Kaspersky Anti Targeted Attack (KATA) Platform

Данные, пересылаемые между компонентами приложения

14 мая 2024

ID 247488

Central Node, Kaspersky Endpoint Agent для Windows, Kaspersky Endpoint Security для Windows

Приложения Kaspersky Endpoint Agent для Windows и Kaspersky Endpoint Security для Windows отправляют на компонент Central Node отчеты о выполнении задач, информацию о событиях и обнаружениях, произошедших на компьютерах с этими приложениями, а также информацию о терминальных сессиях.

Если связь с компонентом Central Node отсутствует, все данные, предназначенные для отправки, накапливаются до тех пор, пока они не будут отправлены на компонент Central Node или приложение Kaspersky Endpoint Agent для Windows или Kaspersky Endpoint Security для Windows не будет удалено с компьютера, но не более 21 дня.

Если событие произошло на компьютере пользователя, приложения отправляют следующие данные в базу событий:

  1. Общие сведения для всех событий:
    • Тип события.
    • Время события.
    • Учетная запись пользователя, от имени которой было совершено событие.
    • Имя хоста, на котором произошло событие.
    • IP-адрес хоста.
    • Тип операционной системы, установленной на хосте.
  2. Событие создания файла.
    • Сведения о процессе, создавшем файл: имя файла процесса, MD5-, SHA256-хеш файла процесса.
    • Имя файла.
    • Путь к файлу.
    • Полное имя файла.
    • MD5-, SHA256-хеш файла.
    • Дата создания и изменения файла.
    • Размер файла.
  3. Событие мониторинга реестра.
    • Сведения о процессе, изменившем реестр: ID процесса, имя файла процесса, MD5-, SHA256-хеш файла процесса.
    • Путь к ключу реестра.
    • Имя параметра реестра.
    • Значение параметра реестра.
    • Тип параметра реестра.
    • Предыдущий путь к ключу реестра.
    • Предыдущее значение параметра реестра.
    • Предыдущий тип параметра реестра.
  4. Событие загрузки драйвера.
    • Имя файла.
    • Путь к файлу.
    • Полное имя файла.
    • MD5-, SHA256-хеш файла.
    • Размер файла.
    • Дата создания и изменения файла.
  5. Событие открытия порта на прослушивание.
    • Сведения о процессе, открывшем порт на прослушивание: имя файла процесса, MD5-, SHA256-хеш файла процесса.
    • Номер порта.
    • IP-адрес адаптера.
  6. Событие в журнале ОС.
    • Время события, хост, на котором произошло событие, имя учетной записи пользователя.
    • ID события.
    • Имя журнала/канала.
    • ID события в журнале.
    • Имя провайдера.
    • Подтип события аутентификации.
    • Имя домена.
    • Удаленный IP-адрес.
    • Поля заголовка события: ProviderName, EventId, Version, Level, Task, Opcode, Keywords, TimeCreatedSystemTime, EventRecordId, CorellationActivityId, ExecutionProcessID, ThreadID, Channel, Computer.
    • Поля тела события: AccessList, AccessFiles mask, AccountExpires, AllowedToDelegateTo, Application, AuditPolicyChanges, AuthenticationPackageName, CategoryId, CommandLine, DisplayName, Dummy, ElevatedToken, EventCode, EventProcessingFailure, FailureReason, FilterRTID, HandleId, HomeDirectory, HomePath, ImpersonationLevel, IpAddress, IpPort, KeyLength, LayerName, LayerRTID, LmPackageName, LogonGuid, LogonHours, LogonProcessName, LogonType, MandatoryLabel, MemberName, MemberSid, NewProcessId, NewProcessName, NewUacValue, NewValue, NewValueType, ObjectName, ObjectServer, ObjectType, ObjectValueName, OldUacValue, OldValue, OldValueType, OperationType, PackageName, ParentProcessName, PasswordLastSet, PrimaryGroupId, PriviledgeList, ProcessId, ProcessName, ProfileChanged, ProfilePath, Protocol, PublisherId, ResourceAttributes, RestrictedAdminMode, SamAccountName, ScriptPath, ServiceAccount, ServiceFileName, ServiceName, ServiceStartType, ServiceType, SettingType, SettingValue, ShareLocalPath, ShareName, SidHistory, SourceAddress, SourcePort, Status, SubcategoryGuid, SubcategoryId, SubjectDomainName, SubjectLogonId, SubjectUserName, SubjectUserSid, SubStatus, TargetDomainName, TargetLinkedLogonId, TargetLogonId, TargetOutboundDomainName, TargetOutboundUserName, TargetUserName, TargetUserSid, TaskContent, TaskName, TokenElevationType, TransmittedServices, UserAccountControl, UserParameters, UserPrincipalName, UserWorkstations, VirtualAccount, Workstation, WorkstationName.
