersky Endpoint Agent для Windows на тех компьютерах, передача данных с которых запрещена политикой вашей организации.

Данные, полученные от программы Kaspersky Endpoint Agent для Windows, хранятся в базе данных на сервере с компонентом Central Node и ротируются по мере заполнения дискового пространства.

Файлы, подготовленные к отправке программой Kaspersky Endpoint Agent для Windows на сервер с компонентом Central Node, хранятся на компьютерах с Kaspersky Endpoint Agent для Windows в открытом незашифрованном виде в той директории, которая по умолчанию используется для хранения файлов перед отправкой на каждом компьютере с Kaspersky Endpoint Agent для Windows.

Файлы с компьютеров с Kaspersky Endpoint Agent для Windows отправляются только на сервер с компонентом Central Node по защищенному SSL-соединению.

Файлы, зашифрованные на компьютерах с Kaspersky Endpoint Agent для Windows с помощью программ Windows Encrypting File System или Kaspersky File Level Encryption (в программе Kaspersky Endpoint Security для Windows), передаются на сервер с компонентом Central Node в расшифрованном виде.

Kaspersky Anti Targeted Attack Platform поддерживает возможность изменения параметров локального компьютера с Kaspersky Endpoint Agent для Windows, влияющих на производительность компьютера при взаимодействии с компонентом Central Node.

Изменение параметров следует производить исключительно по рекомендации Службы технической поддержки "Лаборатории Касперского".

Самостоятельное изменение параметров может ухудшить производительность локального компьютера.

Администратору Kaspersky Anti Targeted Attack Platform необходимо обеспечить безопасность компьютеров с Kaspersky Endpoint Agent для Windows и серверов Kaspersky Anti Targeted Attack Platform c перечисленными выше данными самостоятельно. Администратор Kaspersky Anti Targeted Attack Platform несет ответственность за доступ к данной информации.

В этом разделе содержится следующая информация о данных пользователей, хранящихся на компьютерах с Kaspersky Endpoint Agent для Windows:

• состав хранимых данных;
• место хранения;
• срок хранения;
• доступ пользователей к данным.

Все данные, которые программа хранит локально на устройстве, кроме файлов трассировки и дампов, удаляются с устройства при удалении программы.

Данные, получаемые от компонента Central Node

Программа Kaspersky Endpoint Agent сохраняет на жестком диске компьютера значения параметров, получаемые от компонента Central Node. Данные сохраняются в открытом незашифрованном виде в папке C:\ProgramData\Kaspersky Lab\Endpoint Agent\protected\data.

По умолчанию при включенной самозащите доступ к файлам на чтение имеют только пользователи с правами System и Administrator. При выключенной самозащите пользователи с правами System и Administrator могут также удалять файлы, изменять их содержимое и изменять права доступа к ним. Программа Kaspersky Endpoint Agent не управляет правами доступа к данной папке и ее файлам. Доступ определяет системный администратор.

Данные удаляются при удалении программы Kaspersky Endpoint Agent.

Данные, получаемые от компонента Central Node, могут содержать следующую информацию:

• О сетевых соединениях.
• Об операционной системе, установленной на сервере с компонентом Central Node.
• Об учетных записях пользователей операционной системы.
• О пользовательских сессиях в операционной системе.
• О журнале событий Windows.
• О ресурсе типа RT_VERSION.
• О содержимом PE-файла.
• О службах операционной системы.
• Сертификат сервера с компонентом Central Node.
• URL- и IP-адреса посещенных веб-сайтов.
• Заголовки протокола HTTP.
• Имя компьютера.
• MD5-хеши файлов.
• Уникальный идентификатор компьютера с Kaspersky Endpoint Agent.
• Имена и значения ключей реестра Windows.
• Пути к ключам реестра Windows.
• Имена переменных реестра Windows.
• Имя записи локального DNS-кеша.
• Адрес из записи локального DNS-кеша в формате IPv4.
• IP-адрес или имя запрашиваемого хоста из локального DNS-кеша.
• Хост элемента локального DNS-кеша.
• Доменное имя элемента локального DNS-кеша.
• Адрес элемента ARP-кеша в формате IPv4.
• Физический адрес элемента APR-кеша.
• Серийный номер логического диска.
• Домашняя директория локального пользователя.
• Имя учетной записи пользователя, запустившего процесс.
• Путь к скрипту, запускаемому при входе пользователя в систему.
• Имя пользователя, под учетной записью которого произошло событие.
• Имя компьютера, на котором произошло событие.
• Полные пути к файлам компьютеров с Kaspersky Endpoint Agent.
• Имена файлов компьютеров с Kaspersky Endpoint Agent.
• Маски файлов компьютеров с Kaspersky Endpoint Agent.
• Полные имена папок компьютеров с Kaspersky Endpoint Agent.
• Комментарии поставщика файла.
• Маска файла-образа процесса.
• Путь к файлу-образу процесса, открывшего порт.
• Имя процесса, открывшего порт.
• Локальный IP-адрес порта.
• Доверенный публичный ключ цифровой подписи исполняемых модулей.
• Имя процесса.
• Имя сегмента процесса.
• Параметры командной строки.

