Поддержка

Поддержка приложений для бизнеса

Kaspersky Endpoint Security 12 для Windows

Предоставление данных

Предоставление данных при использовании решений Detection and Response

Kaspersky Anti Targeted Attack Platform (EDR)

Kaspersky Endpoint Security 12 для Windows
Нет результатов
Нет результатов
База знаний Онлайн-справка
Советы и решения FAQ Скачать Купить Продлить Форум Запрос в поддержку Утилиты для лечения

Kaspersky Anti Targeted Attack Platform (EDR)

11 апреля 2024

ID 249510

Скачать PDF

Все данные, которые приложение хранит локально на компьютере, будут удалены с компьютера при удалении Kaspersky Endpoint Security.

Служебные данные

Встроенный агент Kaspersky Endpoint Security хранит локально следующие данные:

  • Обрабатываемые файлы и данные, передаваемые пользователем в ходе настройки параметров встроенного агента Kaspersky Endpoint Security:
    • Файлы на карантине.
    • Параметры встроенного агента Kaspersky Endpoint Security:
      • Открытый ключ сертификата для интеграции с Central Node.
      • Данные о лицензии.
  • Данные, необходимые для интеграции с компонентом Central Node:
    • Очередь пакетов событий телеметрии.
    • Кеш идентификаторов IOC-файлов, полученных от компонента Central Node.
    • Объекты для передачи на сервер в рамках задачи Получить файл.
    • Отчеты о результатах задачи Сбор форензик.

Данные из запросов к KATA (EDR)

При интеграции с решением Kaspersky Anti Targeted Attack Platform следующие данные хранятся локально на компьютерах.

Данные из запросов от встроенного агента Kaspersky Endpoint Security к компоненту Central Node:

  • В запросах на синхронизацию:
    • Уникальный идентификатор.
    • Базовая часть веб-адреса сервера.
    • Имя компьютера.
    • IP-адрес компьютера.
    • MAC-адрес компьютера.
    • Локальное время на компьютере.
    • Статус самозащиты Kaspersky Endpoint Security.
    • Имя и версия операционной системы, установленной на компьютере.
    • Версия Kaspersky Endpoint Security.
    • Версии параметров приложения и параметров задач.
    • Состояние задач (идентификаторы задач, статусы выполнения, коды ошибок).
  • В запросах на получение файлов с сервера:
    • Уникальные идентификаторы файлов.
    • Уникальный идентификатор Kaspersky Endpoint Security.
    • Уникальные идентификаторы задач.
    • Базовая часть веб-адреса сервера с компонентом Central Node.
    • IP-адрес узла.
  • В отчетах о результатах выполнения задач:
    • IP-адрес узла.
    • Информация об объектах, обнаруженных при поиске IOC или YARA-проверке.
    • Флаги дополнительных действий, выполняемых по завершении задач.
    • Ошибки выполнения задач и коды возврата.
    • Статусы, с которыми завершались задачи.
    • Время завершения выполнения задач.
    • Версии параметров, с которыми выполнялись задачи.
    • Информация об объектах, переданных на сервер, помещенных на карантин, восстановленных из карантина: пути к объектам, MD5 и SHA256-хеши объектов, идентификаторы объектов на карантине.
    • Информация о процессах, запущенных или остановленных на компьютере по запросу сервера: PID и UniquePID, код ошибки, MD5 и SHA256-хеши объектов.
    • Информация о службах, запущенных или остановленных на компьютере по запросу сервера (имя службы, тип запуска, код ошибки, MD5 и SHA256-хеши файловых образов служб).
    • Информация об объектах, для которых был снят дамп памяти для YARA-проверки (пути, идентификатор файла дампа).
    • Файлы, запрошенные сервером.
    • Пакеты телеметрии.
    • Данные о запущенных процессах:
      • Имя исполняемого файла, включая полный путь и расширение.
      • Параметры автозапуска процесса.
      • Идентификатор процесса.
      • Код сеанса входа в систему.
      • Имя сеанса входа в систему.
      • Дата и время запуска процесса.
      • MD5 и SHA256-хеши объекта.
    • Данные о файлах:
      • Путь к файлу.
      • Имя файла.
      • Размер файла.
      • Атрибуты файла.
      • Дата и время создания файла.
      • Дата и время последнего изменения файла.
      • Описание файла.
      • Название компании.
      • MD5 и SHA256-хеши объекта.
      • Раздел реестра (для точек автозапуска).
    • Данные в ошибках получения информации об объектах:
      • Полное имя объекта, при обработке которого возникла ошибка.
      • Код ошибки.
  • Данные телеметрии:
    • IP-адрес узла.
    • Тип данных в реестре до зафиксированной операции изменения.
    • Данные в ключе реестра до зафиксированной операции изменения.
    • Текст обрабатываемого скрипта или его части.
    • Тип обрабатываемого объекта.
    • Способ передачи команды в командный интерпретатор.

