使用 Kaspersky Anti Targeted Attack Platform 时提供的数据
使用 Kaspersky Anti Targeted Attack Platform 时提供的数据
2023年12月20日
ID 250632
将 Kaspersky Endpoint Security 与 Kaspersky Anti Targeted Attack Platform 集成时,Kaspersky Endpoint Security 存储并向 Kaspersky Security Center 发送以下信息,其中可能包含个人和机密数据:
- 服务数据:
- KATA 服务器地址
- 用于与 EDR (KATA) 组件集成的服务器证书的公钥
- 包含用于与 EDR (KATA) 组件集成的客户端证书的加密容器
- 用于在代理服务器上进行身份验证的凭据
- 与 KATA 服务器同步的频率设置以及向 KATA 服务器发送数据的设置
- 与 KATA 服务器的连接状态以及有关客户端证书和服务器证书错误的信息
将 Kaspersky Endpoint Security 与 Kaspersky Anti Targeted Attack Platform 集成时,Kaspersky Endpoint Security 会存储以下信息并可能将其发送到 KATA 服务器:
- 对 EDR (KATA) 组件的同步请求的信息:
- 唯一标识符
- 服务器地址的基本部分
- 设备名称
- 设备的 IP 地址
- 设备的 MAC 地址
- 设备上的本地时间
- 设备上安装的操作系统的名称和版本
- Kaspersky Endpoint Security 的版本
- 应用程序设置和任务设置的版本
- 任务状态(任务标识符、状态、错误代码)
- 任务执行报告中对 EDR (KATA) 组件的请求信息:
- 设备的 IP 地址
- 任务执行错误和返回代码
- 任务完成状态
- 任务完成时间
- 使用的任务设置版本
- 有关应服务器请求在设备上启动或停止的进程的信息:PID 和 UniquePID、错误代码、对象的 MD5 和 SHA-256 校验和
- 服务器请求的文件
- 遥测数据包
- 有关正在运行的进程的信息:
- 可执行文件名,包括完整路径和扩展名
- 进程启动设置
- 进程标识符
- 系统登录会话代码
- 系统登录会话名称
- 进程启动日期和时间
- 校验和(MD5 和 SHA-256)
- 有关文件的信息:
- 文件路径
- 文件名
- 文件大小
- 文件属性
- 文件创建日期和时间
- 上次修改文件的日期和时间
- 校验和(MD5 和 SHA-256)
- 有关获取对象信息时出现的错误的信息:
- 发生错误时正在处理的对象的全名
- 错误代码
- 从 KATA 服务器到 Kaspersky Endpoint Security 内置代理的请求的信息(任务设置):
- 任务类型
- 任务启动计划设置
- 用于启动任务的账户名称和密码
- 设置的版本
- 对象的路径
- 对象的校验和(MD5 和 SHA-256)
- 用于启动进程的命令行(包括参数)
- 服务描述
- 服务启动类型
- KATA 服务器发送给 Kaspersky Endpoint Security 内置代理的响应的参数:
- 获取文件任务:
- 文件或目录的完整路径
- 哈希算法可能值:MD5 和/或 SHA-256
- 文件的校验和(MD5 和 SHA-256)
- 删除文件任务:
- 确认删除,或发生错误。
- 运行进程任务:
- 用于启动进程的可执行文件的完整路径
- 进程的命令行
- 进程工作目录的完整路径
- 终止进程任务:
- 进程的唯一 PID。
- 进程的系统 PID。
- 进程终止错误代码(如果进程成功终止,则为 0)。
- IOC 扫描任务:
- 扫描结果(是否检测到每个指标、找到的对象以及检测到指标的哪个分支的信息)。
对于检测到指标的对象,根据其类型返回不同的值:
- ArpEntry:ARP表中的 IP 地址(包括ipv6),ARP表中的物理地址。
- 文件:文件的 MD5 哈希值、文件的 SHA-256 哈希值、完整文件名(包括路径)、文件大小。
- 端口:扫描时用于建立连接的远程 IP 地址和端口;本地适配器的 IP 地址和端口;协议类型(TCP、UDP、IP、RAWIP)。
- 进程:进程名称;进程参数;进程文件的路径;进程的系统PID;父进程的系统 PID;进程运行的用户名;进程开始的日期和时间。
- SystemInfo:操作系统名称;操作系统版本;没有域的计算机的网络名称;域或工作组。
- 用户:用户名
- 获取文件任务:
- 网络隔离:
- 网络隔离状态。
Did you find this article helpful?
What can we do better?
Thank you for your feedback! You're helping us improve.
Thank you for your feedback! You're helping us improve.