Данные в полях событий Windows Event Log программы Kaspersky Endpoint Agent

Данные о событиях Журнала событий Windows хранятся в файле %SystemRoot%\System32\Winevt\Logs\Kaspersky-Security-Soyuz%4Product.evtx в открытом незашифрованном виде. Данные хранятся до удаления Kaspersky Endpoint Agent.

Эти данные могут автоматически передаваться в Kaspersky Security Center.

По умолчанию доступ на чтение к файлам имеют только пользователи с правами System и Administrator. Kaspersky Endpoint Agent не управляет правами доступа к этой папке и ее файлам. Доступ определяет системный администратор.

Данные о событиях могут содержать следующую информацию:

• О пользовательских сессиях в операционной системе.
• Об учетных записях пользователей операционной системы (userID).
• Об ошибках выполнения задач проверки объектов.
• О задачах на проверку объектов.
• Об обнаружениях Kaspersky Sandbox.
• О событиях Kaspersky Sandbox.
• Об IOC-файлах Kaspersky Endpoint Agent, сформированных при автоматическом реагировании.
• О результатах проверки объектов.
• О сертификатах серверов Kaspersky Sandbox.
• Об очереди объектов на проверку.
• Об изменении параметров Kaspersky Endpoint Agent.
• Об изменении политик Kaspersky Security Center.
• Об изменении статуса задачи на проверку объектов.
• О политиках Kaspersky Security Center.
• Об объектах на карантине.
• О действиях по автоматическому реагированию на обнаруженные угрозы.
• Об ошибках взаимодействия с серверами программы.
• Об объектах, заблокированных по правилам запрета.
• О результатах выполнения задач Удалить файл.
• О результатах выполнения задач Завершить процесс.
• О результатах выполнения задач Выполнить программу.
• О результатах выполнения задач Получить файл.
• О действующей лицензии Kaspersky Endpoint Detection and Response Optimum.
• О статусе активации программы.

Все данные, которые программа хранит локально на устройстве, кроме файлов трассировки и дампов, удаляются с устройства при удалении программы.

Данные в запросах Kaspersky Endpoint Agent для Windows к Kaspersky Anti Targeted Attack Platform

При интеграции с компонентом Central Node следующие данные хранятся локально на устройстве с Kaspersky Endpoint Agent.

Все данные, которые программа хранит локально на устройстве, кроме файлов трассировки и дампов, удаляются с устройства при удалении программы.

Данные из запросов от Kaspersky Endpoint Agent к компоненту Central Node:

1. В запросах на синхронизацию:
   • уникальный идентификатор Kaspersky Endpoint Agent;
   • базовая часть веб-адреса сервера;
   • имя устройства;
   • IP-адрес устройства;
   • MAC-адрес устройства;
   • локальное время на устройстве;
   • статус самозащиты Kaspersky Endpoint Agent;
   • имя и версия операционной системы, установленной на устройстве;
   • версия Kaspersky Endpoint Agent;
   • версии параметров программы и параметров задач;
   • состояние задач в Kaspersky Endpoint Agent: идентификаторы выполняющихся задач, статусы выполнения, коды ошибок выполнения;
   • состояние параметров Kaspersky Endpoint Agent: тип применяющихся параметров, версия параметров, статус применения параметров, коды ошибок применения.
2. В запросах на получение файлов с сервера:
   • уникальные идентификаторы файлов;
   • уникальный идентификатор Kaspersky Endpoint Agent;
   • уникальные идентификаторы задач;
   • базовая часть веб-адреса сервера с компонентом Central Node;
   • IP-адрес узла.
3. В отчетах о результатах выполнения задач:
   • IP-адрес узла;
   • информация об объектах, обнаруженных при поиске IOC или сканировании YARA;
   • флаги дополнительных действий, выполняемых Kaspersky Endpoint Agent по завершении задач (например, "deleteFileAfterReboot": false);
   • ошибки выполнения задач и коды возврата;
   • статусы, с которыми завершались задачи;
   • время завершения выполнения задач;
   • версии параметров, с которыми выполнялись задачи;
   • информация об объектах, переданных на сервер, помещенных на карантин, восстановленных из карантина: пути к объектам, MD5 и SHA256-хеши объектов, идентификаторы объектов на карантине;
   • информация о процессах, запущенных или остановленных на устройстве с Kaspersky Endpoint Agent по запросу сервера: PID и UniquePID, error code, MD5 и SHA256-хеши объектов;
   • информация о службах, запущенных или остановленных на устройстве по запросу сервера (имя службы, тип запуска, error code, MD5 и SHA256-хеши файловых образов служб);
   • информация об объектах, для которых был снят дамп памяти для сканирования YARA (пути, идентификатор файла дампа);
   • файлы, запрошенные сервером;
   • пакеты телеметрии.
   • Данные о запущенных процессах:
     • имя исполняемого файла, включая полный путь и расширение;
     • параметры автозапуска процесса;
     • идентификатор процесса;
     • код сеанса входа в систему;
     • имя сеанса входа в систему;
     • дата и время запуска процесса;
     • MD5-хеш объекта;
     • SHA256-хеш объекта
   • Данные о файлах:
     • путь к файлу;
     • имя файла;
     • размер файла;
     • атрибуты файла;
     • дата и время создания файла;
     • дата и время последнего изменения файла;
     • описание файла

       

       Основная информация о файле, которая будет представлена пользователям. Эта строка может отображаться в списке, когда пользователь выбирает файлы для установки. Эта строка является обязательной.

