Данные пользователя могут содержаться в событиях. Информация о произошедших событиях хранится на сервере с компонентом Central Node в директории /data/var/lib/kaspersky/storage/fastsearch/elasticsearch/data/ в течение 30 дней.
Возможность ограничить права пользователей серверов и операционных систем, на которые установлен компонент Central Node, средствами Kaspersky Anti Targeted Attack Platform не предусмотрена. Администратору рекомендуется контролировать доступ пользователей серверов и операционных систем, на которые установлена программа, к персональным данным других пользователей любыми системными средствами на его усмотрение.
Данные о событиях могут содержать следующую информацию:
Имя компьютера, на котором произошло событие.
Имя пользователя, под учетной записью которого произошло событие.
Уникальный идентификатор компьютера с Kaspersky Endpoint Agent (ранее Endpoint Sensors).
Тип события.
Время события.
Полные пути к файлам компьютеров с Kaspersky Endpoint Agent.
Имена файлов компьютеров с Kaspersky Endpoint Agent.
Полные имена папок компьютеров с Kaspersky Endpoint Agent.
MD5-, SHA256-хеш файлов.
Время создания файла.
Время изменения файла.
Параметры командной строки.
Локальный IP-адрес адаптера.
Локальный порт.
Имя удаленного хоста.
IP-адрес удаленного хоста.
Порт на удаленном хосте.
URL- и IP-адреса посещенных веб-сайтов, а также ссылки с этих веб-сайтов.
Пути к ключам в реестре Windows.
Информация о переменных реестра Windows: путь к переменной, имя переменной, значение переменной.
Информация о файле процесса: путь к файлу, полное имя файла, размер файла, дата создания файла, дата изменения файла, MD5- и SHA256-хеш файла.
Информация о файле родительского процесса: полное имя файла, путь к файлу, уникальный идентификатор файла, MD5- и SHA256-хеш файла, идентификатор родительского процесса Windows.
Информация об интерпретированном файле: полное имя файла, путь к файлу, MD5- и SHA256-хеш файла.
Информация о файле, запрещенном к запуску: полное имя файла, путь к файлу, MD5- и SHA256-хеш файла.
Информация о DLL-модуле: полное имя, путь, размер, дата создания и дата изменения DLL-модуля, MD5- и SHA256-хеш DLL-модуля.
Информация, связанная с событием создания файла: полное имя созданного файла, путь, размер, дата создания и изменения, MD5- и SHA256-хеш файла.
Информация о файле драйвера: полное имя файла, путь к файлу, размер, дата создания и дата изменения, MD5- и SHA256-хеш файла.
Новое и старое имена хоста в случае изменения имени хоста.
Имя обнаруженного объекта.
Информация о событии в журнале Windows: тип события, идентификатор типа события, идентификатор события, пользователь, под учетной записью которого событие записано в журнал, полный текст события из журнала событий Windows в формате XML.
Информация, связанная с обнаружением Kaspersky Endpoint Security: полное имя обнаруженного объекта, MD5- и SHA256-хеш файла, уникальный идентификатор процесса, Windows PID, параметры командной строки, тип обнаруженного объекта, имя угрозы, идентификатор записи в базе KES, версия базы KES, режим проверки, результат проверки, причина, по которой объект не может быть вылечен.