Данные из запросов от Central Node к встроенному агенту Kaspersky Endpoint Security:

  • Параметры задач:
    • Типы задач.
    • Параметры расписания запуска задач.
    • Имена и пароли учетных записей, под которыми необходимо запускать задачи.
    • Версии параметров.
    • Идентификаторы объектов на карантине.
    • Пути к объектам.
    • MD5 и SHA256-хеши объектов.
    • Командная строка запуска процесса с аргументами.
    • Флаги дополнительных действий, выполняемых по завершении задачи.
    • Идентификаторы IOC-файлов, которые нужно получить с сервера.
    • IOC-файлы.
    • Наименование служб.
    • Тип запуска служб.
    • Папки, для которых необходимо получить результаты задачи Сбор форензик.
    • Маски имен объектов и расширений для задачи Сбор форензик.
  • Параметры Сетевой изоляции:
    • Типы параметров.
    • Версии параметров.
    • Списки исключений из Сетевой изоляции и параметры исключений: направление трафика, IP-адреса, порты, протоколы, полные пути к исполняемым файлам.
    • Флаги дополнительных действий.
    • Время автоматического отключения изоляции.
  • Параметры Запрета запуска объектов:
    • Типы параметров.
    • Версии параметров.
    • Списки правил Запрета запуска объектов и параметры правил: пути к объектам, типы объектов, MD5 и SHA256-хеши объектов.
    • Флаги дополнительных действий.
  • Параметры фильтрации событий:
    • Имена модулей.
    • Полные пути к объектам.
    • MD5 и SHA256-хеши объектов.
    • Идентификаторы записей в журнале событий Windows.
    • Параметры цифровых сертификатов.
    • Направление трафика, IP-адреса, порты, протоколы, полные пути к исполняемым файлам.
    • Имена пользователей.
    • Типы входа пользователей.
    • Типы событий телеметрии, для которых применяются фильтры.

Данные о результатах YARA-проверки

Встроенный агент Kaspersky Endpoint Security автоматически передает данные результатов YARA-проверки в Kaspersky Anti Targeted Attack Platform для построения цепочки развития угрозы.

Данные временно хранятся локально в очереди отправки результатов выполнения задач на сервер Kaspersky Anti Targeted Attack Platform. После отправки данные удаляются.

Данные о результатах YARA-проверки содержат следующую информацию:

  • MD5 и SHA256-хеши файла.
  • Полное имя файла.
  • Путь к файлу.
  • Размер файла.
  • Имя процесса.
  • Аргументы процесса.
  • Путь к файлу процесса.
  • Windows идентификатор процесса (PID).
  • Windows идентификатор родительского процесса (PID).
  • Имя учетной записи пользователя, запустившего процесс.
  • Дата и время запуска процесса.

Kaspersky Endpoint Security для Windows — обнаружение даже продвинутых угроз
Системы контроля для предотвращения кражи ценной информации. Управление из единой консоли. Купите в составе Endpoint Security для бизнеса Расширенный.
Расширенная техническая поддержка (MSA) — приоритетная обработка инцидентов
Поддержка по телефону или через веб‑портал. Быстрое реагирование, мониторинг и проверка. Подайте заявку и активируйте контракт.
Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!