应用程序的服务数据

Kaspersky Anti Targeted Attack Platform 资源不提供限制安装 Central Node 组件的服务器和操作系统用户权限的功能。建议管理员根据自己的判断使用任何系统资源来控制如何允许安装了应用程序的服务器和操作系统的用户访问其他用户的个人数据。

Kaspersky Anti Targeted Attack Platform 的服务数据信息如下表所示。

Kaspersky Anti Targeted Attack Platform 的服务数据

数据类型

存储地点和期限

  • 关于用户账户的数据。
  • Central Node 组件的数据。
  • 有关租户的数据。
  • 有关连接到安装了 Endpoint Agent 组件的 Central Node 组件的计算机的信息。
  • 有关预设和防御规则的数据。
  • 有关使用 Endpoint Agent 组件分配给计算机的任务的信息。
  • 自定义小部件布局数据。
  • 有关用户定义的 TAA (IOA) 规则信息。
  • 有关用户定义的 IDS 规则信息。
  • 有关用户定义的 IOC 规则信息。
  • 有关网络隔离规则的数据。
  • 有关扫描排除项的数据。
  • 关于报告和报告模板的信息。
  • 有关 Endpoint Agent 组件证书的信息。

 

如果服务器上安装了 Central Node 组件,则数据将无限期地存储在托管 Central Node 组件的服务器上的 /data 目录中。当 Central Node 组件安装在集群上时,数据将无限期地存储在存储服务器上。

系统事件日志

操作系统日志文件无限期地存储在托管 Central Node 组件的服务器上的/var/log目录中。

包含应用程序操作信息的日志。

如果该组件安装在服务器上,则日志文件将无限期地存储在托管 Central Node 组件的服务器上的 /data 目录中。当 Central Node 组件安装在集群上时,数据将无限期地存储在存储服务器上。

文件扫描队列。

如果该组件安装在服务器上,文件将存储在托管 Central Node 组件的服务器上的 /data 目录中。当 Central Node 组件后安装在集群上时,数据将存储在存储服务器上。数据将保留直至扫描完成。

从带有 Endpoint Agent 组件的计算机接收的文件。

如果该组件安装在服务器上,文件将存储在托管 Central Node 组件的服务器上的 /data 目录中。当 Central Node 组件后安装在集群上时,数据将存储在存储服务器上。当磁盘空间已满时,数据将被轮换。

包含 YARA 和 IDS 规则(用户定义的和来自卡巴斯基的)的文件。

如果该组件安装在服务器上,文件将无限期地存储在托管 Central Node 组件的服务器上的 /data 目录中。当 Central Node 组件安装在集群上时,数据将无限期地存储在存储服务器上。

 

包含发送到外部系统的检测数据的文件。

如果该组件安装在服务器上,文件将无限期地存储在托管 Central Node 组件的服务器上的 /data 目录中。当 Central Node 组件安装在集群上时,数据将无限期地存储在存储服务器上。

 

Sandbox 组件的工件。

如果该组件安装在服务器上,文件将存储在托管 Central Node 组件的服务器上的 /data 目录中。当 Central Node 组件后安装在集群上时,数据将存储在存储服务器上。当磁盘空间已满时,数据将被轮换。

Sandbox 组件为其创建了检测的文件。

如果该组件安装在服务器上,文件将存储在托管 Central Node 组件的服务器上的 /data 目录中。当 Central Node 组件后安装在集群上时,数据将存储在存储服务器上。当磁盘空间已满时,数据将被轮换。

用于验证应用程序组件的证书文件。

文件将无限期地存储在托管 Central Node、PCN、SCN、Sensor 组件的服务器或具有 Endpoint Agent 组件的计算机上的 /data 目录中。

在应用程序组件之间传输的加密密钥。

文件将无限期地存储在托管 Central Node、PCN、SCN、Sensor 组件的服务器或具有 Endpoint Agent 组件的计算机上的 /data 目录中。

