Kaspersky Anti Targeted Attack Platform
3.7
Русский
О предоставлении данных  >  Данные компонентов Central Node и Sensor  >  Данные о параметрах программы

Данные о параметрах программы

Значения параметров программы хранятся на сервере с компонентом Central Node в директории /data/var/lib/kaspersky/storage/pgsql/10/data/ бессрочно.

Возможность ограничить права пользователей серверов и операционных систем, на которые установлен компонент Central Node, средствами Kaspersky Anti Targeted Attack Platform не предусмотрена. Администратору рекомендуется контролировать доступ пользователей серверов и операционных систем, на которые установлена программа, к персональным данным других пользователей любыми системными средствами на его усмотрение.

Данные о политиках и задачах хранятся на сервере Central Node в незашифрованном виде.

Данные о политиках

Данные о политиках могут содержать следующую информацию:

  • MD5-, SHA256-хеш файла, который запрещен к запуску.
  • Комментарий.
  • Хосты, на которых запрещен запуск файла.
  • Состояние запрета.

Данные о задачах

По результатам выполнения задачи формируется отчет, который хранится на сервере с компонентом Central Node.

Данные о задачах могут содержать следующую информацию:

  • Идентификатор задачи.
  • Время создания задачи.
  • Имя и IP-адрес хоста, которому назначена задача.
  • Максимальное время выполнения задачи.
  • Приоритет выполнения задачи.
  • Путь к файлу (для задач получения и удаления файла, помещения файла в Хранилище, завершения процесса).
  • От чьего имени требуется выполнить программу.
  • Тип задачи (выполнение команды или запуск файла).
  • Путь к файлу, аргументы или командная строка.
  • Рабочая директория.
  • Путь к ключу реестра.
  • Отчет о выполнении задачи.
  • Комментарии пользователя к задаче.
  • Идентификатор учетной записи пользователя, создавшего задачу.

Данные об ученых записях пользователей

Данные об учетных записях пользователей программы могут содержать следующую информацию:

  • Идентификатор пользователя.
  • Имя учетной записи и пароль пользователя.
  • Роль пользователя в программе.
  • Информация об активности пользователя.
  • Права на доступ к серверам с ролью PCN.

Данные о компонентах Endpoint Agent (ранее Endpoint Sensors)

Данные о компонентах Endpoint Agent могут содержать следующую информацию:

  • Уникальный идентификатор компьютера с компонентом Endpoint Agent.
  • Имя компьютера с компонентом Endpoint Agent.
  • Время получения первого пакета.
  • Время получения последнего пакета.
  • Информация о состоянии самозащиты.
  • Версия компонента Endpoint Agent.
  • Время и результат последней IOC-проверки на компьютере с компонентом Endpoint Agent.

Данные о параметрах пользовательских правил IOC и TAA (IOA)

Данные о параметрах пользовательских правил IOC и TAA (IOA) могут содержать следующую информацию:

  • Имя IOC-файла.
  • Запросы на проверку по пользовательским правилам IOC и TAA (IOA).
  • Время последнего выполнения проверки.
  • Состояние IOC-файла.
  • Дата загрузки IOC-файла.
  • Уровень важности создаваемых обнаружений.

Данные о параметрах пользовательских правил IDS

Данные о параметрах пользовательских правил IDS могут содержать следующую информацию:

  • Имя импортированного правила IDS.
  • Запросы на проверку по правилу IDS.
  • Время последнего выполнения проверки.
  • Состояние файла пользовательских правил.
  • Дата импорта файла пользовательских правил.
  • Уровень важности создаваемых обнаружений.

Данные о правилах сетевой изоляции

Данные о правилах сетевой изоляции могут содержать следующую информацию:

  • Имя правила.
  • Уникальный идентификатор изолированного хоста.
  • Статус правила.
  • Имя учетной записи пользователя, создавшего или изменившего правило.
  • Список исключений из правила.

Данные о шаблонах отчетов

Данные о шаблонах отчетов могут содержать следующую информацию:

  • Идентификатор пользователя, создавшего или изменившего шаблон.
  • Дата создания шаблона.
  • Дата последнего изменения шаблона.
  • HTML-код шаблона.

