Kaspersky Anti Targeted Attack Platform (EDR)
Kaspersky Anti Targeted Attack Platform (EDR)
コンピューターのローカルに保存されるすべてのデータは、Kaspersky Endpoint Security のアンインストール時にコンピューターから削除されます。
サービスデータ
Kaspersky Endpoint Security の組み込みエージェントは次のデータをローカルに保存します。
- 処理されたファイルと Kaspersky Endpoint Security の組み込みエージェントの設定中にユーザーにより入力されたデータ:
- 隔離されたファイル
- Kaspersky Endpoint Security の組み込みエージェントの設定:
- Central Node との連携に使用された証明書の公的鍵
- ライセンスデータ
- Central Node との連携に必要なデータ:
- テレメトリイベントのパケットキュー
- Central Node から受け取った IOC ファイルの識別子のキャッシュ
- Get file タスクでサーバーに渡されるオブジェクト
- Get forensic タスクの結果レポート
KATA (EDR) へのリクエスト内のデータ
Kaspersky Anti Targeted Attack Platform と連携するとき、次のデータがコンピューターのローカルに保存されます。
Kaspersky Endpoint Security の組み込みエージェントから Central Node コンポーネントへの要求データ:
- 同期リクエスト:
- 一意な ID
- サーバー Web アドレスの基本部分
- コンピューター名
- コンピューター IP アドレス
- コンピューター MAC アドレス
- コンピューターの時刻
- Kaspersky Endpoint Security のセルフディフェンスのステータス
- コンピューターにインストールされたオペレーティングシステムの名前およびバージョン
- Kaspersky Endpoint Security のバージョン
- 本製品の設定およびタスク設定のバージョン
- タスクのステータス:タスクの識別子、実行ステータス、エラーコード
- サーバーからのファイル取得リクエスト:
- ファイルの一意な識別子
- Kaspersky Endpoint Security の一意な識別子
- 証明書の一意な識別子
- Central Node コンポーネントがインストールされたサーバーの Web アドレスの基本部分
- ホスト IP アドレス
- タスク実行結果のレポート:
- ホスト IP アドレス
- IOC スキャンまたは YARA スキャン中に検知されたオブジェクトに関する情報
- タスク完了時に実行された追加操作のフラグ
- タスクの実行エラーとリターンコード
- タスクの完了ステータス
- タスクの完了時刻
- タスクの実行に使用された設定のバージョン
- サーバーに送信されたオブジェクト、隔離されたオブジェクト、隔離から復元されたオブジェクトに関する情報:オブジェクトのパス、MD5 および SHA256 ハッシュ、隔離されたオブジェクトの識別子
- サーバーからの要求により、コンピューターで起動または停止したプロセスに関する情報:PID および UniquePID、エラーコード、オブジェクトの MD5 および SHA256 ハッシュ
- サーバーからの要求により、コンピューターで起動または停止したサービスに関する情報:サービス名、起動種別、エラーコード、サービスのファイルイメージの MD5 および SHA256 ハッシュ
- YARA スキャン用に作成されたメモリダンプのオブジェクトに関する情報(パス、ダンプファイルの識別子)
- サーバーにより要求されたファイル
- テレメトリパケット
- 実行中のプロセスのデータ:
- 完全パスおよび拡張子を含む実行ファイル名
- プロセスの自動実行パラメータ
- プロセス識別子
- ログインセッションの識別子
- ログインセッション名
- プロセスが開始された日時
- オブジェクトの MD5 および SHA256 ハッシュ
- ファイルのデータ:
- ファイルパス
- ファイル名
- ファイルサイズ
- ファイルの属性
- ファイルが作成された日時
- ファイルの最終更新日時
- ファイルの説明
- 会社名
- オブジェクトの MD5 および SHA256 ハッシュ
- レジストリキー(自動実行ポイント)
- オブジェクトに関する情報を取得した際に発生したエラーのデータ:
- エラーが発生した際に処理されていたオブジェクトの詳細名
- エラーコード
- テレメトリデータ:
- ホスト IP アドレス
- 更新操作が確定される前のレジストリのデータ種別
- 変更操作が確定される前のレジストリキー内のデータ
- 処理されたスクリプト本文またはその一部
- 処理されたオブジェクトの種別
- コマンドインタープリターへのコマンドの渡し方
Central Node コンポーネントの要求から Kaspersky Endpoint Security の組み込みエージェントへのデータ:
- タスク設定:
- タスク種別
- タスクのスケジュール設定
- タスクを実行するアカウントの名前およびパスワード
- 設定のバージョン
- 隔離されたオブジェクトの識別子
- オブジェクトのパス
- オブジェクトの MD5 および SHA256 ハッシュ
- 引数で処理を開始するコマンドライン
- タスク完了時に実行された追加操作のフラグ
- サーバーから取得する IOC ファイル識別子
- IOC ファイル
- サービス名
- サービス開始種別
- Get forensic タスクの結果を受け取るフォルダー
- Get forensic タスクのオブジェクト名および拡張子のマスク
- ネットワーク分離の設定:
- 設定種別
- 設定のバージョン
- ネットワーク分離の除外リストと除外リストの設定のリスト:通信方向、IP アドレス、ポート、プロトコル、実行ファイルの完全パス
- 追加操作のフラグ
- 自動分離を無効化した時刻
- 実行防止の設定
- 設定種別
- 設定のバージョン
- 実行防止ルールおよびルール設定のリスト:オブジェクトのパス、オブジェクト種別、オブジェクトの MD5 および SHA256 ハッシュ
- 追加操作のフラグ
- イベントフィルタリング設定:
- モジュール名
- オブジェクトの完全パス
- オブジェクトの MD5 および SHA256 ハッシュ
- Windows イベントログ内の項目の識別子
- デジタル証明書の設定
- 通信方向、IP アドレス、ポート、プロトコル、実行ファイルの完全パス
- ユーザー名
- ユーザーのログイン種別
- フィルタが適用されたテレメトリイベントの種別
YARA スキャン結果
Kaspersky Endpoint Security は脅威の活動連鎖を作成するため、YARA スキャンタスクの実行結果に関するデータを Kaspersky Anti Targeted Attack Platform に自動で送信します。
Kaspersky Anti Targeted Attack Platform にタスクの実行結果を送信するため、データは一時的にローカルのキューに保存されます。データは送信後に一時保管領域から削除されます。
YARA スキャン結果には次のデータが含まれます:
- ファイルの MD5 および SHA256 ハッシュ
- ファイルの詳細名
- ファイルパス
- ファイルサイズ
- プロセス名
- プロセス引数
- プロセスファイルのパス
- プロセスの Windows 識別子(PID)
- 親プロセスの Windows 識別子(PID)
- プロセスを開始したユーザーアカウント
- プロセスが開始された日時
この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。