技术支持

企业产品

Kaspersky Endpoint Security 12 for Linux

数据提供

使用 Kaspersky Anti Targeted Attack Platform 时提供的数据
Kaspersky Endpoint Security 12 for Linux
在线帮助
常见问题解答 下载 购买 续订 论坛 联系支持 恢复工具
Нет результатов
Нет результатов

使用 Kaspersky Anti Targeted Attack Platform 时提供的数据

2023年12月20日

ID 250632

将 Kaspersky Endpoint Security 与 Kaspersky Anti Targeted Attack Platform 集成时,Kaspersky Endpoint Security 存储并向 Kaspersky Security Center 发送以下信息,其中可能包含个人和机密数据:

  • 服务数据:
    • KATA 服务器地址
    • 用于与 EDR (KATA) 组件集成的服务器证书的公钥
    • 包含用于与 EDR (KATA) 组件集成的客户端证书的加密容器
    • 用于在代理服务器上进行身份验证的凭据
    • 与 KATA 服务器同步的频率设置以及向 KATA 服务器发送数据的设置
    • 与 KATA 服务器的连接状态以及有关客户端证书和服务器证书错误的信息

将 Kaspersky Endpoint Security 与 Kaspersky Anti Targeted Attack Platform 集成时,Kaspersky Endpoint Security 会存储以下信息并可能将其发送到 KATA 服务器:

  • 对 EDR (KATA) 组件的同步请求的信息:
    • 唯一标识符
    • 服务器地址的基本部分
    • 设备名称
    • 设备的 IP 地址
    • 设备的 MAC 地址
    • 设备上的本地时间
    • 设备上安装的操作系统的名称和版本
    • Kaspersky Endpoint Security 的版本
    • 应用程序设置和任务设置的版本
    • 任务状态(任务标识符、状态、错误代码)
  • 任务执行报告中对 EDR (KATA) 组件的请求信息:
    • 设备的 IP 地址
    • 任务执行错误和返回代码
    • 任务完成状态
    • 任务完成时间
    • 使用的任务设置版本
    • 有关应服务器请求在设备上启动或停止的进程的信息:PID 和 UniquePID、错误代码、对象的 MD5 和 SHA-256 校验和
    • 服务器请求的文件
    • 遥测数据包
    • 有关正在运行的进程的信息:
      • 可执行文件名,包括完整路径和扩展名
      • 进程启动设置
      • 进程标识符
      • 系统登录会话代码
      • 系统登录会话名称
      • 进程启动日期和时间
      • 校验和(MD5 和 SHA-256)
    • 有关文件的信息:
      • 文件路径
      • 文件名
      • 文件大小
      • 文件属性
      • 文件创建日期和时间
      • 上次修改文件的日期和时间
      • 校验和(MD5 和 SHA-256)
    • 有关获取对象信息时出现的错误的信息:
      • 发生错误时正在处理的对象的全名
      • 错误代码
  • 从 KATA 服务器到 Kaspersky Endpoint Security 内置代理的请求的信息(任务设置):
    • 任务类型
    • 任务启动计划设置
    • 用于启动任务的账户名称和密码
    • 设置的版本
    • 对象的路径
    • 对象的校验和(MD5 和 SHA-256)
    • 用于启动进程的命令行(包括参数)
    • 服务描述
    • 服务启动类型
  • KATA 服务器发送给 Kaspersky Endpoint Security 内置代理的响应的参数:
    • 获取文件任务:
      • 文件或目录的完整路径
      • 哈希算法可能值:MD5 和/或 SHA-256
      • 文件的校验和(MD5 和 SHA-256)
    • 删除文件任务:
      • 确认删除,或发生错误。
    • 运行进程任务:
      • 用于启动进程的可执行文件的完整路径
      • 进程的命令行
      • 进程工作目录的完整路径
    • 终止进程任务:
      • 进程的唯一 PID。
      • 进程的系统 PID。
      • 进程终止错误代码(如果进程成功终止,则为 0)。
    • IOC 扫描任务:
      • 扫描结果(是否检测到每个指标、找到的对象以及检测到指标的哪个分支的信息)。

      对于检测到指标的对象,根据其类型返回不同的值:

      • ArpEntry:ARP表中的 IP 地址(包括ipv6),ARP表中的物理地址。
      • 文件:文件的 MD5 哈希值、文件的 SHA-256 哈希值、完整文件名(包括路径)、文件大小。
      • 端口:扫描时用于建立连接的远程 IP 地址和端口;本地适配器的 IP 地址和端口;协议类型(TCP、UDP、IP、RAWIP)。
      • 进程:进程名称;进程参数;进程文件的路径;进程的系统PID;父进程的系统 PID;进程运行的用户名;进程开始的日期和时间。
      • SystemInfo:操作系统名称;操作系统版本;没有域的计算机的网络名称;域或工作组。
      • 用户:用户名
  • 网络隔离:
    • 网络隔离状态。

Kaspersky Endpoint Security for Linux: High protection without performance compromising
Detects and blocks advanced threats. Buy as part of Endpoint Security for Business Advanced.
Kaspersky Premium Support (MSA): High‑priority incident processing
Telephone and web ticket support. Fast response, monitoring and health check. Submit a request and activate the contract (MSA).
Did you find this article helpful?
What can we do better?
Thank you for your feedback! You're helping us improve.
Thank you for your feedback! You're helping us improve.