       ;
     • название компании

       

       Название компании, создавшей файл.

       ;
     • MD5-хеш объекта;
     • SHA256-хеш объекта;
     • раздел реестра (для точек автозапуска).

• Данные в ошибках получения информации об объектах:
  • полное имя объекта, при обаботке которого возникла ошибка.
  • код ошибки.

1. Данные телеметрии:
   • IP-адрес узла;
   • тип данных в реестре до зафиксированной операции изменения;
   • данные в ключе реестра до зафиксированной операции изменения;
   • текст обрабатываемого скрипта или его части;
   • тип обрабатываемого объекта;
   • способ передачи команды в командный интерпретатор.

Данные из запросов от компонента Central Node к Kaspersky Endpoint Agent:

1. Параметры задач:
   • типы задач;
   • параметры расписания запуска задач;
   • имена и пароли учетных записей, под которыми необходимо запускать задачи;
   • версии параметров;
   • идентификаторы объектов на карантине;
   • пути к объектам;
   • MD5 и SHA256-хеши объектов;
   • командная строка запуска процесса с аргументами;
   • флаги дополнительных действий, выполняемых Kaspersky Endpoint Agent по завершении задачи;
   • идентификаторы IOC-файлов, которые нужно получить с сервера;
   • IOC-файлы;
   • наименование служб;
   • тип запуска служб;
   • папки, для которых необходимо получить результаты задачи Собрать форензику;
   • маски имен объектов и расширений для задачи Собрать форензику.
2. Параметры сетевой изоляции:
   • типы параметров;
   • версии параметров;
   • списки исключений из сетевой изоляции и параметры исключений: направление трафика, IP-адреса, порты, протоколы, полные пути к исполняемым файлам;
   • флаги дополнительных действий, выполняемых Kaspersky Endpoint Agent;
   • время автоматического отключения изоляции.
3. Параметры запрета запуска и открытия документов:
   • типы параметров;
   • версии параметров;
   • списки правил запрета запуска и параметры правил: пути к объектам, типы объектов, MD5 и SHA256-хеши объектов;
   • флаги дополнительных действий, выполняемых Kaspersky Endpoint Agent.
4. Параметры фильтрации событий:
   • имена модулей;
   • полные пути к объектам;
   • MD5 и SHA256-хеши объектов;
   • идентификаторы записей в журнале событий Windows;
   • параметры цифровых сертификатов;
   • направление трафика, IP-адреса, порты, протоколы, полные пути к исполняемым файлам;
   • имена пользователей;
   • типы входа пользователей;
   • типы событий телеметрии, для которых применяются фильтры.

Служебные данные Kaspersky Endpoint Agent для Windows

К служебным данным Kaspersky Endpoint Agent относятся:

• данные, попадающие в конфигурационные файлы в результате настройки параметров администратором;
• данные, обрабатываемые при автоматическом реагировании на угрозы;
• данные, обрабатываемые при интеграции с Kaspersky Sandbox;
• данные, обрабатываемые при интеграции с компонентом KATA Central Node;
• данные, обрабатываемые при интеграции с Kaspersky Industrial CyberSecurity for Networks.

Служебные данные хранятся в файле %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\<версия>. Данные в подпапке Settings зашифрованы с помощью Шифрующей файловой системы (EFS). Данные хранятся до удаления Kaspersky Endpoint Agent.

Эти данные могут автоматически передаваться в Kaspersky Security Center.

По умолчанию доступ к файлам имеют только пользователи с правами System (полный доступ) и Administrator (чтение и исполнение). Папка %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\<версия> и подпапка Restored также доступны пользователям с правами User (только чтение).

Все данные, которые программа хранит локально на устройстве, кроме файлов трассировки и дампов, удаляются с устройства при удалении программы.

Kaspersky Endpoint Agent хранит следующие данные, обрабатываемые при автоматическом реагировании и интеграции с Kaspersky Sandbox:

1. Обрабатываемые файлы и данные, передаваемые пользователем в ходе настройки параметров Kaspersky Endpoint Agent:
   • Пароль доступа к Kaspersky Endpoint Agent.
   • Файлы на карантине.
   • Параметры Kaspersky Endpoint Agent.
   • Учетные данные пользователей операционной системы для запуска задач с правами определенного пользователя.
   • Учетные данные для авторизации на Сервере администрирования Kaspersky Security Center.
   • Учетные данные для авторизации на прокси-сервере.
   • Адреса пользовательских источников обновлений.
   • Открытый ключ сертификата для интеграции с Kaspersky Sandbox.
2. Кеш Kaspersky Endpoint Agent:
   • Время записи результата проверки в кеш.
   • MD5-хеш задачи проверки.
   • Идентификатор задачи проверки.
   • Результат проверки объекта.
3. Очередь запросов на проверку объекта:
   • Идентификатор объекта в очереди.
   • Время помещения объекта в очередь.
   • Статус обработки объекта в очереди.
   • Идентификатор пользовательской сессии в операционной системе, в которой создана задача на проверку объекта.
   • Системный идентификатор (SID) пользователя операционной системы, с правами учетной записью которого создана задача на проверку объекта.
   • MD5-хеш задачи на проверку объекта.
4. Информация о задачах, для которых Kaspersky Endpoint Agent ожидает результат проверки от Kaspersky Sandbox:
   • Время получения задачи на проверку объекта.
   • Статус обработки объекта.
   • Идентификатор пользовательской сессии в операционной системе, в которой создана задача на проверку объекта.
   • Идентификатор задачи на проверку объекта.
   • MD5-хеш задачи на проверку объекта.
   • Системный идентификатор (SID) пользователя операционной системы, под учетной записью которого создана задача.
   • XML-схема автоматически созданного IOC.
   • MD5 и SHA256-хеши проверяемого объекта.
   • Ошибки обработки.
   • Имена объектов, на проверку которых создана задача.
   • Результат проверки объекта.