  7. Событие запуска процесса.
    • Сведения о файле процесса: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла, дата создания и изменения файла, имя организации, выпустившей цифровой сертификат файла, результат проверки цифровой подписи файла.
    • UniquePID.
    • Параметры запуска процесса.
    • Время запуска процесса.
    • Сведения о родительском процессе: путь к файлу, UniquePID, MD5-, SHA256-хеш файла процесса, параметры запуска процесса.
  8. Событие остановки процесса.
    • Сведения о файле процесса: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла, время завершения процесса.
    • UniquePID.
    • Параметры запуска процесса.
    • Сведения о родительском процессе: путь к файлу, UniquePID, MD5-, SHA256-хеш файла процесса, параметры запуска процесса.
  9. Событие загрузки модуля.
    • Сведения о файле, загрузившем модуль: UniquePID, имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла.
    • Имя DLL.
    • Путь к DLL.
    • Полное имя DLL.
    • MD5-, SHA256-хеш DLL.
    • Размер DLL.
    • Дата создания и изменения DLL.
    • Имя организации, выпустившей цифровой сертификат DLL.
    • Результат проверки цифровой подписи DLL.
  10. Событие блокирования запуска процесса.
    • Сведения о файле, который пытались выполнить: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла, дата создания и изменения файла.
    • Параметры командной строки.
  11. Событие блокирования запуска файла.
    • Сведения о файле, который пытались открыть: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, тип контрольной суммы, по которой произведена блокировка, размер файла (0 – MD5, !=0 – SHA256, для поиска не используется).
    • Сведения об исполняемом файле: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла, дата создания и изменения файла.
    • Сведения о родительском процессе: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, PID, UniquePID.
  12. Событие приложения Kaspersky Endpoint Security для Windows.
    • Результат проверки.
    • Название обнаруженного объекта.
    • Идентификатор записи в базах приложения.
    • Время выпуска баз приложения, с помощью которых было выполнено обнаружение.
    • Режим обработки объекта.
    • Категория обнаруженного объекта (например, название вируса).
    • MD5-хеш обнаруженного объекта.
    • SHA256-хеш обнаруженного объекта.
    • Уникальный идентификатор процесса.
    • PID процесса, отображаемый в диспетчере задач Windows.
    • Командная строка запуска процесса.
    • Причина ошибки при обработке объекта.
    • Содержание скрипта, проверенного с помощью AMSI.
  13. Событие AMSI-проверки.
    • Содержание скрипта, проверенного с помощью AMSI.

Central Node, Kaspersky Endpoint Security для Linux

Приложение Kaspersky Endpoint Security для Linux отправляет на компонент Central Node отчеты о выполнении задач, информацию о событиях и обнаружениях, произошедших на компьютерах с этим приложением, а также информацию о терминальных сессиях.

Если связь с компонентом Central Node отсутствует, все данные, предназначенные для отправки, накапливаются до тех пор, пока они не будут отправлены на компонент Central Node или приложение Kaspersky Endpoint Security для Linux не будет удалено с компьютера, но не более 21 дня.

