技术支持

企业产品

Kaspersky Endpoint Security 12 for Linux

数据提供

使用 Kaspersky Anti Targeted Attack Platform 时提供的数据
Kaspersky Endpoint Security 12 for Linux
Нет результатов
Нет результатов
在线帮助
常见问题解答 下载 购买 续订 论坛 联系支持 恢复工具

使用 Kaspersky Anti Targeted Attack Platform 时提供的数据

2024年8月2日

ID 277040

另存为 PDF

将 Kaspersky Endpoint Security 与 Kaspersky Endpoint Detection and Response (KATA)(Kaspersky Anti Targeted Attack Platform 解决方案的一个组件)集成时,Kaspersky Endpoint Security 存储以下内部信息,其中可能包含个人和机密数据:

  • KATA 服务器地址
  • 用于与 Kaspersky Endpoint Detection and Response (KATA) 集成的服务器证书的公钥
  • 用于与 Kaspersky Endpoint Detection and Response (KATA) 集成的带有客户端证书的加密容器
  • 用于在代理服务器上进行身份验证的凭据
  • 与 KATA 服务器同步的频率设置以及向 KATA 服务器发送数据的设置
  • 与 KATA 服务器的连接状态以及有关客户端证书和服务器证书错误的信息
  • 从 KATA 服务器接收的任务设置:
    • 任务启动计划设置
    • 必须被用于启动任务的账户名称和密码
    • 设置的版本
    • 服务启动类型
    • 服务名称
    • 用于启动进程的命令行(包括参数)
    • 对象的 MD5 和 SHA256 哈希
    • 对象的路径
    • IOC 文件
  • 隔离设置,根据该设置,设备将被阻止连接到除排除项中指定的设备以外的其他设备

将 Kaspersky Endpoint Security 与 Kaspersky Endpoint Detection and Response (KATA) 集成时,Kaspersky Endpoint Security 会存储以下信息并可能将其发送到 KATA 服务器:

  • 对 EDR (KATA) 组件的同步请求的信息:
    • 唯一标识符
    • 服务器地址的基本部分
    • 设备名称
    • 设备的 IP 地址
    • 设备的 MAC 地址
    • 设备上的本地时间
    • 设备上安装的操作系统的名称和版本
    • Kaspersky Endpoint Security 的版本
    • 正在使用的应用程序数据库的发布日期
    • 授权许可状态
  • 任务执行报告中对 EDR (KATA) 组件的请求信息:
    • 设备的 IP 地址
    • 唯一标识符
    • 服务器地址的基本部分
    • 设备的 MAC 地址
    • 任务执行错误和返回代码
    • 任务完成状态
    • 任务完成时间
    • 使用的任务设置版本
    • 有关应服务器请求在设备上启动或停止的进程的信息:PID 和 UniquePID、错误代码、对象的 MD5 和 SHA256 校验和
    • 服务器请求的文件
    • 获取对象信息时的错误信息:已处理但有错误的对象的全称;错误代码
    • 网络隔离状态
    • 对于 IOC,扫描结果返回(是否检测到每个指标、找到的对象以及检测到指标的哪个分支的信息)。
    • 对于在其中检测到 IOC 的对象,根据指标类型返回不同的值:
      • ArpEntry:ARP 表中的 IP 地址(包括 ipv6),ARP 表中的物理地址。
      • 文件:文件的 MD5 哈希值、文件的 SHA256 哈希值、完整文件名(包括路径)、文件大小。
      • 端口:扫描时用于建立连接的远程 IP 地址和端口;本地适配器的 IP 地址和端口;协议类型(TCP、UDP、IP、RAWIP)。
      • 进程:进程名称;进程参数;进程文件的路径;进程的系统 PID;父进程的系统 PID;启动进程的用户名;进程开始的日期和时间。
      • SystemInfo:操作系统名称;操作系统版本;没有域的设备的网络名称;域或工作组。
      • 用户:用户名。
  • 遥测数据包中的数据:
    • 有关文件的信息:
      • 文件的唯一 ID
      • 文件路径
      • 文件名
      • 文件大小
      • 文件属性
      • 文件的创建日期和时间
      • 文件的最后修改日期和时间
      • 对象的 MD5 和 SHA256 哈希值
      • 有关拥有该文件的用户和组的信息(名称和 ID)
    • 有关正在运行的进程的信息:
      • 进程文件的唯一 ID
      • 启动该进程的命令行选项
      • 进程 ID
      • 会话 ID
      • 进程启动的日期和时间
      • 启动进程的用户和组的信息(名称和 ID)
    • 有关被检测到并处理的威胁的信息:
      • 根据卡巴斯基分类,检测到的威胁的名称以及检测到威胁的技术。
      • 应用程序数据库版本
      • 从其下载感染对象的网址。
      • 威胁处理状态。
      • 威胁无法消除的原因。
      • 威胁文件的唯一 ID
    • 文件修改数据:
      • 被修改文件的唯一 ID
      • 做出更改的进程的唯一 ID
      • 有关修改的信息
    • 有关系统变化的数据:
      • 做出更改的进程的唯一 ID
      • 有关发生的变化的信息
    • 用户登录信息:
      • 会话 ID
      • 用户信息(名称和 ID)
      • 从其建立会话的设备的 IP 地址
    • 有关正在被终止的进程的数据:进程的唯一 ID。

此处列出的信息也可以保存在跟踪文件转储中。

您觉得这篇文章有帮助吗?
我们可以做什么更好?
感谢您的反馈!你正在帮助我们进步。
感谢您的反馈!你正在帮助我们进步。