Kaspersky Endpoint Agent хранит локально следующие данные при интеграции с компонентом KATA Central Node:

1. Обрабатываемые файлы и данные, передаваемые пользователем в ходе настройки параметров Kaspersky Endpoint Agent:
   • Файлы на карантине.
   • Параметры Kaspersky Endpoint Agent:
     • Пароль доступа к Kaspersky Endpoint Agent.
     • Учетные данные пользователей операционной системы для запуска задач с правами определенного пользователя.
     • Учетные данные для авторизации на Сервере администрирования Kaspersky Security Center.
     • Учетные данные для авторизации на прокси-сервере.
     • Адреса пользовательских источников обновлений.
     • Открытый ключ сертификата для интеграции с KATA Central Node.
     • Открытый ключ сертификата для интеграции с Kaspersky Sandbox.
     • Данные о лицензии.
2. Данные, необходимые для интеграции с компонентом KATA Central Node:
   • Обновляемые схемы фильтрации телеметрии.
   • Очередь пакетов событий телеметрии.
   • Кеш идентификаторов IOC-файлов, полученных от компонента KATA Central Node.
   • Объекты для передачи на сервер в рамках задачи Получить файл.
   • Отчеты о результатах задачи Собрать форензику.

Kaspersky Endpoint Agent хранит локально следующие данные при интеграции с сервером Kaspersky Industrial CyberSecurity for Networks:

1. Обрабатываемые файлы и данные, передаваемые пользователем в ходе настройки параметров Kaspersky Endpoint Agent:
   • Параметры Kaspersky Endpoint Agent:
     • Пароль доступа к Kaspersky Endpoint Agent.
     • Учетные данные пользователей операционной системы для запуска задач с правами определенного пользователя.
     • Учетные данные для авторизации на Сервере администрирования Kaspersky Security Center.
     • Учетные данные для авторизации на прокси-сервере.
     • Адреса пользовательских источников обновлений.
     • Открытый ключ сертификата для интеграции с Kaspersky Industrial CyberSecurity for Networks.
     • Данные о лицензии.
2. Данные, необходимые для интеграции с Kaspersky Industrial CyberSecurity for Networks:
   • Обновляемые схемы фильтрации телеметрии.
   • Очередь пакетов событий телеметрии.

Данные в файлах трассировки и дампов Kaspersky Endpoint Agent для Windows

Kaspersky Endpoint Agent для Windows может выполнять запись отладочной информации в соответствии с заданными параметрами в файлы трассировки для оказания поддержки во время работы Kaspersky Endpoint Agent для Windows.

Файлы дампов Kaspersky Endpoint Agent для Windows формируются операционной системой при сбоях программы и перезаписываются при каждом сбое.

В файлы трассировки и дампов могут попасть любые персональные данные пользователя или конфиденциальные данные вашей организации.

Не используйте Kaspersky Endpoint Agent для Windows на хостах, передача данных с которых запрещена политикой вашей организации.

По умолчанию Kaspersky Endpoint Agent не записывает отладочную информацию.

Автоматическая отправка файлов трассировки и дампов за пределы хоста, на котором они были сформированы, не производится. Содержимое файлов трассировки можно просмотреть с помощью стандартных средств просмотра текстовых файлов. Файлы трассировки и дампов хранятся бессрочно и не удаляются при деинсталляции Kaspersky Endpoint Agent для Windows.

Отладочная информация может понадобиться при обращении в Службу технической поддержки.

Специальных механизмов ограничения доступа к файлам трассировки и дампов не предусмотрено. Администратор может самостоятельно настроить запись этой информации в защищенную папку.

Путь к папке для записи файлов трассировки и дампов по умолчанию не задан. Администратору нужно указать папку для записи файлов трассировки и дампов самостоятельно.

