Данные, предоставляемые при использовании решения Kaspersky Anti Targeted Attack Platform

При интеграции приложения Kaspersky Endpoint Security с Kaspersky Endpoint Detection and Response (KATA) – компонентом решения Kaspersky Anti Targeted Attack Platform – приложение Kaspersky Endpoint Security сохраняет следующую служебную информацию, которая может содержать персональные и конфиденциальные данные:

• Адреса серверов KATA.
• Открытый ключ сертификата сервера для интеграции с Kaspersky Endpoint Detection and Response (KATA).
• Криптоконтейнер с сертификатом клиента для интеграции с Kaspersky Endpoint Detection and Response (KATA).
• Учетные данные для авторизации на прокси-сервере.
• Параметры частоты синхронизации с сервером KATA и параметры передачи данных на сервер KATA.
• Статус соединения с сервером КАТА и сведения об ошибках сертификата клиента и сертификата сервера.
• Параметры задач, поступающих от серверов КАТА:
  • Параметры расписания запуска задач.
  • Имена и пароли учетных записей, под которыми требуется запускать задачи.
  • Версии параметров.
  • Тип запуска служб.
  • Названия служб.
  • Командную строку запуска процесса с аргументами.
  • MD5 и SHA256-хеши объектов.
  • Пути к объектам.
  • IOC-файлы.
• Параметры изоляции, в соответствии с которыми устройству будет запрещено осуществлять соединение с другими устройствами, кроме указанных в исключениях.

При интеграции приложения Kaspersky Endpoint Security с Kaspersky Endpoint Detection and Response (KATA) приложение Kaspersky Endpoint Security сохраняет и может передавать серверу KATA следующие данные:

• Данные из запросов на синхронизацию к компоненту EDR (KATA):
  • Уникальный идентификатор.
  • Базовую часть веб-адреса сервера.
  • Имя устройства.
  • IP-адрес устройства.
  • MAC-адрес устройства.
  • Локальное время на устройстве.
  • Название и версию операционной системы, установленной на устройстве.
  • Версию Kaspersky Endpoint Security.
  • Дату выпуска используемых баз приложения.
  • Состояние лицензии.
• Данные из запросов к компоненту EDR (KATA) в отчетах о результатах выполнения задач:
  • IP-адрес устройства.
  • Уникальный идентификатор.
  • Базовую часть веб-адреса сервера.
  • MAC-адрес устройства.
  • Ошибки выполнения задач и коды возврата.
  • Статусы, с которыми завершались задачи.
  • Время завершения выполнения задач.
  • Версии параметров, с которыми выполнялись задачи.
  • Информацию о процессах, запущенных или остановленных на устройстве по запросу сервера: PID и UniquePID, код ошибки, хеш-суммы MD5 и SHA256 объектов.
  • Файлы, запрошенные сервером.
  • Данные об ошибках получения информации об объектах: полное имя объекта, при обработке которого возникла ошибка; код ошибки.
  • Статус применения сетевой изоляции.
  • Для индикаторов IOC возвращаются результаты поиска (сработал или не сработал каждый индикатор; найденные объекты и информация о том, какая ветка индикатора сработала).
  • Для объектов, вызвавших срабатывания индикаторов IOC, возвращаются разные значения в зависимости от типа индикаторов:
    • ArpEntry: IP-адрес из ARP-таблицы (в том числе ipv6), физический адрес из ARP-таблицы.
    • File: MD5-хеш файла, SHA-256-хеш файла, полное имя файла (включая путь), размер файла.
    • Port: удаленный IP-адрес и порт, с которым в момент проверки установлено соединение; IP-адрес и порт локального адаптера; тип протокола (TCP, UDP, IP, RAWIP).
    • Process: имя процесса; аргументы процесса; путь к файлу процесса; системный PID процесса; системный PID родительского процесса; имя пользователя, от имени которого запущен процесс; дата и время запуска процесса.
    • SystemInfo: имя ОС, версия ОС, сетевое имя устройства без домена, домен или рабочая группа.
    • User: имя пользователя.
• Данные в пакетах телеметрии:
  • Данные о файлах:
    • Уникальный идентификатор файла.
    • Путь к файлу.
    • Имя файла.
    • Размер файла.
    • Атрибуты файла.
    • Дату и время создания файла.
    • Дату и время последнего изменения файла.
    • MD5 и SHA256-хеши объекта.
    • Информацию о пользователе и группе, владеющих файлом (имя и индентификатор).
  • Данные о запущенных процессах:
    • Уникальный идентификатор файла процесса.
    • Параметры запуска процесса.
    • Идентификаторы процесса.
    • Идентификатор сессии.
    • Дату и время запуска процесса.
    • Информацию о пользователе и группе, от имени которых запущен процесс (имя и индентификатор).
  • Информацию об обнаруженных и обработанных угрозах:
    • Название обнаруженной угрозы и технологии, обнаружившей угрозу, согласно классификации "Лаборатории Касперского".
    • Версию баз приложения.
    • Веб-адрес, с которого был загружен зараженный объект.
    • Статус обработки угрозы.
    • Причину невозможности устранения угрозы.
    • Уникальный идентификатор файла угрозы.
  • Данные об изменении файлов:
    • Уникальный идентификатор изменившегося файла.
    • Уникальный идентификатор процесса, совершившего изменения.
    • Информацию о произошедшем изменении.
  • Данные об изменениях в системе:
    • Уникальный идентификатор процесса, совершившего изменения.
    • Информация о произошедшем изменении.
  • Информацию о входе пользователя в систему:
    • Идентификатор сессии.
    • Информация о пользователе (имя и индентификатор).
    • IP адрес устройства, с которого установлена сессия.
  • Данные о завершающихся процессах: уникальный идентификатор процесса.

Также указанная информация может сохраняться в файлах трассировки и файлах дампа.