Данные, предоставляемые при использовании решения Kaspersky Anti Targeted Attack Platform
Данные, предоставляемые при использовании решения Kaspersky Anti Targeted Attack Platform
При интеграции приложения Kaspersky Endpoint Security с Kaspersky Endpoint Detection and Response (KATA) – компонентом решения Kaspersky Anti Targeted Attack Platform – приложение Kaspersky Endpoint Security сохраняет следующую служебную информацию, которая может содержать персональные и конфиденциальные данные:
- Адреса серверов KATA.
- Открытый ключ сертификата сервера для интеграции с Kaspersky Endpoint Detection and Response (KATA).
- Криптоконтейнер с сертификатом клиента для интеграции с Kaspersky Endpoint Detection and Response (KATA).
- Учетные данные для авторизации на прокси-сервере.
- Параметры частоты синхронизации с сервером KATA и параметры передачи данных на сервер KATA.
- Статус соединения с сервером КАТА и сведения об ошибках сертификата клиента и сертификата сервера.
- Параметры задач, поступающих от серверов КАТА:
- Параметры расписания запуска задач.
- Имена и пароли учетных записей, под которыми требуется запускать задачи.
- Версии параметров.
- Тип запуска служб.
- Названия служб.
- Командную строку запуска процесса с аргументами.
- MD5 и SHA256-хеши объектов.
- Пути к объектам.
- IOC-файлы.
- Параметры изоляции, в соответствии с которыми устройству будет запрещено осуществлять соединение с другими устройствами, кроме указанных в исключениях.
При интеграции приложения Kaspersky Endpoint Security с Kaspersky Endpoint Detection and Response (KATA) приложение Kaspersky Endpoint Security сохраняет и может передавать серверу KATA следующие данные:
- Данные из запросов на синхронизацию к компоненту EDR (KATA):
- Уникальный идентификатор.
- Базовую часть веб-адреса сервера.
- Имя устройства.
- IP-адрес устройства.
- MAC-адрес устройства.
- Локальное время на устройстве.
- Название и версию операционной системы, установленной на устройстве.
- Версию Kaspersky Endpoint Security.
- Дату выпуска используемых баз приложения.
- Состояние лицензии.
- Данные из запросов к компоненту EDR (KATA) в отчетах о результатах выполнения задач:
- IP-адрес устройства.
- Уникальный идентификатор.
- Базовую часть веб-адреса сервера.
- MAC-адрес устройства.
- Ошибки выполнения задач и коды возврата.
- Статусы, с которыми завершались задачи.
- Время завершения выполнения задач.
- Версии параметров, с которыми выполнялись задачи.
- Информацию о процессах, запущенных или остановленных на устройстве по запросу сервера: PID и UniquePID, код ошибки, хеш-суммы MD5 и SHA256 объектов.
- Файлы, запрошенные сервером.
- Данные об ошибках получения информации об объектах: полное имя объекта, при обработке которого возникла ошибка; код ошибки.
- Статус применения сетевой изоляции.
- Для индикаторов IOC возвращаются результаты поиска (сработал или не сработал каждый индикатор; найденные объекты и информация о том, какая ветка индикатора сработала).
- Для объектов, вызвавших срабатывания индикаторов IOC, возвращаются разные значения в зависимости от типа индикаторов:
- ArpEntry: IP-адрес из ARP-таблицы (в том числе ipv6), физический адрес из ARP-таблицы.
- File: MD5-хеш файла, SHA-256-хеш файла, полное имя файла (включая путь), размер файла.
- Port: удаленный IP-адрес и порт, с которым в момент проверки установлено соединение; IP-адрес и порт локального адаптера; тип протокола (TCP, UDP, IP, RAWIP).
- Process: имя процесса; аргументы процесса; путь к файлу процесса; системный PID процесса; системный PID родительского процесса; имя пользователя, от имени которого запущен процесс; дата и время запуска процесса.
- SystemInfo: имя ОС, версия ОС, сетевое имя устройства без домена, домен или рабочая группа.
- User: имя пользователя.
- Данные в пакетах телеметрии:
- Данные о файлах:
- Уникальный идентификатор файла.
- Путь к файлу.
- Имя файла.
- Размер файла.
- Атрибуты файла.
- Дату и время создания файла.
- Дату и время последнего изменения файла.
- MD5 и SHA256-хеши объекта.
- Информацию о пользователе и группе, владеющих файлом (имя и индентификатор).
- Данные о запущенных процессах:
- Уникальный идентификатор файла процесса.
- Параметры запуска процесса.
- Идентификаторы процесса.
- Идентификатор сессии.
- Дату и время запуска процесса.
- Информацию о пользователе и группе, от имени которых запущен процесс (имя и индентификатор).
- Информацию об обнаруженных и обработанных угрозах:
- Название обнаруженной угрозы и технологии, обнаружившей угрозу, согласно классификации "Лаборатории Касперского".
- Версию баз приложения.
- Веб-адрес, с которого был загружен зараженный объект.
- Статус обработки угрозы.
- Причину невозможности устранения угрозы.
- Уникальный идентификатор файла угрозы.
- Данные об изменении файлов:
- Уникальный идентификатор изменившегося файла.
- Уникальный идентификатор процесса, совершившего изменения.
- Информацию о произошедшем изменении.
- Данные об изменениях в системе:
- Уникальный идентификатор процесса, совершившего изменения.
- Информация о произошедшем изменении.
- Информацию о входе пользователя в систему:
- Идентификатор сессии.
- Информация о пользователе (имя и индентификатор).
- IP адрес устройства, с которого установлена сессия.
- Данные о завершающихся процессах: уникальный идентификатор процесса.
- Данные о файлах:
Также указанная информация может сохраняться в файлах трассировки и файлах дампа.
Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!