Kaspersky Anti Targeted Attack Platform (EDR)
Kaspersky Anti Targeted Attack Platform (EDR)
当卸载 Kaspersky Endpoint Security 时,应用程序本地存储在计算机上的所有数据将从计算机中删除。
服务数据
Kaspersky Endpoint Security 的内置代理在本地存储以下数据:
- 在配置 Kaspersky Endpoint Security 的内置代理期间由用户输入的已处理文件和数据:
- 已隔离的文件
- Kaspersky Endpoint Security 内置代理设置:
- 用于与中央节点集成的证书的公钥
- 授权许可数据
- 与中央节点集成所需的数据:
- 遥测事件数据包队列
- 从中央节点接收到的 IOC 文件标识符缓存
- 要在获取文件任务中传递到服务器的对象
- 获取取证任务结果报告
KATA(EDR)请求中的数据
与 Kaspersky Anti Targeted Attack Platform 集成时,以下数据存储在本地计算机上:
来自 Kaspersky Endpoint Security 的内置代理对中央节点组件的请求的数据:
- 在同步请求中:
- 独一 ID
- 服务器网址的基本部分
- 计算机名称
- 计算机 IP 地址
- 计算机 MAC 地址
- 计算机上的本地时间
- Kaspersky Endpoint Security 的自我保护状态
- 计算机上安装的操作系统的名称和版本
- Kaspersky Endpoint Security 的版本
- 应用程序设置和任务设置的版本
- 任务状态:任务标识符、执行状态、错误代码
- 在从服务器获取文件的请求中:
- 文件的唯一标识符
- 唯一的 Kaspersky Endpoint Security 标识符
- 证书的唯一标识符
- 安装了中央节点组件的服务器网址基本部分
- 主机 IP 地址
- 在任务执行结果的报告中:
- 主机 IP 地址
- 有关在 IOC 扫描或 YARA 扫描期间检测到的对象的信息
- 完成任务后执行的附加操作的标志
- 任务执行错误和返回码
- 任务完成状态
- 任务完成时间
- 用于执行任务的设置版本
- 有关提交到服务器的对象、隔离对象和从隔离区恢复的对象的信息:对象路径、MD5 和 SHA256 哈希值、隔离对象的标识符
- 有关应服务器请求在计算机上启动或停止的进程的信息:PID 和 UniquePID、错误代码、对象的 MD5 和 SHA256 哈希值
- 有关应服务器请求在计算机上启动或停止的服务的信息:服务名称、启动类型、错误代码、服务文件映像的 MD5 和 SHA256 哈希值
- 有关为 YARA 扫描创建内存转储的对象的信息(路径、转储文件标识符)
- 服务器请求的文件
- 遥测数据包
- 正在运行的进程的数据:
- 可执行文件名,包括完整路径和扩展名
- 进程自动运行参数
- 进程 ID
- 登录会话 ID
- 登录会话名称
- 进程开始的日期和时间
- 对象的 MD5 和 SHA256 哈希值
- 文件数据:
- 文件路径
- 文件名
- 文件大小
- 文件属性
- 创建文件的日期和时间
- 上次修改文件的日期和时间
- 文件描述
- 公司名称
- 对象的 MD5 和 SHA256 哈希值
- 注册表项(用于自动运行点)
- 检索有关对象的信息时发生的错误数据:
- 发生错误时处理的对象全名
- 错误代码
- 遥测数据:
- 主机 IP 地址
- 提交更新操作之前注册表中的数据类型
- 提交更改操作之前注册表项中的数据
- 已处理脚本的文本或其中的一部分
- 已处理对象的类型
- 将命令传递给命令解释器的方式
从中央节点组件到 Kaspersky Endpoint Security 内置代理的请求数据:
- 任务设置:
- 任务类型
- 任务计划设置
- 可以运行任务的账户的名称和密码
- 设置的版本
- 隔离对象的标识符
- 对象的路径
- 对象的 MD5 和 SHA256 哈希值
- 使用参数启动进程的命令行
- 完成任务后执行的附加操作的标志
- 要从服务器检索的 IOC 文件标识符
- IOC 文件
- 服务名称
- 服务启动类型
- 必须接收获取取证任务结果的文件夹
- 获取取证任务的对象名称和扩展名的掩码
- 网络隔离设置:
- 设置类型
- 设置的版本
- 网络隔离排除项和排除设置列表:流量方向、IP 地址、端口、协议和可执行文件的完整路径
- 附加操作的标志
- 自动隔离禁用时间
- 执行防护设置
- 设置类型
- 设置的版本
- 执行预防规则和规则设置列表:对象路径、对象类型、对象的 MD5 和 SHA256 哈希值
- 附加操作的标志
- 事件过滤设置:
- 模块名称
- 对象完整路径
- 对象的 MD5 和 SHA256 哈希值
- Windows 事件日志中条目的标识符
- 数字证书设置
- 流量方向、IP 地址、端口、协议、可执行文件的完整路径
- 用户名
- 用户登录类型
- 应用过滤器的遥测事件类型
YARA 扫描结果中的数据
Kaspersky Endpoint Security 内置代理自动将 YARA 扫描结果传输至 Kaspersky Anti Targeted Attack Platform 以构建威胁发展链。
数据临时存储在本地队列中,用于向 Kaspersky Anti Targeted Attack Platform 服务器发送任务执行结果。发送后,数据将从临时存储中删除。
YARA 扫描结果包含以下数据:
- 文件的 MD5 和 SHA256 哈希值
- 文件全名
- 文件路径
- 文件大小
- 进程名称
- 处理参数
- 进程文件的路径
- 进程的 Windows 标识符 (PID)
- 父进程的 Windows 标识符 (PID)
- 启动进程的用户账户
- 进程开始的日期和时间
Did you find this article helpful?
What can we do better?
Thank you for your feedback! You're helping us improve.
Thank you for your feedback! You're helping us improve.