Данные, предоставляемые при использовании решения Kaspersky Anti Targeted Attack Platform
Данные, предоставляемые при использовании решения Kaspersky Anti Targeted Attack Platform
15 апреля 2024
ID 250632
При интеграции приложения Kaspersky Endpoint Security с решением Kaspersky Anti Targeted Attack Platform приложение Kaspersky Endpoint Security сохраняет и может передавать приложению Kaspersky Security Center следующую информацию, которая может содержать персональные и конфиденциальные данные:
- Служебные данные:
- адреса серверов KATA;
- открытый ключ сертификата сервера для интеграции с компонентом EDR (KATA);
- криптоконтейнер с сертификатом клиента для интеграции с компонентом EDR (KATA);
- учетные данные для авторизации на прокси-сервере;
- параметры частоты синхронизации с сервером KATA и параметры передачи данных на сервер KATA;
- статус соединения с сервером КАТА и сведения об ошибках сертификата клиента и сертификата сервера.
При интеграции приложения Kaspersky Endpoint Security с решением Kaspersky Anti Targeted Attack Platform приложение Kaspersky Endpoint Security сохраняет и может передавать серверу KATA следующие данные:
- Данные из запросов на синхронизацию к компоненту EDR (KATA):
- Уникальный идентификатор.
- Базовую часть веб-адреса сервера.
- Имя устройства.
- IP-адрес устройства.
- MAC-адрес устройства.
- Локальное время на устройстве.
- Название и версию операционной системы, установленной на устройстве.
- Версию Kaspersky Endpoint Security.
- Версии параметров приложения и параметров задач.
- Состояние задач (идентификаторы задач, статусы выполнения, коды ошибок).
- Данные из запросов к компоненту EDR (KATA) в отчетах о результатах выполнения задач:
- IP-адрес устройства.
- Ошибки выполнения задач и коды возврата.
- Статусы, с которыми завершались задачи.
- Время завершения выполнения задач.
- Версии параметров, с которыми выполнялись задачи.
- Информацию о процессах, запущенных или остановленных на устройстве по запросу сервера: PID и UniquePID, код ошибки, хеш-суммы MD5 и SHA-256 объектов.
- Файлы, запрошенные сервером.
- Пакеты телеметрии.
- Данные о запущенных процессах:
- имя исполняемого файла, включая полный путь и расширение;
- параметры запуска процесса;
- идентификатор процесса;
- код сеанса входа в систему;
- имя сеанса входа в систему;
- дата и время запуска процесса;
- хеш-суммы MD5 и SHA-256 объекта.
- Данные о файлах:
- Путь к файлу.
- Имя файла.
- Размер файла.
- Атрибуты файла.
- Дата и время создания файла.
- Дата и время последнего изменения файла.
- хеш-суммы MD5 и SHA-256 объекта.
- Данные в ошибках получения информации об объектах:
- Полное имя объекта, при обработке которого возникла ошибка.
- Код ошибки.
- Данные из запросов от сервера KATA к встроенному агенту Kaspersky Endpoint Security (параметры задач):
- Типы задач.
- Параметры расписания запуска задач.
- Имена и пароли учетных записей, от имени которых требуется запускать задачи.
- Версии параметров.
- Пути к объектам.
- Хеш-суммы MD5 и SHA-256 объектов.
- Командную строку запуска процесса с аргументами.
- Наименование служб.
- Тип запуска служб.
- Параметры ответных запросов (response), которые сервер KATA отправляет встроенному агенту Kaspersky Endpoint Security:
- Задача Получить файл (Get file task):
- Полный путь к файлу или директории.
- Алгоритм расчет хеша. Возможные значения: MD5 и/или SHA-256.
- Хеш-суммы MD5 и SHA-256 файла.
- Задача Удалить файл (Delete file task):
- подтверждение удаления или произошедшая ошибка.
- Задача Запустить процесс (Run process):
- Полный путь к исполняемому файлу, из которого запущен процесс.
- Командную строку процесса.
- Полный путь к рабочей директории процесса.
- Задача Завершить процесс (Terminate process):
- Уникальный PID процесса.
- Системный PID процесса.
- Код ошибки завершения процесса (0, если процесс успешно завершен).
- Задача Поиск IOC (IOC Scan task):
- Результаты поиска (сработал или не сработал каждый индикатор, найденные объекты и информация о том, какая ветка индикатора сработала).
Для объектов, вызвавших срабатывания, возвращаются разные значения в зависимости от типа:
- ArpEntry: IP-адрес из ARP-таблицы (в том числе ipv6), физический адрес из ARP-таблицы.
- File: MD5-хеш файла, SHA-256-хеш файла, полное имя файла (включая путь), размер файла.
- Port: удаленный IP-адрес и порт, с которым в момент проверки, установлено соединение; IP-адрес и порт локального адаптера; тип протокола (TCP, UDP, IP, RAWIP).
- Process: имя процесса; аргументы процесса; путь к файлу процесса; системный PID процесса; системный PID родительского процесса; имя пользователя, от которого запущен процесс; дата и время запуска процесса.
- SystemInfo: имя ОС, версия ОС, сетевое имя компьютера без домена, домен или рабочая группа.
- User: имя пользователя
- Задача Получить файл (Get file task):
- Сетевая изоляция:
- Статус применения сетевой изоляции.
Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!