技术支持

企业产品

Kaspersky Endpoint Security 12 for Windows

数据提供

使用 Detection and Response 解决方案时的数据提供

Kaspersky Anti Targeted Attack Platform (EDR)

Kaspersky Endpoint Security 12 for Windows
在线帮助
常见问题解答 系统要求 下载 购买 续订 论坛 联系支持 恢复工具 产品视频
Нет результатов
Нет результатов

Kaspersky Anti Targeted Attack Platform (EDR)

2024年2月14日

ID 249510

另存为 PDF

当卸载 Kaspersky Endpoint Security 时,应用程序本地存储在计算机上的所有数据将从计算机中删除。

服务数据

Kaspersky Endpoint Security 的内置代理在本地存储以下数据:

  • 在配置 Kaspersky Endpoint Security 的内置代理期间由用户输入的已处理文件和数据:
    • 已隔离的文件
    • Kaspersky Endpoint Security 内置代理设置:
      • 用于与中央节点集成的证书的公钥
      • 授权许可数据
  • 与中央节点集成所需的数据:
    • 遥测事件数据包队列
    • 从中央节点接收到的 IOC 文件标识符缓存
    • 要在获取文件任务中传递到服务器的对象
    • 获取取证任务结果报告

KATA(EDR)请求中的数据

与 Kaspersky Anti Targeted Attack Platform 集成时,以下数据存储在本地计算机上:

来自 Kaspersky Endpoint Security 的内置代理对中央节点组件的请求的数据:

  • 在同步请求中:
    • 独一 ID
    • 服务器网址的基本部分
    • 计算机名称
    • 计算机 IP 地址
    • 计算机 MAC 地址
    • 计算机上的本地时间
    • Kaspersky Endpoint Security 的自我保护状态
    • 计算机上安装的操作系统的名称和版本
    • Kaspersky Endpoint Security 的版本
    • 应用程序设置和任务设置的版本
    • 任务状态:任务标识符、执行状态、错误代码
  • 在从服务器获取文件的请求中:
    • 文件的唯一标识符
    • 唯一的 Kaspersky Endpoint Security 标识符
    • 证书的唯一标识符
    • 安装了中央节点组件的服务器网址基本部分
    • 主机 IP 地址
  • 在任务执行结果的报告中:
    • 主机 IP 地址
    • 有关在 IOC 扫描或 YARA 扫描期间检测到的对象的信息
    • 完成任务后执行的附加操作的标志
    • 任务执行错误和返回码
    • 任务完成状态
    • 任务完成时间
    • 用于执行任务的设置版本
    • 有关提交到服务器的对象、隔离对象和从隔离区恢复的对象的信息:对象路径、MD5 和 SHA256 哈希值、隔离对象的标识符
    • 有关应服务器请求在计算机上启动或停止的进程的信息:PID 和 UniquePID、错误代码、对象的 MD5 和 SHA256 哈希值
    • 有关应服务器请求在计算机上启动或停止的服务的信息:服务名称、启动类型、错误代码、服务文件映像的 MD5 和 SHA256 哈希值
    • 有关为 YARA 扫描创建内存转储的对象的信息(路径、转储文件标识符)
    • 服务器请求的文件
    • 遥测数据包
    • 正在运行的进程的数据:
      • 可执行文件名,包括完整路径和扩展名
      • 进程自动运行参数
      • 进程 ID
      • 登录会话 ID
      • 登录会话名称
      • 进程开始的日期和时间
      • 对象的 MD5 和 SHA256 哈希值
    • 文件数据:
      • 文件路径
      • 文件名
      • 文件大小
      • 文件属性
      • 创建文件的日期和时间
      • 上次修改文件的日期和时间
      • 文件描述
      • 公司名称
      • 对象的 MD5 和 SHA256 哈希值
      • 注册表项(用于自动运行点)
    • 检索有关对象的信息时发生的错误数据:
      • 发生错误时处理的对象全名
      • 错误代码
  • 遥测数据:
    • 主机 IP 地址
    • 提交更新操作之前注册表中的数据类型
    • 提交更改操作之前注册表项中的数据
    • 已处理脚本的文本或其中的一部分
    • 已处理对象的类型
    • 将命令传递给命令解释器的方式

从中央节点组件到 Kaspersky Endpoint Security 内置代理的请求数据:

  • 任务设置:
    • 任务类型
    • 任务计划设置
    • 可以运行任务的账户的名称和密码
    • 设置的版本
    • 隔离对象的标识符
    • 对象的路径
    • 对象的 MD5 和 SHA256 哈希值
    • 使用参数启动进程的命令行
    • 完成任务后执行的附加操作的标志
    • 要从服务器检索的 IOC 文件标识符
    • IOC 文件
    • 服务名称
    • 服务启动类型
    • 必须接收获取取证任务结果的文件夹
    • 获取取证任务的对象名称和扩展名的掩码
  • 网络隔离设置:
    • 设置类型
    • 设置的版本
    • 网络隔离排除项和排除设置列表:流量方向、IP 地址、端口、协议和可执行文件的完整路径
    • 附加操作的标志
    • 自动隔离禁用时间
  • 执行防护设置
    • 设置类型
    • 设置的版本
    • 执行预防规则和规则设置列表:对象路径、对象类型、对象的 MD5 和 SHA256 哈希值
    • 附加操作的标志
  • 事件过滤设置:
    • 模块名称
    • 对象完整路径
    • 对象的 MD5 和 SHA256 哈希值
    • Windows 事件日志中条目的标识符
    • 数字证书设置
    • 流量方向、IP 地址、端口、协议、可执行文件的完整路径
    • 用户名
    • 用户登录类型
    • 应用过滤器的遥测事件类型

YARA 扫描结果中的数据

Kaspersky Endpoint Security 内置代理自动将 YARA 扫描结果传输至 Kaspersky Anti Targeted Attack Platform 以构建威胁发展链。

数据临时存储在本地队列中,用于向 Kaspersky Anti Targeted Attack Platform 服务器发送任务执行结果。发送后,数据将从临时存储中删除。

YARA 扫描结果包含以下数据:

  • 文件的 MD5 和 SHA256 哈希值
  • 文件全名
  • 文件路径
  • 文件大小
  • 进程名称
  • 处理参数
  • 进程文件的路径
  • 进程的 Windows 标识符 (PID)
  • 父进程的 Windows 标识符 (PID)
  • 启动进程的用户账户
  • 进程开始的日期和时间

Did you find this article helpful?
What can we do better?
Thank you for your feedback! You're helping us improve.
Thank you for your feedback! You're helping us improve.