Данные в файлах трассировки и дампов могут содержать следующую информацию:

• Действия, выполненные Kaspersky Endpoint Agent для Windows на хосте.
• Информация об объектах, обрабатываемых Kaspersky Endpoint Agent для Windows.
• Ошибки, возникшие в процессе работы Kaspersky Endpoint Agent для Windows.
• Время события.
• Номер потока выполнения.
• Компонент программы, в результате работы которого произошло обнаружение.
• Важности события.
• Об исполняемых модулях.
• Об открытых портах.
• О сетевых соединениях.
• Об операционной системе, установленной на компьютере с Kaspersky Endpoint Agent для Windows.
• Об учетных записях пользователей операционной системы.
• О пользовательских сессиях в операционной системе.
• О журнале событий Windows.
• Об обнаружениях Kaspersky Endpoint Security для Windows.
• Об организационных подразделениях (OU) Active Directory.
• Уникальный идентификатор компьютера с Kaspersky Endpoint Agent для Windows.
• Полное доменное имя компьютера.
• Серийный номер логического диска.
• Заголовки протокола HTTP.
• Полные пути к файлам компьютеров с Kaspersky Endpoint Agent для Windows.
• Имена файлов компьютеров с Kaspersky Endpoint Agent для Windows.
• Полные имена папок компьютеров с Kaspersky Endpoint Agent для Windows.
• Домашняя папка локального пользователя.
• Имя учетной записи пользователя, запустившего процесс.
• Путь к скрипту, запускаемому при входе пользователя в систему.
• Имя пользователя, под учетной записью которого произошло событие.
• URL- и IP-адреса посещенных веб-сайтов, а также ссылки с этих веб-сайтов.
• При использовании прокси-сервера: IP-адрес прокси-сервера, имя компьютера, порт, имя пользователя прокси-сервера.
• Внешние IP-адреса, с которыми было установлено соединение с локального компьютера.
• Команды запуска процесса.
• Параметры командной строки.
• Идентификатор Агента администрирования Kaspersky Security Center.
• Пути к ключам в реестре Windows.
• Имена переменных реестра Windows.
• Значения переменных реестра Windows.
• Разделы реестра Windows.
• Имена обнаруженных объектов.
• Имя записи локального DNS-кеша.
• IP-адрес из записи локального DNS-кеша в формате IPv4.
• IP-адрес или имя запрашиваемого хоста из локального DNS-кеша.
• Хост элемента локального DNS-кеша.
• Доменное имя элемента локального DNS-кеша.
• IP-адрес элемента ARP-кеша в формате IPv4.
• Физический адрес элемента APR-кеша.
• Имя учетной записи пользователя, запустившего службу операционной системы.
• Параметры, с которыми запущена служба операционной системы.
• Исходное имя файла (OriginalFileName) для ресурса RT_VERSION.

Данные, отправляемые в "Лабораторию Касперского" при принятии условий Положения о KSN

При согласии с условиями Положения о KSN (Kaspersky Security Network) программа автоматически отправляет информацию об этом в "Лабораторию Касперского".

Данные о принятии условий Положения могут храниться локально в папке %ALLUSERSPROFILE%\Kaspersky Lab\Endpoint Agent\<версия>\Data\.

Все данные, которые программа хранит локально на устройстве, кроме файлов трассировки и дампов, удаляются с устройства при удалении программы.

Следующие данные отправляются в "Лабораторию Касперского" при принятии или отзыве согласия с условиями Положения о KSN:

• Идентификатор соглашения (KSN, EULA).
• Версия соглашения.
• Флаг принятия соглашения (1 – соглашение принято, 0 – соглашение отозвано).
• Дата принятия или отзыва соглашения.

"Лаборатория Касперского" может использовать эти данные для формирования статистической информации.

Данные в обнаружениях и событиях

Данные о событиях хранятся в бинарном виде в папке C:\ProgramData\Kaspersky Lab\Endpoint Agent\protected\kata в открытом незашифрованном виде.

По умолчанию при включенной самозащите доступ к файлам на чтение имеют только пользователи с правами System и Administrator. При выключенной самозащите пользователи с правами System и Administrator могут также удалять файлы, изменять их содержимое и изменять права доступа к ним. Программа Kaspersky Endpoint Agent не управляет правами доступа к данной папке и ее файлам. Доступ определяет системный администратор.

Данные о событиях могут содержать следующую информацию:

• Об исполняемых модулях.
• О сетевых соединениях.
• Об операционной системе, установленной на компьютере с Kaspersky Endpoint Agent.
• О пользовательских сессиях в операционной системе.
• Об учетных записях пользователей операционной системы.
• О журнале событий Windows.
• Об обнаружениях Kaspersky Endpoint Security для Windows.
• Об организационных подразделениях (OU) Active Directory.
• Заголовки протокола HTTP.
• Полное доменное имя компьютера.
• MD5-, SHA256-хеш файлов и их фрагментов.
• Уникальный идентификатор компьютера с Kaspersky Endpoint Agent.
• Уникальные идентификаторы сертификатов.
• Издатель сертификата.
• Субъект сертификата.
• Название алгоритма, при помощи которого выполнен отпечаток сертификата.
• Адрес и порт локального сетевого интерфейса.
• Адрес и порт удаленного сетевого интерфейса.
• Поставщик программы.
• Название программы.
• Имя переменной реестра Windows.
• Путь к ключу реестра Windows.
• Данные переменной реестра Windows.
• Имя обнаруженного объекта.
• Идентификатор Агента администрирования Kaspersky Security Center.
• Содержимое файла hosts.
• Командная строка запуска процесса.

