Kaspersky Anti Targeted Attack Platform (EDR)
Todos os dados que o aplicativo armazena localmente são excluídos do computador quando o Kaspersky Endpoint Security é desinstalado.
Dados de serviço
O agente integrado do Kaspersky Endpoint Security armazena os seguintes dados localmente:
- Arquivos processados e dados inseridos pelo usuário durante a configuração do agente integrado do Kaspersky Endpoint Security:
- Arquivos na Quarentena
- Configurações do agente integrado do Kaspersky Endpoint Security:
- Chave pública do certificado usada para integração com o nó central
- Dados da licença
- Dados necessários para integração com o nó central:
- Fila de pacotes de eventos de telemetria
- Cache de identificadores de arquivo IOC recebidos a partir do nó central
- Objetos a serem passados para o servidor na tarefa Obter o arquivo
- Os relatórios de resultados da tarefa Obter perícia
Dados em solicitações ao KATA (EDR)
Ao fazer a integração com a Kaspersky Anti Targeted Attack Platform, os seguintes dados são armazenados localmente no computador:
Solicitações dos dados do agente integrado do Kaspersky Endpoint Security ao componente Central Node:
- Em solicitações de sincronização:
- ID único
- Parte básica do endereço da Web do servidor
- Nome do computador
- Endereço IP do computador
- Endereço MAC do computador
- Hora local no computador
- Status de autodefesa do Kaspersky Endpoint Security
- Nome e versão do sistema operacional instalado no computador
- Versão do Kaspersky Endpoint Security
- Versões das configurações do aplicativo e configurações de tarefas
- Status de tarefas: identificadores de tarefas, status de execução, códigos de erro
- Nas solicitações de obtenção de arquivos do servidor:
- Identificadores exclusivos de arquivos
- Identificador exclusivo do Kaspersky Endpoint Security
- Identificadores exclusivos de certificados
- Parte básica do endereço da Web do servidor com o componente Central Node instalado
- Endereço IP do host
- Nos relatórios sobre os resultados da execução da tarefa:
- Endereço IP do host
- Informações sobre os objetos detectados durante uma verificação de IOC ou verificação YARA
- Sinais das ações adicionais realizadas após a conclusão das tarefas
- Erros de execução de tarefas e códigos de retorno
- Status de conclusão da tarefa
- Tempo de conclusão da tarefa
- Versões das configurações usadas para a execução de tarefas
- Informações sobre os objetos enviados ao servidor, objetos em quarentena e objetos restaurados da quarentena: caminhos para objetos, hashes MD5 e SHA256, identificadores de objetos em quarentena
- Informações sobre os processos iniciados ou interrompidos em um computador na solicitação do servidor: PID e UniquePID, código de erro, hashes MD5 e SHA256 dos objetos
- Informações sobre os serviços iniciados ou interrompidos em um computador na solicitação do servidor: nome do serviço, tipo de inicialização, código de erro, hashes MD5 e SHA256 de imagens de arquivo dos serviços
- Informações sobre os objetos para os quais um despejo de memória foi feito por uma verificação YARA (caminhos, identificador de arquivo de despejo)
- Arquivos solicitados pelo servidor
- Pacotes de telemetria
- Dados sobre processos em execução:
- Nome do arquivo executável, inclusive caminho completo e extensão
- Parâmetros de execução automática do processo
- ID do processo
- ID da sessão de login
- Nome da sessão de login
- Data e hora de início do processo
- Hashes MD5 e SHA256 do objeto
- Dados nos arquivos:
- Caminho do arquivo
- Nome do arquivo
- Tamanho do arquivo
- Atributos do arquivo
- Data e hora de criação do arquivo
- Data e hora em que o arquivo foi modificado pela última vez
- Descrição do arquivo
- Nome da empresa
- Hashes MD5 e SHA256 do objeto
- Chave do registro (para pontos de execução automática)
- Dados de erros que ocorrem quando as informações sobre os objetos foram recuperadas:
- Nome completo do objeto que foi processado quando ocorreu um erro
- Código do erro
- Dados de telemetria:
- Endereço IP do host
- Tipo de dados no registro antes da operação de atualização confirmada
- Dados na chave do registro antes da operação de alteração confirmada
- O texto do script processado ou parte dele
- Tipo do objeto processado
- Maneira de enviar um comando para o interpretador de comandos
Dados das solicitações do componente do nó central para o agente integrado do Kaspersky Endpoint Security:
- Configurações da tarefa:
- Tipo de tarefa
- Configurações do agendamento de tarefas
- Nomes e senhas das contas nas quais as tarefas podem ser executadas
- Versões de configurações
- Identificadores de objetos em quarentena
- Caminhos para o objetos
- Hashes MD5 e SHA256 dos objetos
- Linha de comando para iniciar o processo com os argumentos
- Sinais das ações adicionais realizadas após a conclusão das tarefas
- Identificadores de arquivo IOC a serem recuperados do servidor
- Arquivos IOC
- Nome do serviço
- Tipo de inicialização do serviço
- Pastas para as quais os resultados da tarefa Obter perícia devem ser recebidos
- Máscaras dos nomes dos objetos e extensões para a tarefa Obter perícia
- Configurações de isolamento de rede:
- Tipos de configurações
- Versões de configurações
- Listas de exclusões de isolamento de rede e configurações de exclusão: direção do tráfego, endereços IP, portas, protocolos e caminhos completos para arquivos executáveis
- Sinais das ações adicionais
- Tempo de desativação do isolamento automático
- Configurações de prevenção de execução
- Tipos de configurações
- Versões de configurações
- Listas de regras de prevenção de execução e configurações de regras: caminhos para objetos, tipos de objetos, hashes MD5 e SHA256 de objetos
- Sinais das ações adicionais
- Configurações de filtragem de eventos:
- Nomes dos módulos
- Caminhos completos para objetos
- Hashes MD5 e SHA256 dos objetos
- Identificadores das entradas no log de eventos do Windows
- Configurações de certificado digital
- Direção do tráfego, endereços IP, portas, protocolos, caminhos completos para arquivos executáveis
- Nomes de usuário
- Tipos de logon de usuário
- Tipos de eventos de telemetria para os quais os filtros são aplicados
Dados nos resultados da verificação YARA
O agente integrado do Kaspersky Endpoint Security transfere automaticamente os resultados da verificação YARA para a Kaspersky Anti Targeted Attack Platform para criar uma cadeia de evolução de ameaças.
Os dados são temporariamente armazenados em fila local para enviar os resultados da execução da tarefa para o servidor da Kaspersky Anti Targeted Attack Platform. Os dados são excluídos do armazenamento temporário depois de enviados.
Os resultados da verificação YARA contêm os seguintes dados:
- Hashes MD5 e SHA256 do arquivo
- Nome completo do arquivo
- Caminho do arquivo
- Tamanho do arquivo
- Nome do processo
- Argumentos do processo
- Caminho para o arquivo do processo
- Identificador do Windows (PID) do processo
- Identificador do Windows (PID) do processo principal
- Conta de usuário que iniciou o processo
- Data e hora de início do processo