Если событие произошло на компьютере пользователя, Kaspersky Endpoint Security для Linux отправляет следующие данные в базу событий:

  1. Общие сведения для всех событий:
    • Тип события.
    • Время события.
    • Учетная запись пользователя, от имени которой было совершено событие.
    • Имя хоста, на котором произошло событие.
    • IP-адрес хоста.
    • Тип и версия операционной системы, установленной на хосте.
    • Имя хоста, с которого был совершен удаленный вход в систему.
    • Имя пользователя, назначенное при регистрации в системе.
    • Группа, к которой принадлежит пользователь.
    • Имя пользователя, которое использовалось для входа в систему.
    • Группа, к которой принадлежит пользователь, чье имя использовалось для входа в систему.
    • Имя пользователя, создавшего файл.
    • Название группы, пользователи которой могут изменить или удалить файл.
    • Разрешения, которые могут использоваться для доступа к файлу.
    • Наследуемые привилегии файла.
  2. Событие запуска процесса.
    • Сведения о файле процесса: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла.
    • UniquePID.
    • Команда, с помощью которой был запущен процесс.
    • Тип процесса.
    • Переменные окружения процесса.
    • Время запуска процесса.
    • Время завершения процесса.
    • Сведения о родительском процессе: путь к файлу, UniquePID, MD5-, SHA256-хеш файла процесса, команда, с помощью которой был запущен процесс.
  3. Событие создания файла.
    • Сведения о процессе, создавшем файл: имя файла процесса, MD5-, SHA256-хеш файла процесса.
    • Имя файла.
    • Путь к файлу.
    • Полное имя файла.
    • Тип файла.
    • MD5-, SHA256-хеш файла.
    • Дата создания и изменения файла.
    • Размер файла.
  4. Событие в журнале ОС.
    • Время события.
    • Тип события.
    • Результат операции.
    • Сведения о родительском процессе: путь к файлу, UniquePID, MD5-, SHA256-хеш файла процесса, команда, с помощью которой был запущен процесс.
  5. Событие остановки процесса.
    • Сведения о файле процесса: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла, время завершения процесса.
    • UniquePID.
    • Параметры запуска процесса.
    • Сведения о родительском процессе: путь к файлу, UniquePID, MD5-, SHA256-хеш файла процесса, параметры запуска процесса.
  6. Событие приложения Kaspersky Endpoint Security для Linux.
    • Результат проверки.
    • Название обнаруженного объекта.
    • Идентификатор записи в базах приложения.
    • Время выпуска баз приложения, с помощью которых было выполнено обнаружение.
    • Режим обработки объекта.
    • Категория обнаруженного объекта (например, название вируса).
    • MD5-хеш обнаруженного объекта.
    • SHA256-хеш обнаруженного объекта.
    • Уникальный идентификатор процесса.
    • PID процесса.
    • Командная строка запуска процесса.
    • Причина ошибки при обработке объекта.

Central Node, Kaspersky Endpoint Security для Mac

Приложение и Kaspersky Endpoint Security для Mac отправляет на компонент Central Node отчеты о выполнении задач, информацию о событиях и обнаружениях, произошедших на компьютерах с этим приложением.

Если связь с компонентом Central Node отсутствует, все данные, предназначенные для отправки, накапливаются до тех пор, пока они не будут отправлены на компонент Central Node или приложение Kaspersky Endpoint Security для Mac не будет удалено с компьютера, но не более 21 дня.