Данные в отчетах о выполнении задач

Перед отправкой на компонент Central Node отчеты, а также сопутствующие файлы временно сохраняются на жестком диске компьютера с программой Kaspersky Endpoint Agent. Отчеты о выполнении задач сохраняются в архивированном незашифрованном виде в папке C:\ProgramData\Kaspersky Lab\Endpoint Agent\protected\kata\data_queue.

По умолчанию при включенной самозащите доступ к файлам на чтение имеют только пользователи с правами System и Administrator. При выключенной самозащите пользователи с правами System и Administrator могут также удалять файлы, изменять их содержимое и изменять права доступа к ним. Программа Kaspersky Endpoint Agent не управляет правами доступа к данной папке и ее файлам. Доступ определяет системный администратор.

Отчеты о выполнении задач содержат следующую информацию:

• О результатах выполнения задач.
• Об исполняемых модулях.
• О процессах операционной системы.
• Об учетных записях пользователей.
• О пользовательских сессиях.
• Полное доменное имя компьютера.
• Уникальный идентификатор компьютера с Kaspersky Endpoint Agent.
• Файлы компьютера с Kaspersky Endpoint Agent.
• Имена
  альтернативных потоков NTFS

  Потоки данных файловой системы NTFS (alternate data streams), предназначенные для размещения дополнительных атрибутов или информации к файлу.

  Каждый файл в файловой системе NTFS представляет собой набор потоков (streams). В одном из них находится содержимое файла, которое мы сможем увидеть, открыв файл, остальные (альтернативные) предназначены для размещения метаинформации и обеспечивают, например, совместимость системы NTFS с другими системами, такими как старая файловая система Macintosh – Hierarchical File System (HFS). Потоки можно создавать, удалять, сохранять отдельно, переименовывать и даже запускать как процесс.

  Альтернативные потоки могут использоваться злоумышленниками для скрытой передачи или получения данных с компьютера.

  .
• Полные пути к файлам компьютера с Kaspersky Endpoint Agent.
• Полные имена папок компьютера с Kaspersky Endpoint Agent.
• Содержимое стандартного потока вывода процесса.
• Содержимое стандартного потока ошибок процесса.

Данные о файлах, запрещенных к запуску

Данные о файлах, запрещенных к запуску, хранятся в папке C:\ProgramData\Kaspersky Lab\Endpoint Agent\protected\kata в открытом незашифрованном виде.

По умолчанию при включенной самозащите доступ к файлам на чтение имеют только пользователи с правами System и Administrator. При выключенной самозащите пользователи с правами System и Administrator могут также удалять файлы, изменять их содержимое и изменять права доступа к ним. Программа Kaspersky Endpoint Agent не управляет правами доступа к данной папке и ее файлам. Доступ определяет системный администратор.

Данные о файлах, запрещенных к запуску, могут содержать следующую информацию:

• Полный путь к запрещенному файлу.
• MD5-хеш файла.
• SHA256-хеш файла.
• Команда запуска процесса.

Данные, связанные с выполнением задач

При выполнении задачи помещения файла на карантин архив, содержащий этот файл, временно сохраняется в незашифрованном виде в одной из следующих папок:

• для программы Kaspersky Endpoint Agent, входящей в состав программы Kaspersky Endpoint Security, в папке C:\ProgramData\Kaspersky Lab\Endpoint Agent\protected\kata\temp;
• для программы Kaspersky Endpoint Agent, установленной из пакета Kaspersky Anti Targeted Attack Platform, в папке C:\ProgramData\Kaspersky Lab\Endpoint Agent\protected\data\kata\temp.

При выполнении задачи запуска программы на хосте программа Kaspersky Endpoint Agent локально хранит содержимое стандартных потоков вывода и ошибок запущенного процесса в открытом незашифрованном виде до тех пор, пока отчет о выполнении задачи не будет отправлен на компонент Central Node. Файлы хранятся в одной из следующих папок:

• для программы Kaspersky Endpoint Agent, входящей в состав программы Kaspersky Endpoint Security, в папке C:\ProgramData\Kaspersky Lab\Endpoint Agent\protected\kata\temp;
• для программы Kaspersky Endpoint Agent, установленной из пакета Kaspersky Anti Targeted Attack Platform, в папке C:\ProgramData\Kaspersky Lab\Endpoint Agent\protected\data\kata\temp.

По умолчанию при включенной самозащите доступ к файлам на чтение имеют только пользователи с правами System и Administrator. При выключенной самозащите пользователи с правами System и Administrator могут также удалять файлы, изменять их содержимое и изменять права доступа к ним. Программа Kaspersky Endpoint Agent не управляет правами доступа к данной папке и ее файлам. Доступ определяет системный администратор.

Данные Kaspersky Endpoint Agent для Linux

Программа Kaspersky Endpoint Agent для Linux хранит и обрабатывает данные локально для обеспечения основной функциональности, аудита и повышения скорости решения возникших проблем специалистами Службы технической поддержки "Лаборатории Касперского".

На компьютерах с Kaspersky Endpoint Agent для Linux хранятся данные, подготовленные для отправки на серверы Kaspersky Anti Targeted Attack Platform и в Kaspersky Security Center автоматически .