Данные об общих параметрах программы

Данные об общих параметрах программы могут содержать следующую информацию:

  • Параметры схем расположения графиков в разделе Мониторинг.
  • Параметры IOC-проверки.
  • Параметры интеграции с SIEM-системой.
  • Параметры интеграции с почтовым сенсором.
  • Показатели активности компонентов Endpoint Agent.
  • Адреса группы VIP.

Служебные данные, необходимые для работы программы

Информация о служебных данных, необходимых для работы программы, приведена в таблице ниже. Служебные данные также могут содержать данные пользователей, описанных в этом разделе выше.

Служебные данные, необходимые для работы программы

Тип данных

Место хранения

Доступ к данным

Срок хранения

Журнал событий операционной системы.
  • /var/log

Доступ для пользователей с правами root.

Бессрочно.

Кеш данных программы (redis).
  • /var/log

Доступ пользователей определяется администратором с помощью средств операционной системы.

Доступ осуществляется только по шифрованному каналу IPSec.

Бессрочно.

Файлы экспорта обнаружений.

Файлы могут содержать следующую информацию:

  • Имя компьютера, на котором выполнено обнаружение.
  • Время обнаружения.
  • Категория обнаруженного объекта.
  • IP-адрес отправителя пакета данных.
  • IP-адрес получателя пакета данных.
  • URL-адрес отправителя пакета данных.
  • URL-адрес получателя пакета данных.
  • UserAgent компьютера с компонентом Endpoint Agent.
  • URL-адрес посещенного веб-сайта.
  • MD5-хеш обнаруженного объекта.
  • SHA256-хеш обнаруженного объекта.
  • Полное имя обнаруженного объекта.
  • Параметры командной строки.
  • Адрес электронной почты отправителя сообщения, в котором обнаружен объект.
  • Адреса электронной почты получателей сообщения, в котором обнаружен объект.
  • Имя домена, в котором выполнено обнаружение.
  • /var/log

Доступ пользователей определяется администратором с помощью средств операционной системы.

Экспорт данных доступен только для авторизованных пользователей.

Доступ осуществляется только по шифрованному каналу IPSec.

Бессрочно.

Артефакты компонента Sandbox, файлы PCAP перехваченного трафика.
  • /var/opt/kaspersky/apt-agents/sb_storage

Доступ пользователей определяется администратором с помощью средств операционной системы.

Файлы ротируются при заполнении отведенного места хранения.

Очередь объектов на проверку.
  • /var/opt/kaspersky/apt-collector/spool

Доступ пользователей определяется администратором с помощью средств операционной системы.

До выполнения проверки.

Объекты на карантине, а также объекты, полученные от компонента Endpoint Agent.
  • /var/opt/kaspersky/apt/edr_quarantine
  • /var/opt/kaspersky/apt/edr_storage

Доступ пользователей определяется администратором с помощью средств операционной системы.

Файлы ротируются при заполнении отведенного места хранения.

Правила YARA.
  • /var/opt/kaspersky/apt-agents/yara_rules

Доступ пользователей определяется администратором с помощью средств операционной системы.

Бессрочно.

Сертификаты серверов, используемые для интеграции компонентов программы.
  • /etc/ssl/certs

Доступ пользователей определяется администратором с помощью средств операционной системы.

Информация о действиях с сертификатами сохраняется в журнале событий программы.

Бессрочно.

Ключи шифрования, передаваемые между компонентами программы.
  • /etc/opt/kaspersky/apt-base/ipsec.d

Доступ пользователей определяется администратором с помощью средств операционной системы.

Информация об изменениях ключей шифрования сохраняется в журнале событий программы.

Бессрочно.

См. также

Данные трафика компонента Sensor

Данные в обнаружениях

Данные в событиях

Данные в отчетах

Данные об объектах в Хранилище и на карантине
Идентификатор статьи: 194744, Последнее изменение: 22 апр. 2022 г.
В начало