Если событие произошло на компьютере пользователя, Kaspersky Endpoint Security для Mac отправляет следующие данные в базу событий:

  1. Общие сведения для всех событий:
    • Тип события.
    • Время события.
    • Учетная запись пользователя, от имени которой было совершено событие.
    • Имя хоста, на котором произошло событие.
    • IP-адрес хоста.
    • Тип и версия операционной системы, установленной на хосте.
    • Имя хоста, с которого был совершен удаленный вход в систему.
    • Имя пользователя, назначенное при регистрации в системе.
    • Группа, к которой принадлежит пользователь.
    • Имя пользователя, которое использовалось для входа в систему.
    • Группа, к которой принадлежит пользователь, чье имя использовалось для входа в систему.
    • Имя пользователя, создавшего файл.
    • Название группы, пользователи которой могут изменить или удалить файл.
    • Разрешения, которые могут использоваться для доступа к файлу.
  2. Событие запуска процесса.
    • Сведения о файле процесса: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла.
    • UniquePID.
    • Команда, с помощью которой был запущен процесс.
    • Тип процесса.
    • Переменные окружения процесса.
    • Время запуска процесса.
    • Время завершения процесса.
    • Сведения о родительском процессе: путь к файлу, UniquePID, MD5-, SHA256-хеш файла процесса, команда, с помощью которой был запущен процесс.
  3. Событие создания файла.
    • Сведения о процессе, создавшем файл: имя файла процесса, MD5-, SHA256-хеш файла процесса.
    • Имя файла.
    • Путь к файлу.
    • Полное имя файла.
    • Тип файла.
    • MD5-, SHA256-хеш файла.
    • Дата создания и изменения файла.
    • Размер файла.
  4. Событие остановки процесса.
    • Сведения о файле процесса: имя файла, путь к файлу, полное имя файла, MD5-, SHA256-хеш файла, размер файла, время завершения процесса.
    • UniquePID.
    • Параметры запуска процесса.
    • Сведения о родительском процессе: путь к файлу, UniquePID, MD5-, SHA256-хеш файла процесса, параметры запуска процесса.
  5. Событие приложения Kaspersky Endpoint Security для Mac.
    • Результат проверки.
    • Название обнаруженного объекта.
    • Идентификатор записи в базах приложения.
    • Время выпуска баз приложения, с помощью которых было выполнено обнаружение.
    • Режим обработки объекта.
    • Категория обнаруженного объекта (например, название вируса).
    • MD5-хеш обнаруженного объекта.
    • SHA256-хеш обнаруженного объекта.
    • Уникальный идентификатор процесса.
    • PID процесса.
    • Командная строка запуска процесса.
    • Причина ошибки при обработке объекта.

Central Node и Sandbox

Компонент Central Node отправляет на компонент Sandbox файлы и URL-адреса, выделенные из сетевого или почтового трафика. Перед передачей файлы никак не изменяются. Компонент Sandbox отправляет компоненту Central Node результаты проверки.

Central Node и Sensor

Приложение может пересылать между компонентами Central Node и Sensor следующие данные:

  • Файлы и сообщения электронной почты.
  • Данные об обнаружениях, выполненных технологиями Intrusion Detection System и URL Reputation.
  • Информацию о лицензии.
  • Список данных, исключенных из проверки.
  • Данные приложения Kaspersky Endpoint Agent, если настроена интеграция с прокси-сервером.
  • Базы приложения, если настроено получение обновления баз от компонента Central Node.

Серверы с ролями PCN и SCN

Если приложение работает в режиме распределенного решения, то между PCN и подключенными SCN передаются следующие данные:

  • Об обнаружениях.
  • О событиях.
  • О задачах.
  • О политиках.
  • О проверке по пользовательским правилам IOC, TAA (IOA), IDS, YARA.
  • О файлах в Хранилище.
  • Об учетных записях пользователей.
  • О лицензии.
  • Список компьютеров с компонентом Endpoint Agent.
  • Объекты, помещенные в Хранилище.
  • Объекты, помещенные на карантин на компьютерах с компонентом Endpoint Agent.
  • Файлы, прикрепленные к обнаружениям.
  • IOC- и YARA-файлы.

См. также

Служебные данные приложения

Данные компонентов Central Node и Sensor

Данные компонента Sandbox

Данные в файлах трассировки приложения

Данные Kaspersky Endpoint Agent для Windows

Данные Kaspersky Endpoint Security для Windows

Данные Kaspersky Endpoint Security для Linux

Данные Kaspersky Endpoint Security для Mac

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!