Данные пользователя могут содержаться в событиях. Если компонент Central Node установлен на сервере, информация о произошедших событиях хранится на сервере с компонентом в директории /data. При установке компонента Central Node на кластер информация хранится на серверах хранения данных.
Данные ротируются по мере заполнения диска.
Возможность ограничить права пользователей серверов и операционных систем, на которые установлен компонент Central Node, средствами Kaspersky Anti Targeted Attack Platform не предусмотрена. Администратору рекомендуется контролировать доступ пользователей серверов и операционных систем, на которые установлена программа, к персональным данным других пользователей любыми системными средствами на его усмотрение.
Данные о событиях могут содержать следующую информацию:
Имя компьютера, на котором произошло событие.
Уникальный идентификатор компьютера с Kaspersky Endpoint Agent.
Имя пользователя, под учетной записью которого произошло событие.
Имя группы, в которую входит пользователь.
Тип события.
Время события.
Информация о файле, для которого записано событие: имя, путь, полное имя.
MD5- и SHA256-хеш файла.
Время создания файла.
Время изменения файла.
Флаги прав доступа к файлу.
Переменные окружения процесса.
Параметры командной строки.
Текст команды, введенный в командную строку.
Локальный IP-адрес адаптера.
Локальный порт.
Имя удаленного хоста.
IP-адрес удаленного хоста.
Порт на удаленном хосте.
URL- и IP-адреса посещенных веб-сайтов, а также ссылки с этих веб-сайтов.
Протокол сетевого соединения.
Метод HTTP-запроса.
Заголовок HTTP-запроса.
Информация о переменных реестра Windows: путь к переменной, имя переменной, значение переменной.
Содержание скрипта или двоичного файла, переданного на AMSI-проверку.
Информация о событии в журнале Windows: тип события, идентификатор типа события, идентификатор события, пользователь, под учетной записью которого событие записано в журнал, полный текст события из журнала событий Windows в формате XML.