Kaspersky Anti Targeted Attack Platform の使用時に提供される情報
Kaspersky Anti Targeted Attack Platform の使用時に提供される情報
Kaspersky Endpoint Security を Kaspersky Anti Targeted Attack Platform ソリューションのコンポーネントである Kaspersky Endpoint Detection and Response (KATA) と連携すると、Kaspersky Endpoint Security は個人情報および機密データを含む次の内部情報を保存します:
- KATA サーバーのアドレス
- Kaspersky Endpoint Detection and Response (KATA) と連携するためのサーバーの証明書の公開鍵
- Kaspersky Endpoint Detection and Response (KATA) と連携するためのクライアント証明書を含む Cryptocontainer
- プロキシサーバー上の認証用資格情報
- KATA サーバーとの同期頻度の設定およびデータを KATA サーバーに送信するための設定
- KATA サーバーとの接続のステータス、およびクライアント証明書とサーバー証明書のエラーに関する情報
- KATA サーバーから受信したタスクの設定:
- タスクの開始スケジュール設定
- タスクの開始に使用するのに必要なアカウントの名前およびパスワード
- 設定のバージョン
- サービス開始の種類
- サービスの名前
- タスクの起動に使用されるコマンドライン(引数を含む)
- オブジェクトの MD5 および SHA256 ハッシュ
- オブジェクトへのパス
- IOC ファイル
- 除外に指定されたデバイス以外のデバイスへの接続をブロックする分離設定
Kaspersky Endpoint Security を Kaspersky Endpoint Detection and Response (KATA) と連携すると、Kaspersky Endpoint Security は次の情報を保存し、KATA サーバーに送信する場合があります:
- EDR (KATA) コンポーネントへの同期リクエスト用情報
- 一意の識別子
- サーバーアドレスの基部
- デバイス名
- デバイスの IP アドレス
- デバイスの MAC アドレス
- デバイスの現地時間
- デバイス上にインストールされたオペレーティングシステムの名前およびバージョン
- Kaspersky Endpoint Security のバージョン
- 使用されている製品データベースの公開日
- ライセンスステータス
- リクエストからタスク実行レポートの EDR(KATA)コンポーネントへの情報:
- デバイスの IP アドレス
- 一意の識別子
- サーバーアドレスの基部
- デバイスの MAC アドレス
- タスク実行エラーおよび戻りコード
- タスク完了ステータス
- タスク完了時間
- 使用されたタスク設定のバージョン
- サーバーリクエストでデバイス上で開始または停止されたプロセスに関する情報:PID および UniquePID、エラーコード、プロジェクトの MD5 および SHA256 チェックサム
- サーバーにリクエストされたファイル
- オブジェクトに関する情報を取得中に発生したエラーに関する情報:エラーが発生したオブジェクトの完全な名前、エラーコード
- ネットワーク分離のステータス
- IOC の場合、スキャン結果(各インジケーターが検出されたかどうか、見つかったオブジェクト、およびインジケーターのどのブランチが検出されたかに関する情報)が表示されます。
- IOC が検出されたオブジェクトの場合、インジケーターの種別に応じて異なる値が表示されます:
- ArpEntry:ARP テーブルからの IP アドレス (ipv6 を含む)、ARP テーブルからの物理アドレス。
- File:ファイルの MD5 ハッシュ、ファイルの SHA256 ハッシュ、完全なファイル名(パスを含む)、ファイルサイズ。
- Port:スキャン中に接続を確立するために使用されるリモート IP アドレスとポート、ローカルアダプターの IP アドレスとポート、プロトコルの種類(TCP、UDP、IP、RAWIP)。
- Process:プロセス名、プロセス引数、プロセスファイルへのパス、プロセスのシステム PID、親プロセスのシステム PID、プロセスを開始したユーザー名、プロセスが開始された日時。
- SystemInfo:OS 名、OS のバージョン、ドメインのないデバイスのネットワーク名、ドメインまたはワークグループ。
- User:ユーザー名。
- テレメトリパケット内のデータ:
- ファイルに関する情報:
- 端末の一意な ID
- ファイルパス
- ファイル名
- ファイルサイズ
- ファイルの属性
- ファイルの作成日時
- ファイルの最終変更日時
- オブジェクトの MD5 および SHA256 ハッシュ
- ファイルを所有するユーザーとグループに関する情報(名前と ID)
- 実行中のプロセスに関する情報:
- プロセスファイルの一意の ID
- プロセスの開始時に使用されたコマンドラインオプション
- プロセス ID
- セッション ID
- プロセスが開始された日時
- プロセスを開始したユーザーとグループに関する情報(名前とID)
- 検知および処理された脅威に関する情報:
- 検知された脅威の名前と、 カスペルスキーの分類に従った脅威を検知したテクノロジー。
- 製品データベースのバージョン
- 感染したオブジェクトがダウンロードされた URL。
- 脅威の処理ステータス。
- 脅威を排除できない理由。
- 脅威ファイルの一意の ID
- ファイル変更データ:
- 変更ファイルの一意の ID
- 変更をしたプロセスの一意の ID
- 変更に関する情報
- システムの変更に関するデータ:
- 変更をしたプロセスの一意の ID
- 発生した変更に関する情報
- ユーザーログオン情報:
- セッション ID
- ユーザー情報(名前とID)
- セッションが確立されたデバイスの IP アドレス
- 終了するプロセスに関するデータ:プロセスの一意の ID。
- ファイルに関する情報:
この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。