 

SPAN 端口的镜像流量副本。

文件存储在带有 Sensor 组件的服务器上安装的存储器中。当磁盘空间已满时,数据将被删除。

ICAP 排除项过滤器。

如果该组件安装在服务器上,文件将无限期地存储在托管 Central Node 组件的服务器上的 /data 目录中。当 Central Node 组件安装在集群上时,数据将无限期地存储在存储服务器上。

  • 有关网络会话的信息。
  • 设备信息。
  • 与 Endpoint Agent 组件集成时的遥测。
  • 网络流量事件。
  • 用户账户数据。
  • 有关可执行文件的信息。
  • 与已注册事件相关的流量转储。
  • 与网络会话相关的流量转储。

 

数据存储在 Central Node 服务器的 /data/storage/volumes/nta_database 目录中。当磁盘空间被填满时,数据将被轮换。

  • 用户账户 ID。
  • 用户账户名称。
  • 用户的域名。
  • 用户账户角色。
  • 用户账户状态。
  • 用户账户上次更改密码的日期和时间。

如果该组件安装在服务器上,文件将无限期地存储在托管 Central Node 组件的服务器上的 /data 目录中。当 Central Node 组件安装在集群上时,数据将无限期地存储在存储服务器上。

  • Central Node 服务器 ID。
  • Central Node 服务器的 IP 地址。
  • Central Node 服务器名称。
  • Central Node 活动指示器。
  • 租户 ID。
  • 租户姓名。
  • 分配给此租户的具有 Central Node 组件的服务器的名称。
  • 租户创建日期。
  • Kaspersky Security Center 分配的 Endpoint Agent 计算机 ID。
  • Endpoint Agent 计算机的名称。
  • Endpoint Agent 计算机的 IP 地址。
  • Endpoint Agent 计算机的操作系统。
  • 充当 Endpoint Agent 组件的应用程序的版本。
  • Endpoint Agent 自我防御机制的状态。
  • 第一个和最后一个遥测数据包被发送到 Central Node 组件的日期和时间。
  • 上次 IOC 扫描运行的日期和时间。
  • 上次 IOC 扫描运行的结果。
  • 充当 Endpoint Agent 组件的应用程序的授权许可密钥状态。
  • 创建防御规则的租户的 ID。
  • 防御规则的状态(已启用或已禁用)。
  • 被阻止运行的文件的 MD5 哈希和 SHA256 哈希。
  • 创建防御规则的用户的账户名。
  • 更改防御规则的用户的账户名。
  • 文件在其上被阻止运行的计算机列表。
  • 防御规则更改日志。
  • 防御规则创建日期和时间。
  • 防御规则的名称。
  • 指示是否必须通知用户文件开始被阻止的属性。
  • 分配给 Endpoint Agent 计算机的任务类型。
  • 分配了该任务的计算机的名称。
  • 具有 Endpoint Agent 组件的计算机的 IP 地址。
  • 分配给 Endpoint Agent 计算机的任务的创建日期和时间。
  • 为其创建任务的租户的 ID。
  • 任务到期日期。
  • 创建任务的用户账户的名称。
  • 任务设置数据。
  • 任务报告数据。
  • 任务注释。
  • 用户定义的 TAA (IOA) 规则名称。
  • 正在被扫描的请求的源代码。
  • 用户定义的 TAA (IOA) 规则 ID。
  • 用户定义的 TAA (IOA) 规则状态。
  • 用户定义的 TAA (IOA) 规则的创建日期和时间。
  • 添加用户定义的TAA(IOA)规则时指定的重要性。
  • 取决于添加用户定义的 TAA (IOA) 规则时用户定义的误报可能性的置信度。
  • 为其创建规则的租户的 ID。

