Kaspersky Anti Targeted Attack Platform (EDR)
Все данные, которые приложение хранит локально на компьютере, будут удалены с компьютера при удалении Kaspersky Endpoint Security.
Служебные данные
Встроенный агент Kaspersky Endpoint Security хранит локально следующие данные:
- Обрабатываемые файлы и данные, передаваемые пользователем в ходе настройки параметров встроенного агента Kaspersky Endpoint Security:
- Файлы на карантине.
- Параметры встроенного агента Kaspersky Endpoint Security:
- Открытый ключ сертификата для интеграции с Central Node.
- Данные о лицензии.
- Данные, необходимые для интеграции с компонентом Central Node:
- Очередь пакетов событий телеметрии.
- Кеш идентификаторов IOC-файлов, полученных от компонента Central Node.
- Объекты для передачи на сервер в рамках задачи Получить файл.
- Отчеты о результатах задачи Сбор форензик.
Данные из запросов к KATA (EDR)
При интеграции с решением Kaspersky Anti Targeted Attack Platform следующие данные хранятся локально на компьютерах.
Данные из запросов от встроенного агента Kaspersky Endpoint Security к компоненту Central Node:
- В запросах на синхронизацию:
- Уникальный идентификатор.
- Базовая часть веб-адреса сервера.
- Имя компьютера.
- IP-адрес компьютера.
- MAC-адрес компьютера.
- Локальное время на компьютере.
- Статус самозащиты Kaspersky Endpoint Security.
- Имя и версия операционной системы, установленной на компьютере.
- Версия Kaspersky Endpoint Security.
- Версии параметров приложения и параметров задач.
- Состояние задач (идентификаторы задач, статусы выполнения, коды ошибок).
- В запросах на получение файлов с сервера:
- Уникальные идентификаторы файлов.
- Уникальный идентификатор Kaspersky Endpoint Security.
- Уникальные идентификаторы задач.
- Базовая часть веб-адреса сервера с компонентом Central Node.
- IP-адрес узла.
- В отчетах о результатах выполнения задач:
- IP-адрес узла.
- Информация об объектах, обнаруженных при поиске IOC или YARA-проверке.
- Флаги дополнительных действий, выполняемых по завершении задач.
- Ошибки выполнения задач и коды возврата.
- Статусы, с которыми завершались задачи.
- Время завершения выполнения задач.
- Версии параметров, с которыми выполнялись задачи.
- Информация об объектах, переданных на сервер, помещенных на карантин, восстановленных из карантина: пути к объектам, MD5 и SHA256-хеши объектов, идентификаторы объектов на карантине.
- Информация о процессах, запущенных или остановленных на компьютере по запросу сервера: PID и UniquePID, код ошибки, MD5 и SHA256-хеши объектов.
- Информация о службах, запущенных или остановленных на компьютере по запросу сервера (имя службы, тип запуска, код ошибки, MD5 и SHA256-хеши файловых образов служб).
- Информация об объектах, для которых был снят дамп памяти для YARA-проверки (пути, идентификатор файла дампа).
- Файлы, запрошенные сервером.
- Пакеты телеметрии.
- Данные о запущенных процессах:
- Имя исполняемого файла, включая полный путь и расширение.
- Параметры автозапуска процесса.
- Идентификатор процесса.
- Код сеанса входа в систему.
- Имя сеанса входа в систему.
- Дата и время запуска процесса.
- MD5 и SHA256-хеши объекта.
- Данные о файлах:
- Путь к файлу.
- Имя файла.
- Размер файла.
- Атрибуты файла.
- Дата и время создания файла.
- Дата и время последнего изменения файла.
- Описание файла.
- Название компании.
- MD5 и SHA256-хеши объекта.
- Раздел реестра (для точек автозапуска).
- Данные в ошибках получения информации об объектах:
- Полное имя объекта, при обработке которого возникла ошибка.
- Код ошибки.
- Данные телеметрии:
- IP-адрес узла.
- Тип данных в реестре до зафиксированной операции изменения.
- Данные в ключе реестра до зафиксированной операции изменения.
- Текст обрабатываемого скрипта или его части.
- Тип обрабатываемого объекта.
- Способ передачи команды в командный интерпретатор.
Данные из запросов от Central Node к встроенному агенту Kaspersky Endpoint Security:
- Параметры задач:
- Типы задач.
- Параметры расписания запуска задач.
- Имена и пароли учетных записей, под которыми необходимо запускать задачи.
- Версии параметров.
- Идентификаторы объектов на карантине.
- Пути к объектам.
- MD5 и SHA256-хеши объектов.
- Командная строка запуска процесса с аргументами.
- Флаги дополнительных действий, выполняемых по завершении задачи.
- Идентификаторы IOC-файлов, которые нужно получить с сервера.
- IOC-файлы.
- Наименование служб.
- Тип запуска служб.
- Папки, для которых необходимо получить результаты задачи Сбор форензик.
- Маски имен объектов и расширений для задачи Сбор форензик.
- Параметры Сетевой изоляции:
- Типы параметров.
- Версии параметров.
- Списки исключений из Сетевой изоляции и параметры исключений: направление трафика, IP-адреса, порты, протоколы, полные пути к исполняемым файлам.
- Флаги дополнительных действий.
- Время автоматического отключения изоляции.
- Параметры Запрета запуска объектов:
- Типы параметров.
- Версии параметров.
- Списки правил Запрета запуска объектов и параметры правил: пути к объектам, типы объектов, MD5 и SHA256-хеши объектов.
- Флаги дополнительных действий.
- Параметры фильтрации событий:
- Имена модулей.
- Полные пути к объектам.
- MD5 и SHA256-хеши объектов.
- Идентификаторы записей в журнале событий Windows.
- Параметры цифровых сертификатов.
- Направление трафика, IP-адреса, порты, протоколы, полные пути к исполняемым файлам.
- Имена пользователей.
- Типы входа пользователей.
- Типы событий телеметрии, для которых применяются фильтры.
Данные о результатах YARA-проверки
Встроенный агент Kaspersky Endpoint Security автоматически передает данные результатов YARA-проверки в Kaspersky Anti Targeted Attack Platform для построения цепочки развития угрозы.
Данные временно хранятся локально в очереди отправки результатов выполнения задач на сервер Kaspersky Anti Targeted Attack Platform. После отправки данные удаляются.
Данные о результатах YARA-проверки содержат следующую информацию:
- MD5 и SHA256-хеши файла.
- Полное имя файла.
- Путь к файлу.
- Размер файла.
- Имя процесса.
- Аргументы процесса.
- Путь к файлу процесса.
- Windows идентификатор процесса (PID).
- Windows идентификатор родительского процесса (PID).
- Имя учетной записи пользователя, запустившего процесс.
- Дата и время запуска процесса.