Среди этих данных могут быть персональные данные пользователя или конфиденциальные данные вашей организации.

Отключение отправки данных с компьютеров с Kaspersky Endpoint Agent для Linux на сервер с компонентом Central Node не предусмотрено.

Не используйте программу Kaspersky Endpoint Agent для Linux на тех компьютерах, передача данных с которых запрещена политикой вашей организации.

Данные, полученные от Kaspersky Endpoint Agent для Linux, хранятся в базе данных на сервере с компонентом Central Node и ротируются по мере заполнения дискового пространства.

Файлы, подготовленные к отправке программой Kaspersky Endpoint Agent для Linux на сервер с компонентом Central Node, хранятся на компьютерах с Kaspersky Endpoint Agent для Linux в открытом незашифрованном виде в той директории, которая по умолчанию используется для хранения файлов перед отправкой на каждом компьютере с Kaspersky Endpoint Agent.

Файлы с компьютеров с Kaspersky Endpoint Agent для Linux отправляются только на сервер с компонентом Central Node по защищенному SSL-соединению.

Администратору Kaspersky Anti Targeted Attack Platform необходимо обеспечить безопасность компьютеров с программой Kaspersky Endpoint Agent для Linux и серверов Kaspersky Anti Targeted Attack Platform c перечисленными выше данными самостоятельно. Администратор Kaspersky Anti Targeted Attack Platform несет ответственность за доступ к данной информации.

В этом разделе содержится следующая информация о данных пользователей, хранящихся на компьютерах с Kaspersky Endpoint Agent для Linux:

• состав хранимых данных;
• место хранения;
• срок хранения;
• доступ пользователей к данным.

Все данные, которые программа хранит локально на устройстве, кроме файлов трассировки и дампов, удаляются с устройства при удалении программы.

Данные в запросах Kaspersky Endpoint Agent для Linux к Kaspersky Anti Targeted Attack Platform

При интеграции с компонентом Central Node следующие данные хранятся локально на устройстве с Kaspersky Endpoint Agent для Linux:

Все данные, которые программа хранит локально на устройстве, кроме файлов трассировки и дампа, удаляются с устройства при удалении программы.

1. Данные в запросах на синхронизацию:
   • Уникальный идентификатор Kaspersky Endpoint Agent для Linux.
   • Имя устройства.
   • Локальное время на устройстве.
   • Имя и версия операционной системы, установленной на устройстве.
   • Версия Kaspersky Endpoint Agent для Linux.
   • Версии параметров программы и параметров задач.
   • Состояние задач в Kaspersky Endpoint Agent для Linux (идентификаторы выполняющихся задач, статусы выполнения, коды ошибок выполнения).
2. Данные о запущенных процессах:
   • Информация об исполняемом файле процесса. Состав данных о файле см. ниже.
   • Параметры автозапуска процесса.
   • Значения переменных окружения.
   • Идентификатор процесса.
   • Идентификатор родительского процесса.
   • Код сеанса входа в систему.
   • Имя сеанса входа в систему.
   • Идентификаторы пользователей и групп, запустивших процесс.
   • Дата и время запуска процесса.
   • Данные об остановленных процессах:
     • Идентификатор процесса.
     • Дата и время остановки процесса.
   • Данные о файлах:
     • Путь к файлу.
     • Имя файла.
     • Размер файла.
     • Атрибуты файла.
     • Дата и время создания файла.
     • Дата и время последнего изменения файла.
     • Имена и уникальные идентификаторы пользователя-владельца и группы-владельца файла.
     • Права доступа к файлу.
     • Уникальный идентификатор файла.
   • Данные об изменениях файлов:
     • Уникальный идентификатор файла.
     • Тип произведенной операции с файлом (запись, чтение, изменение атрибутов, переименование, удаление).
   • Данные о сеансе входа в систему:
     • Дата и время начала сеанса входа в систему.
     • Тип сеанса.
     • Имя пользователя, запустившего сеанс.
     • Тип пользователя, запустившего сеанс.
     • IP-адрес удаленного компьютера.
   • Данные об обнаружениях на компьютере с Kaspersky Endpoint Agent для Linux и Kaspersky Endpoint Security для Linux.
     • Тип обнаруженного объекта.
     • Имя объекта и полный путь до объекта.
     • Название обнаружения.
     • MD5-хеш объекта.
     • URL, с которого был загружен объект.
     • IP-адрес удаленного компьютера.
     • IP-адрес локального компьютера.
     • Результат обработки обнаружения.

   До отправки данные хранятся в директории /var/opt/kaspersky/epagent/data/cache/queue в открытом незашифрованном виде. По умолчанию доступ к файлам имеют только пользователи с правами root.

3. В параметрах задач, полученных Kaspersky Endpoint Agent для Linux от Central Node:
   • Типы задач.
   • Параметры расписания запуска задач.
   • Имена и пароли учетных записей, под которыми необходимо запускать задачи.
   • Версии параметров.
   • Пути к объектам.
   • MD5 и SHA256-хеши объектов.
   • Командная строка запуска процесса с аргументами.
   • Информация о конкретной задаче хранится на устройстве до получения Kaspersky Endpoint Agent запроса на удаление со стороны Central Node или до удаления самого Kaspersky Endpoint Agent с устройства.

