事件中的数据
事件可能包含用户数据。如果服务器上安装了 Central Node,则发生的事件的信息将存储在 /data
目录中。如果 Central Node 作为集群安装,则信息存储在 ceph 存储中。
当磁盘变满时,数据会轮换。
Kaspersky Anti Targeted Attack Platform 资源不提供限制安装 Central Node 组件的服务器和操作系统用户权限的功能。建议管理员根据自己的判断使用任何系统资源来控制如何允许安装了应用程序的服务器和操作系统的用户访问其他用户的个人数据。
事件数据可以包含与以下内容相关的信息:
- 发生事件的计算机的名称。
- 具有 Kaspersky Endpoint Agent 的计算机的唯一 ID。
- 发生事件的用户账户的名称。
- 用户所属组的名称。
- 事件类型。
- 事件时间。
- 有关为其记录事件的文件的信息:名称、路径、全名。
- 文件的 MD5 哈希和 SHA256 哈希。
- 文件创建时间。
- 文件修改时间。
- 文件访问权限。
- 进程的环境变量。
- 命令行参数。
- 输入到命令行中的命令文本。
- 适配器的本地 IP 地址。
- 本地端口。
- 远程主机名。
- 远程主机 IP 地址。
- 远程主机端口。
- 访问过的网站的 URL 和 IP 地址,以及来自这些网站的链接。
- 网络连接协议。
- HTTP 请求方法。
- HTTP 请求标头。
- 有关 Windows 注册表变量的信息:变量的路径、变量名称、变量值。
- 发送用于 AMSI 扫描的脚本或二进制文件的内容。
- 有关 Windows 日志中事件的信息:事件类型、事件类型 ID、事件 ID、记录事件的用户账户、来自 Windows 事件日志的 XML 格式的事件完整文本。
页面顶部