Kaspersky Endpoint Security for Linux
12.2.0
日本語‪(日本)
データの提供 > Kaspersky Endpoint Detection and Response (KATA) コンポーネントと連携時に提供されるデータ

Kaspersky Endpoint Detection and Response (KATA) コンポーネントと連携時に提供されるデータ

Kaspersky Endpoint Security を Kaspersky Anti Targeted Attack Platform ソリューションのコンポーネントである Kaspersky Endpoint Detection and Response (KATA) と連携すると、Kaspersky Endpoint Security は個人情報および機密データを含む次の情報を保存します:

  • KATA サーバーのアドレス
  • Kaspersky Endpoint Detection and Response (KATA) と連携するためのサーバーの証明書の公開鍵
  • Kaspersky Endpoint Detection and Response (KATA) と連携するためのクライアント証明書
  • プロキシサーバー上の認証用資格情報
  • KATA サーバーとの同期頻度の設定およびデータを KATA サーバーに送信するための設定
  • KATA サーバーとの接続のステータス、およびクライアント証明書とサーバー証明書のエラーに関する情報
  • KATA サーバーから受信したタスクの設定:
    • タスクの開始スケジュール設定
    • タスクの開始に使用するのに必要なアカウントの名前およびパスワード
    • 設定のバージョン
    • サービス開始の種類
    • サービスの名前
    • タスクの起動に使用されるコマンドライン(引数を含む)
    • オブジェクトの MD5 および SHA256 ハッシュ
    • オブジェクトへのパス
    • IOC ファイル
  • 除外に指定されたデバイス以外のデバイスへの接続をブロックする分離設定

Kaspersky Endpoint Security を Kaspersky Endpoint Detection and Response (KATA) と連携すると、Kaspersky Endpoint Security は次の情報を保存し、KATA サーバーに送信する場合があります:

  • EDR (KATA) コンポーネントへの同期リクエスト用情報
    • 一意の識別子
    • サーバーアドレスの基部
    • デバイス名
    • デバイスの IP アドレス
    • デバイスの MAC アドレス
    • デバイスの現地時間
    • デバイス上にインストールされたオペレーティングシステムの名前およびバージョン
    • Kaspersky Endpoint Security のバージョン
    • 使用されている製品データベースの公開日
    • ライセンスステータス
  • リクエストからタスク実行レポートの EDR(KATA)コンポーネントへの情報:
    • デバイスの IP アドレス
    • 一意の識別子
    • サーバーアドレスの基部
    • デバイスの MAC アドレス
    • タスク実行エラーおよび戻りコード
    • タスク完了ステータス
    • タスク完了時間
    • 使用されたタスク設定のバージョン
    • サーバーリクエストでデバイス上で開始または停止されたプロセスに関する情報:PID および UniquePID、エラーコード、プロジェクトの MD5 および SHA256 チェックサム
    • サーバーにリクエストされたファイル
    • オブジェクトに関する情報を取得中に発生したエラーに関する情報:エラーが発生したオブジェクトの完全な名前、エラーコード
    • ネットワーク分離のステータス
    • IOC の場合、スキャン結果(各インジケーターが検出されたかどうか、見つかったオブジェクト、およびインジケーターのどのブランチが検出されたかに関する情報)が表示されます。
    • IOC が検出されたオブジェクトの場合、インジケーターの種別に応じて異なる値が表示されます:
      • ArpEntry:ARP テーブルからの IP アドレス (ipv6 を含む)、ARP テーブルからの物理アドレス。
      • File:ファイルの MD5 ハッシュ、ファイルの SHA256 ハッシュ、完全なファイル名(パスを含む)、ファイルサイズ。
      • Port:スキャン中に接続を確立するために使用されるリモート IP アドレスとポート、ローカルアダプターの IP アドレスとポート、プロトコルの種類(TCP、UDP、IP、RAWIP)。
      • Process:プロセス名、プロセス引数、プロセスファイルへのパス、プロセスのシステム PID、親プロセスのシステム PID、プロセスを開始したユーザー名、プロセスが開始された日時。
      • SystemInfo:OS 名、OS のバージョン、ドメインのないデバイスのネットワーク名、ドメインまたはワークグループ。
      • User:ユーザー名。
    • 隔離されたオブジェクトの場合:
      • ファイルパス
      • ファイルサイズ
      • 隔離時に割り当てられたファイル ID
      • 元のファイル削除フラグ
    • 隔離から取得したファイルの場合:
      • 隔離時に割り当てられたファイル ID
    • 実行ファイルまたはスクリプトの実行を阻止する場合:
      • プロセス ID
      • 親プロセス ID
      • システム ID
      • ログオンセッション ID
      • プロセスステータス
      • 実行遮断の日時
    • オフィスアプリケーションによる禁止文書の閲覧の場合:
      • プロセス ID
      • ファイル ID
      • 実行遮断の日時
  • テレメトリパケット内のデータ:
    • ファイルに関する情報:
      • 端末の一意な ID
      • ファイルパス
      • ファイル名
      • ファイルサイズ
      • ファイルの属性
      • ファイルの作成日時
      • ファイルの最終変更日時
      • オブジェクトの MD5 および SHA256 ハッシュ
      • ファイルを所有するユーザーとグループに関する情報(名前と ID)
    • 実行中のプロセスに関する情報:
      • プロセスファイル ID
      • プロセス ID
      • プロセスの開始時に使用されたコマンドラインオプション
      • セッション ID
      • プロセスが開始された日時
      • プロセスを開始したユーザーとグループに関する情報(名前とID)
    • 検知および処理された脅威に関する情報:
      • 検知された脅威の名前と、 カスペルスキーの分類に従った脅威を検知したテクノロジー
      • 製品データベースのバージョン
      • 感染したオブジェクトがダウンロードされた URL
      • 脅威の処理ステータス
      • 脅威を排除できない理由
      • 脅威ファイルの一意の ID
    • ファイル変更データ:
      • 変更ファイルの一意の ID
      • 変更をしたプロセスの一意の ID
      • 変更に関する情報
    • システムの変更に関するデータ:
      • 変更をしたプロセスの一意の ID
      • 発生した変更に関する情報
    • ユーザーログオン情報:
      • セッション ID
      • ユーザー情報(名前とID)
      • セッションが確立されたデバイスの IP アドレス
    • 終了するプロセスに関するデータ:プロセスの一意の ID
    • プロセスのアドレス空間へのライブラリの読み込みに関する情報:読み込まれたライブラリの ID
    • 確立されたネットワーク接続に関する情報:
      • ローカル IP アドレス
      • リモート IP アドレス
      • 接続の方向
      • Protocol
    • 特定のポートで外部ネットワーク接続をリスニングしているプロセスに関する情報:
      • ローカルアドレス(ポートと IP アドレス)
      • Protocol

ここにリストされている情報は、トレースファイルダンプファイルに保存することもできます。

記事 ID: 277040、 前回の更新日時: 2025年4月14日
ページのトップに戻る