Данные в обнаружениях
Данные пользователя могут содержаться в обнаружениях. Если компонент Central Node установлен на сервере, информация об обнаружениях и файлы, по результатам проверки которых возникло обнаружение, хранятся на сервере с компонентом Central Node в директории /data
. При установке компонента Central Node на кластер информация об обнаружениях и файлы, по результатам проверки которых возникло обнаружение, хранятся на серверах хранения данных.
Возможность ограничить права пользователей серверов и операционных систем, на которые установлен компонент Central Node, средствами Kaspersky Anti Targeted Attack Platform не предусмотрена. Администратору рекомендуется контролировать доступ пользователей серверов и операционных систем, на которые установлено приложение, к персональным данным других пользователей любыми системными средствами на его усмотрение.
Во всех обнаружениях хранится следующая информация:
- Время обнаружения.
- Категория обнаруженного объекта.
- Имя обнаруженного файла.
- Обнаруженный URL-адрес.
- MD5-, SHA256-хеш обнаруженного файла.
- Комментарии пользователя, добавленные в информацию об обнаружении.
- Идентификатор правила TAA, по которому было выполнено обнаружение.
- IP-адрес и имя компьютера, на котором выполнено обнаружение.
- Идентификатор компьютера, на котором выполнено обнаружение.
При изменении обнаружения на сервере хранится следующая информация:
- Учетная запись пользователя, который изменил обнаружение.
- Учетная запись пользователя, которому было назначено обнаружение.
- Дата и время изменения обнаружения.
Если обнаружено сообщение электронной почты, на сервере может храниться следующая информация:
- Адреса электронной почты отправителя и получателей сообщения, копии и скрытой копии сообщения.
- Тема сообщения электронной почты.
- Дата и время поступления сообщения в Kaspersky Anti Targeted Attack Platform, с точностью до секунд.
- Все служебные заголовки сообщения (так, как они выглядят в сообщении).
Если обнаружение выполнено технологией URL Reputation, на сервере может храниться следующая информация:
- Имя компьютера, с которого были отправлены данные.
- Имя компьютера, получившего данные.
- IP-адрес компьютера, с которого были отправлены данные.
- IP-адрес компьютера, получившего данные.
- URI переданного ресурса.
- Информация о прокси-сервере.
- Уникальный идентификатор сообщения электронной почты.
- Адреса электронной почты отправителя и получателей сообщения (включая получателей копии и скрытой копии сообщения).
- Тема сообщения электронной почты.
- Дата и время поступления сообщения в Kaspersky Anti Targeted Attack Platform, с точностью до секунд.
- Список обнаруженных объектов.
- Время сетевого соединения.
- URL-адрес сетевого соединения.
Если обнаружение выполнено технологией Intrusion Detection System, на сервере может храниться следующая информация:
- Имя компьютера, с которого были отправлены данные.
- Имя компьютера, получившего данные.
- IP-адрес компьютера, с которого были отправлены данные.
- IP-адрес компьютера, получившего данные.
- Переданные данные.
- Время передачи данных.
- URL-адрес, извлеченный из файла с трафиком, User Agent, метод.
- Файл с трафиком, в котором произошло обнаружение.
Если обнаружение выполнено с помощью правил YARA, на сервере может храниться следующая информация:
- Версия правил YARA, с помощью которых было выполнено обнаружение.
- Категория обнаруженного объекта.
- Имя обнаруженного объекта.
- MD5-хеш обнаруженного объекта.
Если обнаружение выполнено с помощью компонента Sandbox, на сервере может храниться следующая информация:
- Версия баз приложения, с помощью которых было выполнено обнаружение.
- Категория обнаруженного объекта.
- Имена обнаруженных объектов.
- MD5-хеши обнаруженных объектов.
- Информация об обнаруженных объектах.
Если обнаружение выполнено в результате работы пользовательских правил IOC или TAA (IOA), на сервере может храниться следующая информация:
- Дата и время выполнения проверки.
- Идентификаторы компьютеров, на которых выполнено обнаружение.
- Имя правила TAA (IOA).
- Имя IOC-файла.
- Информация об обнаруженных объектах.
Если обнаружение выполнено технологией Anti-Malware Engine, на сервере может храниться следующая информация:
- Версии баз компонентов Kaspersky Anti Targeted Attack Platform, с помощью которых было выполнено обнаружение.
- Категория обнаруженного объекта.
- Список обнаруженных объектов.
- MD5-хеш обнаруженных объектов.
- Дополнительная информация об обнаружении.
В начало