Kaspersky Anti Targeted Attack Platform (EDR)

Todos os dados que o aplicativo armazena localmente são excluídos do computador quando o Kaspersky Endpoint Security é desinstalado.

Dados de serviço

O agente integrado do Kaspersky Endpoint Security armazena os seguintes dados localmente:

• Arquivos processados e dados inseridos pelo usuário durante a configuração do agente integrado do Kaspersky Endpoint Security:
  • Arquivos na Quarentena
  • Configurações do agente integrado do Kaspersky Endpoint Security:
    • Chave pública do certificado usada para integração com o nó central
    • Dados da licença
• Dados necessários para integração com o nó central:
  • Fila de pacotes de eventos de telemetria
  • Cache de identificadores de arquivo IOC recebidos a partir do nó central
  • Objetos a serem passados para o servidor na tarefa Obter o arquivo
  • Os relatórios de resultados da tarefa Obter perícia

Dados em solicitações ao KATA (EDR)

Ao fazer a integração com a Kaspersky Anti Targeted Attack Platform, os seguintes dados são armazenados localmente no computador:

Solicitações dos dados do agente integrado do Kaspersky Endpoint Security ao componente Central Node:

• Em solicitações de sincronização:
  • ID único
  • Parte básica do endereço da Web do servidor
  • Nome do computador
  • Endereço IP do computador
  • Endereço MAC do computador
  • Hora local no computador
  • Status de autodefesa do Kaspersky Endpoint Security
  • Nome e versão do sistema operacional instalado no computador
  • Versão do Kaspersky Endpoint Security
  • Versões das configurações do aplicativo e configurações de tarefas
  • Status de tarefas: identificadores de tarefas, status de execução, códigos de erro
• Nas solicitações de obtenção de arquivos do servidor:
  • Identificadores exclusivos de arquivos
  • Identificador exclusivo do Kaspersky Endpoint Security
  • Identificadores exclusivos de certificados
  • Parte básica do endereço da Web do servidor com o componente Central Node instalado
  • Endereço IP do host
• Nos relatórios sobre os resultados da execução da tarefa:
  • Endereço IP do host
  • Informações sobre os objetos detectados durante uma verificação de IOC ou verificação YARA
  • Sinais das ações adicionais realizadas após a conclusão das tarefas
  • Erros de execução de tarefas e códigos de retorno
  • Status de conclusão da tarefa
  • Tempo de conclusão da tarefa
  • Versões das configurações usadas para a execução de tarefas
  • Informações sobre os objetos enviados ao servidor, objetos em quarentena e objetos restaurados da quarentena: caminhos para objetos, hashes MD5 e SHA256, identificadores de objetos em quarentena
  • Informações sobre os processos iniciados ou interrompidos em um computador na solicitação do servidor: PID e UniquePID, código de erro, hashes MD5 e SHA256 dos objetos
  • Informações sobre os serviços iniciados ou interrompidos em um computador na solicitação do servidor: nome do serviço, tipo de inicialização, código de erro, hashes MD5 e SHA256 de imagens de arquivo dos serviços
  • Informações sobre os objetos para os quais um despejo de memória foi feito por uma verificação YARA (caminhos, identificador de arquivo de despejo)
  • Arquivos solicitados pelo servidor
  • Pacotes de telemetria
  • Dados sobre processos em execução:
    • Nome do arquivo executável, inclusive caminho completo e extensão
    • Parâmetros de execução automática do processo
    • ID do processo
    • ID da sessão de login
    • Nome da sessão de login
    • Data e hora de início do processo
    • Hashes MD5 e SHA256 do objeto
  • Dados nos arquivos:
    • Caminho do arquivo
    • Nome do arquivo
    • Tamanho do arquivo
    • Atributos do arquivo
    • Data e hora de criação do arquivo
    • Data e hora em que o arquivo foi modificado pela última vez
    • Descrição do arquivo
    • Nome da empresa
    • Hashes MD5 e SHA256 do objeto
    • Chave do registro (para pontos de execução automática)
  • Dados de erros que ocorrem quando as informações sobre os objetos foram recuperadas:
    • Nome completo do objeto que foi processado quando ocorreu um erro
    • Código do erro
• Dados de telemetria:
  • Endereço IP do host
  • Tipo de dados no registro antes da operação de atualização confirmada
  • Dados na chave do registro antes da operação de alteração confirmada
  • O texto do script processado ou parte dele
  • Tipo do objeto processado
  • Maneira de enviar um comando para o interpretador de comandos

Dados das solicitações do componente do nó central para o agente integrado do Kaspersky Endpoint Security:

• Configurações da tarefa:
  • Tipo de tarefa
  • Configurações do agendamento de tarefas
  • Nomes e senhas das contas nas quais as tarefas podem ser executadas
  • Versões de configurações
  • Identificadores de objetos em quarentena
  • Caminhos para o objetos
  • Hashes MD5 e SHA256 dos objetos
  • Linha de comando para iniciar o processo com os argumentos
  • Sinais das ações adicionais realizadas após a conclusão das tarefas
  • Identificadores de arquivo IOC a serem recuperados do servidor
  • Arquivos IOC
  • Nome do serviço
  • Tipo de inicialização do serviço
  • Pastas para as quais os resultados da tarefa Obter perícia devem ser recebidos
  • Máscaras dos nomes dos objetos e extensões para a tarefa Obter perícia
• Configurações de isolamento de rede:
  • Tipos de configurações
  • Versões de configurações
  • Listas de exclusões de isolamento de rede e configurações de exclusão: direção do tráfego, endereços IP, portas, protocolos e caminhos completos para arquivos executáveis
  • Sinais das ações adicionais
  • Tempo de desativação do isolamento automático
• Configurações de prevenção de execução
  • Tipos de configurações
  • Versões de configurações
  • Listas de regras de prevenção de execução e configurações de regras: caminhos para objetos, tipos de objetos, hashes MD5 e SHA256 de objetos
  • Sinais das ações adicionais
• Configurações de filtragem de eventos:
  • Nomes dos módulos
  • Caminhos completos para objetos
  • Hashes MD5 e SHA256 dos objetos
  • Identificadores das entradas no log de eventos do Windows
  • Configurações de certificado digital
  • Direção do tráfego, endereços IP, portas, protocolos, caminhos completos para arquivos executáveis
  • Nomes de usuário
  • Tipos de logon de usuário
  • Tipos de eventos de telemetria para os quais os filtros são aplicados

Dados nos resultados da verificação YARA

O agente integrado do Kaspersky Endpoint Security transfere automaticamente os resultados da verificação YARA para a Kaspersky Anti Targeted Attack Platform para criar uma cadeia de evolução de ameaças.

Os dados são temporariamente armazenados em fila local para enviar os resultados da execução da tarefa para o servidor da Kaspersky Anti Targeted Attack Platform. Os dados são excluídos do armazenamento temporário depois de enviados.

Os resultados da verificação YARA contêm os seguintes dados:

• Hashes MD5 e SHA256 do arquivo
• Nome completo do arquivo
• Caminho do arquivo
• Tamanho do arquivo
• Nome do processo
• Argumentos do processo
• Caminho para o arquivo do processo
• Identificador do Windows (PID) do processo
• Identificador do Windows (PID) do processo principal
• Conta de usuário que iniciou o processo
• Data e hora de início do processo