检测中的数据

Kaspersky Anti Targeted Attack Platform 资源不提供限制安装 Central Node 组件的服务器和操作系统用户权限的功能。建议管理员根据自己的判断使用任何系统资源来控制如何允许安装了应用程序的服务器和操作系统的用户访问其他用户的个人数据。

下表列出了创建检测时可能存储的数据的相关信息。

Kaspersky Anti Targeted Attack Platform 检测中的数据

数据类型

存储地点和期限

所有检测的以下数据存储在服务器上:

  • 检测创建日期和时间。
  • 警报修改的日期和时间。
  • 检测到的对象的类别。
  • 检测到的文件的名称。
  • 检测到的文件的类型。
  • 检测到的对象的来源。
  • 检测到的 URL。
  • 检测到的文件的 MD5 哈希和 SHA256 哈希。
  • 与检测相关的警报详细信息中添加了用户评论。
  • 创建检测所依据的 TAA (IOA) 规则的 ID。
  • 生成检测的计算机的 IP 地址和名称。
  • 在其上生成检测的计算机的 ID。
  • 用户代理。
  • 与检测相关的警报被分配到的用户账户。
  • 文件列表。
  • 警报重要性取决于根据卡巴斯基的经验此警报对计算机或企业局域网可能造成的安全影响。
  • 进行检测的技术。
  • 与检测相关的警报的状态。
  • 与检测相关的警报被分配到的用户的姓名。
  • 事件 ID(使用 NDR 功能时)。
  • 设备 ID(使用 NDR 功能时)。

如果 Central Node 安装在服务器上,检测信息存储在 Central Node 服务器的 /data 目录中。如果 Central Node 作为集群安装,则检测信息存储在 ceph 存储中。

当单项扫描技术生成的检测记录数量达到 1,000,000 条时,数据就会轮换。

当与检测相关的警报被修改时,以下信息将存储在服务器上:

  • 修改警报的用户账户。
  • 向其分配了警报的用户账户。
  • 警报修改的日期和时间。
  • 警报状态。
  • 用户评论。

如果检测是由扫描文件创建的,则以下信息可能存储在服务器上:

  • 检测到的文件的全名。
  • 检测到的文件的 MD5 哈希和 SHA256 哈希。
  • 检测到的文件的大小。
  • 有关文件签名的信息。

如果检测是由扫描 FTP 流量创建的,则以下信息可能存储在服务器上:

  • FTP 请求的 URI。

如果检测是由扫描 HTTP 流量创建的,则以下信息可能存储在服务器上:

  • HTTP 请求的 URI。
  • 请求源的 URI。
  • 用户代理。
  • 有关代理服务器的信息。

如果检测是由于入侵检测技术的扫描而创建的,则以下信息可能存储在服务器上:

  • 发送数据的计算机的名称。
  • 接收数据的计算机的名称。
  • 发送数据的计算机的 IP 地址。
  • 接收数据的计算机的 IP 地址。
  • 传输的数据。
  • 数据传输时间。
  • 从包含流量、用户代理和方法的文件提取的 URL。
  • 包含检测发生处的流量的文件。
  • 基于 IDS 数据库的对象类别。
  • 用于生成检测的自定义 IDS 规则的名称。
  • HTTP 请求正文。
  • 检测到的对象的列表。

如果检测是由于 URL 信誉技术扫描而创建的,则以下信息可能存储在服务器上:

  • 发送数据的计算机的名称。
  • 接收数据的计算机的名称。
  • 发送数据的计算机的 IP 地址。
  • 接收数据的计算机的 IP 地址。
  • 传输资源的 URI。
  • 有关代理服务器的信息。
  • 电子邮件的唯一 ID。
  • 邮件发件人和收件人的电子邮件地址(包括副本收件人和邮件的密件副本)。
  • 电子邮件主题。
  • Kaspersky Anti Targeted Attack Platform 接收到邮件的日期和时间,精确到秒。
  • 检测到的对象的列表。
  • 网络连接时间。
  • 网络连接的URL。
  • 用户代理。

如果检测是由扫描 HTTP 流量创建的,则以下信息可能存储在服务器上:

  • 用于生成检测的应用程序数据库的版本。
  • 检测到的对象的类别。
  • 检测到的对象名称。
  • 检测到的对象的 MD5 哈希。
  • 检测到的对象的信息。

如果检测是由于反恶意软件技术的扫描而创建的,则以下信息可能存储在服务器上:

  • 用于生成警报的 Kaspersky Anti Targeted Attack Platform 组件的数据库版本。
  • 检测到的对象的类别。
  • 检测到的对象的列表。
  • 检测到的对象的 MD5 哈希。
  • 有关检测的其他信息。

如果检测是因为 DNS 活动检测创建的,则以下信息可能存储在服务器上:

  • DNS 查询数据。
  • DNS 服务器对查询的响应内容。
  • 查询的主机列表。

如果根据用户定义的 IOC 或 TAA (IOA) 规则进行扫描后创建检测,则以下信息可能会存储在服务器上:

  • 扫描完成的日期和时间。
  • 生成检测的计算机的 ID。
  • TAA (IOA) 规则的名称。
  • IOC 文件的名称。
  • 检测到的对象的信息。
  • 具有 Endpoint Agent 组件的主机列表。

如果使用 YARA 规则创建了检测,则可以在服务器上存储以下信息:

  • 用于生成检测的 YARA 规则的版本。
  • 检测到的对象的类别。
  • 检测到的对象的名称。
  • 检测到的对象的 MD5 哈希。
  • 检测到对象的日期和时间。
  • 有关警报的其他信息。

如果检测是由扫描文件创建的,则以下信息可能存储在服务器上:

  • 邮件发件人和收件人的电子邮件地址(包括邮件副本和密件副本收件人)。
  • 电子邮件主题。
  • Kaspersky Anti Targeted Attack Platform 接收到邮件的日期和时间,精确到秒。
  • 邮件的所有服务标题(如果它们出现在邮件中)。

如果 Central Node 安装在服务器上,检测信息存储在 Central Node 服务器的 /data 目录中。如果 Central Node 作为集群安装,则检测信息存储在 ceph 存储中。

数据将无限期保存。

如果检测是由重新扫描创建的,则以下信息可能存储在服务器上:

  • 文件名。

另请参阅

Central Node 和 Sensor 组件的数据

Sensor 组件的流量数据

事件中的数据

报告中的数据

存储和隔离区中对象的数据
页面顶部