Kaspersky Anti Targeted Attack Platform (EDR)

13 февраля 2024

ID 249510

Все данные, которые приложение хранит локально на компьютере, будут удалены с компьютера при удалении Kaspersky Endpoint Security.

Служебные данные

Встроенный агент Kaspersky Endpoint Security хранит локально следующие данные:

  • Обрабатываемые файлы и данные, передаваемые пользователем в ходе настройки параметров встроенного агента Kaspersky Endpoint Security:
    • Файлы на карантине.
    • Параметры встроенного агента Kaspersky Endpoint Security:
      • Открытый ключ сертификата для интеграции с Central Node.
      • Данные о лицензии.
  • Данные, необходимые для интеграции с компонентом Central Node:
    • Очередь пакетов событий телеметрии.
    • Кеш идентификаторов IOC-файлов, полученных от компонента Central Node.
    • Объекты для передачи на сервер в рамках задачи Получить файл.
    • Отчеты о результатах задачи Сбор форензик.

Данные из запросов к KATA (EDR)

При интеграции с решением Kaspersky Anti Targeted Attack Platform следующие данные хранятся локально на компьютерах.

Данные из запросов от встроенного агента Kaspersky Endpoint Security к компоненту Central Node:

  • В запросах на синхронизацию:
    • Уникальный идентификатор.
    • Базовая часть веб-адреса сервера.
    • Имя компьютера.
    • IP-адрес компьютера.
    • MAC-адрес компьютера.
    • Локальное время на компьютере.
    • Статус самозащиты Kaspersky Endpoint Security.
    • Имя и версия операционной системы, установленной на компьютере.
    • Версия Kaspersky Endpoint Security.
    • Версии параметров приложения и параметров задач.
    • Состояние задач (идентификаторы задач, статусы выполнения, коды ошибок).
  • В запросах на получение файлов с сервера:
    • Уникальные идентификаторы файлов.
    • Уникальный идентификатор Kaspersky Endpoint Security.
    • Уникальные идентификаторы задач.
    • Базовая часть веб-адреса сервера с компонентом Central Node.
    • IP-адрес узла.
  • В отчетах о результатах выполнения задач:
    • IP-адрес узла.
    • Информация об объектах, обнаруженных при поиске IOC или YARA-проверке.
    • Флаги дополнительных действий, выполняемых по завершении задач.
    • Ошибки выполнения задач и коды возврата.
    • Статусы, с которыми завершались задачи.
    • Время завершения выполнения задач.
    • Версии параметров, с которыми выполнялись задачи.
    • Информация об объектах, переданных на сервер, помещенных на карантин, восстановленных из карантина: пути к объектам, MD5 и SHA256-хеши объектов, идентификаторы объектов на карантине.
    • Информация о процессах, запущенных или остановленных на компьютере по запросу сервера: PID и UniquePID, код ошибки, MD5 и SHA256-хеши объектов.
    • Информация о службах, запущенных или остановленных на компьютере по запросу сервера (имя службы, тип запуска, код ошибки, MD5 и SHA256-хеши файловых образов служб).
    • Информация об объектах, для которых был снят дамп памяти для YARA-проверки (пути, идентификатор файла дампа).
    • Файлы, запрошенные сервером.
    • Пакеты телеметрии.
    • Данные о запущенных процессах:
      • Имя исполняемого файла, включая полный путь и расширение.
      • Параметры автозапуска процесса.
      • Идентификатор процесса.
      • Код сеанса входа в систему.
      • Имя сеанса входа в систему.
      • Дата и время запуска процесса.
      • MD5 и SHA256-хеши объекта.
    • Данные о файлах:
      • Путь к файлу.
      • Имя файла.
      • Размер файла.
      • Атрибуты файла.
      • Дата и время создания файла.
      • Дата и время последнего изменения файла.
      • Описание файла.
      • Название компании.
      • MD5 и SHA256-хеши объекта.
      • Раздел реестра (для точек автозапуска).
    • Данные в ошибках получения информации об объектах:
      • Полное имя объекта, при обработке которого возникла ошибка.
      • Код ошибки.
  • Данные телеметрии:
    • IP-адрес узла.
    • Тип данных в реестре до зафиксированной операции изменения.
    • Данные в ключе реестра до зафиксированной операции изменения.
    • Текст обрабатываемого скрипта или его части.
    • Тип обрабатываемого объекта.
    • Способ передачи команды в командный интерпретатор.

Данные из запросов от Central Node к встроенному агенту Kaspersky Endpoint Security:

  • Параметры задач:
    • Типы задач.
    • Параметры расписания запуска задач.
    • Имена и пароли учетных записей, под которыми необходимо запускать задачи.
    • Версии параметров.
    • Идентификаторы объектов на карантине.
    • Пути к объектам.
    • MD5 и SHA256-хеши объектов.
    • Командная строка запуска процесса с аргументами.
    • Флаги дополнительных действий, выполняемых по завершении задачи.
    • Идентификаторы IOC-файлов, которые нужно получить с сервера.
    • IOC-файлы.
    • Наименование служб.
    • Тип запуска служб.
    • Папки, для которых необходимо получить результаты задачи Сбор форензик.
    • Маски имен объектов и расширений для задачи Сбор форензик.
  • Параметры Сетевой изоляции:
    • Типы параметров.
    • Версии параметров.
    • Списки исключений из Сетевой изоляции и параметры исключений: направление трафика, IP-адреса, порты, протоколы, полные пути к исполняемым файлам.
    • Флаги дополнительных действий.
    • Время автоматического отключения изоляции.
  • Параметры Запрета запуска объектов:
    • Типы параметров.
    • Версии параметров.
    • Списки правил Запрета запуска объектов и параметры правил: пути к объектам, типы объектов, MD5 и SHA256-хеши объектов.
    • Флаги дополнительных действий.
  • Параметры фильтрации событий:
    • Имена модулей.
    • Полные пути к объектам.
    • MD5 и SHA256-хеши объектов.
    • Идентификаторы записей в журнале событий Windows.
    • Параметры цифровых сертификатов.
    • Направление трафика, IP-адреса, порты, протоколы, полные пути к исполняемым файлам.
    • Имена пользователей.
    • Типы входа пользователей.
    • Типы событий телеметрии, для которых применяются фильтры.

Данные о результатах YARA-проверки

Встроенный агент Kaspersky Endpoint Security автоматически передает данные результатов YARA-проверки в Kaspersky Anti Targeted Attack Platform для построения цепочки развития угрозы.

Данные временно хранятся локально в очереди отправки результатов выполнения задач на сервер Kaspersky Anti Targeted Attack Platform. После отправки данные удаляются.

Данные о результатах YARA-проверки содержат следующую информацию:

  • MD5 и SHA256-хеши файла.
  • Полное имя файла.
  • Путь к файлу.
  • Размер файла.
  • Имя процесса.
  • Аргументы процесса.
  • Путь к файлу процесса.
  • Windows идентификатор процесса (PID).
  • Windows идентификатор родительского процесса (PID).
  • Имя учетной записи пользователя, запустившего процесс.
  • Дата и время запуска процесса.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!