Kaspersky Anti Targeted Attack Platform (EDR)
Tutti i dati che l'applicazione archivia in locale nel computer vengono eliminati dal computer quando Kaspersky Endpoint Security viene disinstallato.
Dati di servizio
L'agente integrato di Kaspersky Endpoint Security archivia in locale i seguenti dati:
- File elaborati e dati immessi dall'utente durante la configurazione dell'agente integrato di Kaspersky Endpoint Security:
- File in quarantena
- Impostazioni dell'agente integrato di Kaspersky Endpoint Security:
- Chiave pubblica del certificato utilizzato per l'integrazione con Central Node
- Dati di licenza
- Dati richiesti per l'integrazione con Central Node:
- Coda di pacchetti di eventi di telemetria
- Cache degli identificatori di file IOC ricevuti da Central Node
- Oggetti da passare al server all'interno dell'attività Ottieni file
- I rapporti dei risultati delle attività di recupero dei dati forensi
Dati nelle richieste a KATA (EDR)
Durante l'integrazione con Kaspersky Anti Targeted Attack Platform, i seguenti dati vengono archiviati in locale nel computer:
Dati provenienti dall'agente integrato delle richieste di Kaspersky Endpoint Security al componente Central Node:
- Nelle richieste di sincronizzazione:
- ID univoco
- Parte di base dell'indirizzo Web del server
- Nome del computer
- Indirizzo IP del computer
- Indirizzo MAC del computer
- Ora locale sul computer
- Stato di Auto-difesa di Kaspersky Endpoint Security
- Nome e versione del sistema operativo installato nel computer
- Versione di Kaspersky Endpoint Security
- Versioni delle impostazioni dell'applicazione e delle impostazioni delle attività
- Stati delle attività: identificatori delle attività, stati di esecuzione, codici di errore
- Nelle richieste di recupero di file dal server:
- Identificatori univoci dei file
- Identificatore univoco di Kaspersky Endpoint Security
- Identificatori univoci dei certificati
- Parte di base dell'indirizzo Web del server con il componente Central Node installato
- Indirizzo IP dell'host
- Nei rapporti sui risultati dell'esecuzione delle attività:
- Indirizzo IP dell'host
- Informazioni sugli oggetti rilevati durante una scansione IOC o YARA
- Contrassegni delle azioni aggiuntive eseguite al completamento delle attività
- Errori di esecuzione delle attività e codici restituiti
- Stati di completamento delle attività
- Ora di completamento delle attività
- Versioni delle impostazioni utilizzate per l'esecuzione delle attività
- Informazioni sugli oggetti inviati al server, oggetti in quarantena e oggetti ripristinati dalla quarantena: percorsi degli oggetti, hash MD5 e SHA256, identificatori degli oggetti in quarantena
- Informazioni sui processi avviati o arrestati in un computer su richiesta del server: PID e UniquePID, codice di errore, hash MD5 e SHA256 degli oggetti
- Informazioni sui servizi avviati o arrestati in un computer su richiesta del server: nome del servizio, tipo di avvio, codice di errore, hash MD5 e SHA256 delle immagini dei file dei servizi
- Informazioni sugli oggetti per i quali è stato creato un dump della memoria per una scansione YARA (percorsi, identificatore del file dump)
- File richiesti dal server
- Pacchetti di telemetria
- Dati sui processi in esecuzione:
- Nome del file eseguibile, incluso il percorso completo e l'estensione
- Parametri di esecuzione automatica dei processi
- ID processo
- ID della sessione di accesso
- Nome della sessione di accesso
- Data e ora in cui è stato avviato il processo
- Hash MD5 e SHA256 dell'oggetto
- Dati sui file:
- Percorso del file
- Nome file
- Dimensione del file
- Attributi del file
- Data e ora di creazione del file
- Data e ora dell'ultima modifica del file
- Descrizione del file
- Nome dell'azienda
- Hash MD5 e SHA256 dell'oggetto
- Chiave del Registro di sistema (per i punti di esecuzione automatica)
- Dati negli errori che si verificano quando sono state recuperate le informazioni sugli oggetti:
- Nome completo dell'oggetto che è stato elaborato quando si è verificato un errore
- Codice di errore
- Dati di telemetria:
- Indirizzo IP dell'host
- Tipo di dati nel Registro di sistema prima dell'operazione di aggiornamento confermata
- Dati nella chiave del Registro di sistema prima dell'operazione di modifica confermata
- Il testo dello script elaborato o parte di esso
- Tipo dell'oggetto elaborato
- Modalità di passaggio di un comando all'interprete dei comandi
Dati dalle richieste del componente Central Node all'agente integrato di Kaspersky Endpoint Security:
- Impostazioni delle attività:
- Tipo di attività
- Impostazioni di pianificazione delle attività
- Nomi e password degli account con cui è possibile eseguire le attività
- Versioni delle impostazioni
- Identificatori di oggetti in quarantena
- Percorsi degli oggetti
- Hash MD5 e SHA256 degli oggetti
- Riga di comando per avviare il processo con gli argomenti
- Contrassegni delle azioni aggiuntive eseguite al completamento delle attività
- Identificatori dei file IOC da recuperare dal server
- File IOC
- Nome servizio
- Tipo di avvio del servizio
- Cartelle per cui devono essere ricevuti i risultati dell'attività di recupero dei dati forensi
- Maschere dei nomi e delle estensioni degli oggetti per l'attività di recupero dei dati forensi
- Impostazioni dell'isolamento di rete:
- Tipi di impostazioni
- Versioni delle impostazioni
- Elenchi di esclusioni dell'isolamento di rete e impostazioni di esclusione: direzione del traffico, indirizzi IP, porte, protocolli e percorsi completi dei file eseguibili
- Contrassegni delle azioni aggiuntive
- Ora di disabilitazione dell'isolamento automatico
- Impostazioni di Prevenzione dell'esecuzione
- Tipi di impostazioni
- Versioni delle impostazioni
- Elenchi di regole di prevenzione dell'esecuzione e impostazioni delle regole: percorsi degli oggetti, tipi di oggetti, hash MD5 e SHA256 degli oggetti
- Contrassegni delle azioni aggiuntive
- Impostazioni di filtraggio degli eventi:
- Nomi dei moduli
- Percorsi completi degli oggetti
- Hash MD5 e SHA256 degli oggetti
- Identificatori delle voci nel registro eventi di Windows
- Impostazioni dei certificati digitali
- Direzione del traffico, indirizzi IP, porte, protocolli, percorsi completi dei file eseguibili
- Nomi utente
- Tipi di accesso utente
- Tipi di eventi di telemetria per i quali vengono applicati i filtri
Dati nei risultati della scansione YARA
L'agente integrato di Kaspersky Endpoint Security trasferisce automaticamente i risultati della scansione YARA a Kaspersky Anti Targeted Attack Platform per creare una catena di sviluppo delle minacce.
I dati vengono archiviati temporaneamente in locale nella coda per l'invio dei risultati dell'esecuzione dell'attività al server di Kaspersky Anti Targeted Attack Platform. I dati vengono eliminati dalla memoria temporanea una volta inviati.
I risultati della scansione YARA contengono i seguenti dati:
- Hash MD5 e SHA256 del file
- Nome completo del file
- Percorso del file
- Dimensione del file
- Nome del processo
- Argomenti di processo
- Percorso del file di processo
- Identificatore di Windows (PID) del processo
- Identificatore di Windows (PID) del processo entità superiore
- Account utente che ha avviato il processo
- Data e ora in cui è stato avviato il processo