上传具有用户定义的 IDS 规则的文件的用户账户的用户名。

  • 上传具有用户定义的 IDS 规则的文件的日期和时间。
  • 用户定义的 IDS 规则的状态。
  • 用户定义的 IDS 规则文件中指定的重要性。
  • 上传具有用户定义的 IOC 规则的文件的用户账户的用户名。
  • IOC 文件的名称。
  • IOC 文件的内容。
  • IOC 文件上传的日期和时间。
  • IOC 规则的状态。
  • IOC 文件中指定的规则重要性。
  • IOC 规则的描述。
  • 上传了 IOC 文件的租户的 ID。
  • 上传具有用户定义的 YARA 规则的文件的用户账户的用户名。
  • YARA 文件的内容。
  • YARA 文件上传的日期和时间。
  • 包含 YARA 规则的文件的名称。
  • 重要级别。
  • YARA 规则的状态。
  • 启用了网络隔离的用户的账户名。
  • 被隔离計算機的 ID。
  • 网络隔离规则的名称。
  • 网络隔离规则的状态。
  • 被从网络隔离中排除的资源列表。
  • 修改网络隔离规则的日期和时间。
  • 网络隔离规则的状态。
  • 网络隔离规则的到期日期。
  • 添加扫描排除项规则的用户的用户名。
  • 被从扫描中排除的对象列表。
  • 排除项规则 ID。
  • 排除项规则名称。
  • 排除项规则的创建日期和时间。
  • 为其创建排除项规则的租户的 ID。
  • 对其应用排除项规则的组件的名称。
  • 创建或修改报告模板的用户账户的 ID。
  • 模板创建日期。
  • 上次修改模板的日期。
  • 作为 HTML 代码的报告文本。
  • 模板的名称。
  • 租户 ID。
  • 上传 Endpoint Agent 组件证书文件的用户账户的用户名。
  • 证书摘要。
  • 证书的序列号。
  • 公钥。
  • 证书的到期日期。
  • Sandbox 组件扫描规则的状态
  • 规则类型
  • 所包含对象的掩码
  • 被排除对象的掩码
  • 被扫描文件的大小
  • 规则创建日期和时间
  • 分配规则的虚拟机的 ID

虚拟机配置信息:

  • 托管 Sandbox 组件的服务器的 IP 地址
  • 虚拟机列表

关于用户账户的数据:

  • 用户账户 ID。
  • 用户账户名称。
  • 授权用户的计算机的名称。

数据存储在 Central Node 服务器的 /data/storage/volumes/nta_database 目录中。当磁盘空间被填满时,数据将被轮换。

网络会话信息:

  • 网络通讯参与者的姓名。
  • 网络通信参与者的 IP 和 MAC 地址。

有关在应用程序中注册的设备的信息:

  • 设备名称。
  • 设备的 IP 和 MAC 地址。

作为 NDR 功能的一部分与 Endpoint Agent 组件集成时保存的数据:

  • 具有 Endpoint Agent 组件的计算机的 IP 和 MAC 地址。
  • 具有 Endpoint Agent 组件的计算机的名称。
  • 在具有 Endpoint Agent 组件的计算机上注册的用户账户的名称。
  • 计算机正在运行的操作系统。
  • 用户代理。

有关网络流量事件的信息:设备的 IP 和 MAC 地址。

有关作为 NDR 功能的一部分连接的 Endpoint Agent 计算机上的可执行文件的信息:

  • 文件名。
  • 文件路径。
  • 文件版本。
  • 文件的 MD5 哈希和 SHA256 哈希。

与记录的网络会话和事件相关的流量转储数据:

  • 网络通讯参与者的姓名。
  • 网络通信参与者的 IP 和 MAC 地址。
  • 设备名称。
  • 设备的 IP 和 MAC 地址。
  • 用户账户名称。
  • 用户账户 ID。
  • 计算机正在运行的操作系统。
  • 用户代理。
  • 可执行文件的名称。
  • 可执行文件路径。
  • 可执行文件的版本。
  • 可执行文件的 MD5 哈希和 SHA256 哈希。

页面顶部