   Данные о задачах хранятся в директории /var/opt/kaspersky/epagent/tasks в открытом незашифрованном виде. По умолчанию доступ к файлам имеют только пользователи с правами root.

4. В отчетах о результатах выполнения задач, передаваемых Kaspersky Endpoint Agent для Linux на Central Node:
   • Ошибки выполнения задач и коды возврата.
   • Статусы, с которыми завершались задачи.
   • Время завершения выполнения задач.
   • Версии параметров, с которыми выполнялись задачи.
   • Информация об объектах, переданных на сервер (пути к объектам, MD5 и SHA256-хеши объектов).
   • Файлы, запрошенные сервером.
   • Содержимое стандартного потока вывода процесса.
   • Содержимое стандартного потока ошибок процесса.
   • Kaspersky Endpoint Agent для Linux передает на Central Node отчеты о результатах выполнения задач.

   Данные о результатах выполнения задач хранятся в директории /var/opt/kaspersky/epagent/tasks в открытом незашифрованном виде. По умолчанию доступ к файлам имеют только пользователи с правами root.

   Информация с отчетом о выполнении задачи удаляется после передачи этой информации на Central Node.

Служебные данные Kaspersky Endpoint Agent для Linux

К служебным данным Kaspersky Endpoint Agent для Linux относятся данные, попадающие в конфигурационные файлы в результате настройки параметров администратором локально или с помощью плагина Kaspersky Security Center.

Служебные данные хранятся в директориях /var/opt/kaspersky/epagent/settings и /var/opt/kaspersky/epagent/policy. Данные хранятся до удаления Kaspersky Endpoint Agent для Linux.

Эти данные могут автоматически передаваться в Kaspersky Security Center.

По умолчанию доступ к файлам имеют только пользователи с правами root.

Все данные, которые программа хранит локально на устройстве, кроме файлов трассировки и дампа, удаляются с устройства при удалении программы.

Kaspersky Endpoint Agent для Linux хранит следующие данные:

• Адрес сервера Central Node.
• Открытый ключ серверного сертификата для интеграции с Central Node.
• Контейнер с клиентским сертификатом для интеграции с Central Node.
• Учетные данные для авторизации на прокси-сервере.
• Адреса пользовательских источников обновлений.
• Настройки частоты синхронизации и передачи телеметрии на сервер Central Node.

Данные в файлах трассировки и дампов Kaspersky Endpoint Agent для Linux

Данные в файлах трассировки

Пользователи лично отвечают за безопасность данных, хранящихся на их компьютерах, в частности, за мониторинг и ограничение доступа к данным до момента их передачи в "Лабораторию Касперского".

Файлы трассировки хранятся на компьютере в течение всего времени использования программы и удаляются без возможности восстановления при удалении программы.

По умолчанию файлы трассировки хранятся в директории /var/log/kaspersky/epagent/. Вы можете просмотреть данные, хранящиеся в файлах трассировки. Для доступа к заданной по умолчанию директории хранения файлов трассировки требуются root-права.

Во всех файлах трассировки хранятся общие данные:

• время возникновения события;
• номер потока исполнения;
• компонент программы, инициировавший событие;
• уровень важности события (информационное событие, предупреждение, критическое событие, ошибка);
• описание события, связанного с выполнением команды компонентом программы, и результат выполнения этой команды.

В дополнение к общим данным в файлах трассировки могут храниться следующие данные:

• статусы компонентов Kaspersky Endpoint Agent и их рабочие данные;
• данные обо всех объектах и событиях операционной системы, включая данные о действиях пользователей;
• данные, содержащиеся в объектах операционной системы (например, содержимое файлов, в которых могут находиться персональные данные пользователей);
• данные о сетевом трафике (например, содержимое полей ввода на веб-сайте, которые могут включать данные банковской карты или любые другие конфиденциальные данные);
• данные, полученные с серверов "Лаборатории Касперского" (например, версия баз программы).

Запись данных трассировки производится в файл lena2021-01-18T052236.log. После того, как размер файла достигнет 10 МБ, файл будет сохранен в директории /var/log/kaspersky/epagent/. Для записи текущих данных будет создан новый файл с временной меткой. Всего в директории может храниться 10 файлов с данными трассировки. После того, как размер последнего созданного файла достигнет 10 МБ, самый старый файл будет удален.

Файлы трассировки других программ хранятся на компьютере до момента удаления программы.

Данные в файлах дампов

Сохраненные файлы дампов могут содержать персональные данные. Чтобы обеспечить контроль и ограничение доступа к данным, необходимо самостоятельно позаботься о безопасности файлов дампов.

Файлы дампов формируются автоматически при сбое программы и хранятся на компьютере в течение всего времени использования программы. Файлы дампов удаляются без возможности восстановления при удалении программы.

Файлы дампов хранятся в директории /var/opt/kaspersky/epagent/dumps/.

Файл дампов содержит всю информацию о рабочей памяти процессов Kaspersky Endpoint Agent для Linux на момент создания файла дампов. Файл дампов может также содержать персональные данные.

Для доступа к файлам дампов требуются root-права.