Данные в запросах Kaspersky Endpoint Agent для Windows к Kaspersky Anti Targeted Attack Platform

При интеграции с компонентом Central Node следующие данные хранятся локально на устройстве с Kaspersky Endpoint Agent.

Все данные, которые программа хранит локально на устройстве, кроме файлов трассировки и дампов, удаляются с устройства при удалении программы.

Данные из запросов от Kaspersky Endpoint Agent к компоненту Central Node:

1. В запросах на синхронизацию:
   • уникальный идентификатор Kaspersky Endpoint Agent;
   • базовая часть веб-адреса сервера;
   • имя устройства;
   • IP-адрес устройства;
   • MAC-адрес устройства;
   • локальное время на устройстве;
   • статус самозащиты Kaspersky Endpoint Agent;
   • имя и версия операционной системы, установленной на устройстве;
   • версия Kaspersky Endpoint Agent;
   • версии параметров программы и параметров задач;
   • состояние задач в Kaspersky Endpoint Agent: идентификаторы выполняющихся задач, статусы выполнения, коды ошибок выполнения;
   • состояние параметров Kaspersky Endpoint Agent: тип применяющихся параметров, версия параметров, статус применения параметров, коды ошибок применения.
2. В запросах на получение файлов с сервера:
   • уникальные идентификаторы файлов;
   • уникальный идентификатор Kaspersky Endpoint Agent;
   • уникальные идентификаторы задач;
   • базовая часть веб-адреса сервера с компонентом Central Node;
   • IP-адрес узла.
3. В отчетах о результатах выполнения задач:
   • IP-адрес узла;
   • информация об объектах, обнаруженных при поиске IOC или сканировании YARA;
   • флаги дополнительных действий, выполняемых Kaspersky Endpoint Agent по завершении задач (например, "deleteFileAfterReboot": false);
   • ошибки выполнения задач и коды возврата;
   • статусы, с которыми завершались задачи;
   • время завершения выполнения задач;
   • версии параметров, с которыми выполнялись задачи;
   • информация об объектах, переданных на сервер, помещенных на карантин, восстановленных из карантина: пути к объектам, MD5 и SHA256-хеши объектов, идентификаторы объектов на карантине;
   • информация о процессах, запущенных или остановленных на устройстве с Kaspersky Endpoint Agent по запросу сервера: PID и UniquePID, error code, MD5 и SHA256-хеши объектов;
   • информация о службах, запущенных или остановленных на устройстве по запросу сервера (имя службы, тип запуска, error code, MD5 и SHA256-хеши файловых образов служб);
   • информация об объектах, для которых был снят дамп памяти для сканирования YARA (пути, идентификатор файла дампа);
   • файлы, запрошенные сервером;
   • пакеты телеметрии.
   • Данные о запущенных процессах:
     • имя исполняемого файла, включая полный путь и расширение;
     • параметры автозапуска процесса;
     • идентификатор процесса;
     • код сеанса входа в систему;
     • имя сеанса входа в систему;
     • дата и время запуска процесса;
     • MD5-хеш объекта;
     • SHA256-хеш объекта
   • Данные о файлах:
     • путь к файлу;
     • имя файла;
     • размер файла;
     • атрибуты файла;
     • дата и время создания файла;
     • дата и время последнего изменения файла;
     • описание файла

       

       Основная информация о файле, которая будет представлена пользователям. Эта строка может отображаться в списке, когда пользователь выбирает файлы для установки. Эта строка является обязательной.

       ;
     • название компании

       

       Название компании, создавшей файл.

       ;
     • MD5-хеш объекта;
     • SHA256-хеш объекта;
     • раздел реестра (для точек автозапуска).

• Данные в ошибках получения информации об объектах:
  • полное имя объекта, при обаботке которого возникла ошибка.
  • код ошибки.

1. Данные телеметрии:
   • IP-адрес узла;
   • тип данных в реестре до зафиксированной операции изменения;
   • данные в ключе реестра до зафиксированной операции изменения;
   • текст обрабатываемого скрипта или его части;
   • тип обрабатываемого объекта;
   • способ передачи команды в командный интерпретатор.

Данные из запросов от компонента Central Node к Kaspersky Endpoint Agent:

1. Параметры задач:
   • типы задач;
   • параметры расписания запуска задач;
   • имена и пароли учетных записей, под которыми необходимо запускать задачи;
   • версии параметров;
   • идентификаторы объектов на карантине;
   • пути к объектам;
   • MD5 и SHA256-хеши объектов;
   • командная строка запуска процесса с аргументами;
   • флаги дополнительных действий, выполняемых Kaspersky Endpoint Agent по завершении задачи;
   • идентификаторы IOC-файлов, которые нужно получить с сервера;
   • IOC-файлы;
   • наименование служб;
   • тип запуска служб;
   • папки, для которых необходимо получить результаты задачи Собрать форензику;
   • маски имен объектов и расширений для задачи Собрать форензику.
2. Параметры сетевой изоляции:
   • типы параметров;
   • версии параметров;
   • списки исключений из сетевой изоляции и параметры исключений: направление трафика, IP-адреса, порты, протоколы, полные пути к исполняемым файлам;
   • флаги дополнительных действий, выполняемых Kaspersky Endpoint Agent;
   • время автоматического отключения изоляции.
3. Параметры запрета запуска и открытия документов:
   • типы параметров;
   • версии параметров;
   • списки правил запрета запуска и параметры правил: пути к объектам, типы объектов, MD5 и SHA256-хеши объектов;
   • флаги дополнительных действий, выполняемых Kaspersky Endpoint Agent.
4. Параметры фильтрации событий:
   • имена модулей;
   • полные пути к объектам;
   • MD5 и SHA256-хеши объектов;
   • идентификаторы записей в журнале событий Windows;
   • параметры цифровых сертификатов;
   • направление трафика, IP-адреса, порты, протоколы, полные пути к исполняемым файлам;
   • имена пользователей;
   • типы входа пользователей;
   • типы событий телеметрии, для которых применяются фильтры.