Данные в обнаружениях

Данные пользователя могут содержаться в обнаружениях. Информация об обнаружениях хранится на сервере с компонентом Central Node в директории /data/var/lib/kaspersky/storage/pgsql/10/data/ и ротируется по мере заполнения дискового пространства. Файлы, по результатам проверки которых возникло обнаружение, накапливаются на сервере с компонентом Central Node и ротируются по мере заполнения дискового пространства.

Возможность ограничить права пользователей серверов и операционных систем, на которые установлен компонент Central Node, средствами Kaspersky Anti Targeted Attack Platform не предусмотрена. Администратору рекомендуется контролировать доступ пользователей серверов и операционных систем, на которые установлена программа, к персональным данным других пользователей любыми системными средствами на его усмотрение.

Во всех обнаружениях хранится следующая информация:

• Время обнаружения.
• Дата и время изменения обнаружения.
• Категория обнаруженного объекта.
• Идентификатор пользователя, которому назначено обнаружение.
• Комментарии пользователя, добавленные в информацию об обнаружении.
• IP-адрес и имя компьютера, на котором выполнено обнаружение.
• Уникальный идентификатор компьютера, на котором выполнено обнаружение.

Если обнаружен файл в сетевом или почтовом трафике, на сервере может храниться следующая информация:

• Имя, размер, тип файла.
• MD5-, SHA256-хеш файла.
• Категория обнаруженного объекта (например, название вируса), важность обнаружения для пользователя Kaspersky Anti Targeted Attack Platform в соответствии с тем, какое влияние это обнаружение может оказать на безопасность компьютера или локальной сети вашей организации, по опыту "Лаборатории Касперского".
• Версии баз компонентов Kaspersky Anti Targeted Attack Platform, с помощью которых было выполнено обнаружение.
• Для каждой виртуальной машины компонента Sandbox: имя виртуальной машины, версия баз компонента Sandbox, с помощью которых был проверен файл, журнал исследования поведения файла.
• Названия правил YARA, с помощью которых было выполнено обнаружение.
• Статус проверки объекта технологиями и время проверки каждой технологией.
• IP-адрес и тип интеграции сервера, на котором произошло обнаружение.
• Для IDS-обнаружения: адрес источника, адрес назначения, URL-адрес, User Agent, метод.
• Если файл получен от компонента Endpoint Agent (ранее Endpoint Sensors): IP-адрес, имя, домен хоста (в формате FQDN), полный путь к файлу на компьютере с компонентом Endpoint Agent и имя файла.
• Принадлежность группе VIP.
• DNS-запрос, ответ на этот запрос и список хостов из запроса.
• URL-адрес FTP-запроса.

Если обнаружено сообщение электронной почты, на сервере может храниться следующая информация:

• Адреса электронной почты отправителя и получателей сообщения (включая получателей копии и скрытой копии сообщения).
• Тема сообщения электронной почты.
• Дата и время поступления сообщения в Kaspersky Anti Targeted Attack Platform, с точностью до секунд.
• Уникальный идентификатор сообщения электронной почты.
• Все служебные заголовки сообщения (так, как они выглядят в сообщении).
• IP-адрес, имя и тип интеграции сервера, на котором обнаружено сообщение электронной почты.
• URL-адреса, извлеченные из сообщения электронной почты.

Если обнаружение выполнено технологией URL Reputation, на сервере может храниться следующая информация:

• URL-адрес, к которому обращался компьютер локальной сети организации, или доменное имя из DNS-запроса.
• URL-адрес, извлеченный из сообщения электронной почты, до нормализации.
• IP-адрес отправителя пакета данных.
• IP-адрес получателя пакета данных.
• Категория обнаруженного объекта (например, вредоносный или фишинговый URL-адрес), важность обнаружения для пользователя Kaspersky Anti Targeted Attack Platform в соответствии с тем, какое влияние это событие может оказать на безопасность компьютера или локальной сети вашей организации, по опыту "Лаборатории Касперского", имена обнаруженных APT-атак.
• Принадлежность группе VIP.
• Информация о прокси-сервере.
• Уникальный идентификатор сообщения электронной почты.
• Адреса электронной почты отправителя и получателей сообщения (включая получателей копии и скрытой копии сообщения).
• Тема сообщения электронной почты.
• Дата и время поступления сообщения в Kaspersky Anti Targeted Attack Platform, с точностью до секунд.
• Список обнаруженных объектов.
• Время сетевого соединения.
• URL-адрес сетевого соединения.

Если обнаружение выполнено технологией Intrusion Detection System, на сервере может храниться следующая информация:

• Идентификатор правила IDS.
• Категория обнаруженного объекта по версии баз Intrusion Detection System.
• Категория обнаруженного объекта по классификации "Лаборатории Касперского".
• Версия баз Intrusion Detection System, с помощью которых было выполнено обнаружение.
• Важность обнаружения для пользователя Kaspersky Anti Targeted Attack Platform в соответствии с тем, какое влияние это обнаружение может оказать на безопасность компьютера или локальной сети вашей организации, по опыту "Лаборатории Касперского".
• Файл с трафиком, в котором произошло обнаружение.
• URL-адрес, извлеченный из файла с трафиком, User Agent, метод.
• IP-адрес и тип интеграции сервера, на котором произошло обнаружение.
• Принадлежность группе VIP.
• Время передачи данных.
• IP-адрес отправителя пакета данных.
• IP-адрес получателя пакета данных.

Если обнаружение выполнено с помощью правил YARA, на сервере может храниться следующая информация:

• Версия правил YARA, с помощью которых было выполнено обнаружение.
• Категория обнаруженного объекта.
• Имена обнаруженных объектов.
• MD5-хеши обнаруженных объектов.

Если обнаружение выполнено с помощью компонента Sandbox, на сервере может храниться следующая информация:

• Время выполнения обнаружения.
• Версия баз программы, с помощью которых было выполнено обнаружение.
• Категория обнаруженного объекта.
• Имена обнаруженных объектов.
• MD5-хеши обнаруженных объектов.
• Дополнительная информация об обнаружении.

Если обнаружение выполнено в результате работы пользовательских правил IOC или TAA (IOA), на сервере может храниться следующая информация:

• Дата и время выполнения проверки.
• Идентификаторы компьютеров, на которых выполнено обнаружение.
• Имя IOC-файла.
• Содержимое IOC-файла.
• Информация об обнаруженных объектах.

См. также Данные компонентов Central Node и Sensor Данные трафика компонента Sensor Данные в событиях Данные в отчетах Данные об объектах в Хранилище и на карантине

В начало