應用程式的服務資料

Kaspersky Anti Targeted Attack Platform 資源不提供限制安裝 Central Node 元件的伺服器和作業系統使用者權限的功能。建議管理員根據自己的判斷使用任何系統資源來控制如何允許安裝了應用程式的伺服器和作業系統的使用者存取其他使用者的個人資料。

Kaspersky Anti Targeted Attack Platform 的服務資料資訊如下表所示。

Kaspersky Anti Targeted Attack Platform 的服務資料

資料類型

儲存地點和期限
  • 關於使用者帳戶的資料。
  • Central Node 元件的資料。
  • 有關租戶的資料。
  • 有關連線到安裝了 Endpoint Agent 元件的 Central Node 元件的電腦的資訊。
  • 有關預設和防禦規則的資料。
  • 有關使用 Endpoint Agent 元件指派給電腦的工作的資訊。
  • 自訂小工具佈局資料。
  • 有關使用者定義的 TAA (IOA) 規則資訊。
  • 有關使用者定義的 IDS 規則資訊。
  • 有關使用者定義的 IOC 規則資訊。
  • 有關網路隔離規則的資料。
  • 有關掃描排除項目的資料。
  • 關於報告和報告範本的資訊。
  • 有關 Endpoint Agent 元件憑證的資訊。

 

如果伺服器上安裝了 Central Node 元件,則資料將無限期地儲存在託管 Central Node 元件的伺服器上的/data目錄中。當 Central Node 元件安裝在叢集上時,資料將無限期地儲存在儲存伺服器上。

有關 МDR、KSN、KPSN 整合的資訊。

此資訊無限期地儲存在 Central Node 伺服器的/data目錄中。

 

有關應用程式的產品授權金鑰或啟動碼的資訊。

Endpoint Agent 設定。

用於傳送通知的郵件伺服器的設定:

  • 伺服器的 IP 位址和連接埠。
  • 憑證的指紋。
  • 伺服器上授權的使用者的登入名稱和密碼雜湊。
  • 用作解密金鑰的 Secret 的名稱。
  • 是否正在使用加密。

目前伺服器的名稱。

連線到目前伺服器的伺服器位址以及用於與這些伺服器相互認證的憑證資訊。

連線器設定:

  • 連線器節點的位址。
  • 連線器與之互動的協力廠商系統的伺服器位址。

有關 Secret 和 Central Node 使用者的使用者帳戶資訊的資訊。

監控點位址。

有關 ICAP 排除項目的資訊。

Sensor 與 ICAP 整合的設定:

  • 狀態(啟用或停用)。
  • 最大連線數。
  • REQMOD 模式下的連線位址。
  • RESPMOD 模式下的連線位址。
  • ICAP 請求標頭,其中包含透過代理伺服器接收此請求時傳出 HTTP 請求的用戶端的 IP 位址。
  • ICAP 請求標頭,其中包含透過代理伺服器接收此請求時傳出 HTTP 請求的用戶端的連接埠。
  • 使用者名稱。
  • ICAP 請求標頭,其中包含透過代理伺服器接收此請求時傳出 HTTP 請求的用戶端的使用者名稱。
  • 是否使用了 base64 解碼。
  • 操作模式。
  • 掃描逾時。
  • 偵測重要性。
  • 檔案被封鎖時回傳給使用者的頁面。
  • URL 被封鎖時傳回給使用者的頁面。
  • 監聽的接口。

用於將使用者定義的入侵偵測規則傳送到 KSN 的設定。

有關 Kerberos 認證中使用的 Keytab 檔案的狀態和名稱的資訊。

有關 KSMG 電子郵件掃描優先順序的資訊。

CPU 與 RAM 負載通知設定:

  • CPU、硬碟和 RAM 使用率閾值。
  • 統計更新間隔。

有關用於 Sensor 和 Central Node 相互認證的憑證的資訊。

Sensor 與 POP3 整合的設定:

  • POP3 伺服器的 IP 位址和連接埠。
  • POP3 伺服器上授權的使用者的登入名稱和密碼雜湊。
  • 用作解密金鑰的 Secret 的名稱。
  • 憑證驗證政策。
  • 用戶端憑證。

代理伺服器設定:

  • 代理伺服器的 IP 位址和連接埠。
  • 代理伺服器上授權的使用者的登入名稱和密碼雜湊。
  • 用作解密金鑰的 Secret 的名稱。
  • 代理伺服器的狀態。

儲存伺服器設定:

  • 儲存大小。
  • 儲存期限。

Sandbox 伺服器的設定:

  • 伺服器的 IP 位址和名稱。
  • 伺服器的狀態。
  • 憑證的指紋。

Sandbox 設定:

  • 虛擬機映像清單。
  • Sandbox 同步狀態。

安全設定:

  • 密碼變更和重置期限。
  • 認證計數器失敗。
  • 最大使用者不活動時間。
  • 控制板由於使用者不活動而處於鎖定狀態。

Sensor 伺服器的設定:可以傳送以進行掃描的檔案的最大大小。

SIEM 設定:

  • 本機和遠端更新和操作日誌的狀態。
  • TLS 加密狀態。
  • SIEM 伺服器位址和連接埠。
  • 正在使用的網路協定。
  • 向 SIEM 傳送資料的主機的 ID。
  • TLS 加密憑證。

Sensor 與 SMTP 整合的設定:

  • 用於相互身份認證的憑證。
  • 網域名稱和子網域名稱。
  • SMTP 用戶端網路和子網路。
  • TLS 安全級別。
  • 請求用戶端 TLS 憑證的狀態。
  • SMTP 狀態。

SNMP 連線設定:

  • 登入名。
  • 密碼雜湊。
  • 用作解密金鑰的 Secret 的名稱。
  • 協定版本。
  • SNMP 狀態。

Sensor 與 SPAN 整合的設定:

  • 監聽的接口。
  • 保存 HTTP 標頭的狀態。
  • SPAN 狀態。
  • 用戶端憑證。

SPAN 連接埠映像流量的儲存設定:

  • 儲存狀態和大小。
  • 正在使用的目錄。
  • 最大檔案數。

威脅搜尋設定:

  • 是否使用 TAA 規則掃描事件鏈。
  • 正在使用的資料模型的版本。

時區設定。

更新設定:

  • 更新伺服器類型。
  • 更新伺服器的自訂 URL。

此資訊無限期地儲存在 Central Node 伺服器的/data目錄中。

系統事件日誌

作業系統日誌檔案無限期地儲存在託管 Central Node 元件的伺服器上的/var/log目錄中。

包含應用程式操作資訊的日誌。

如果元件安裝在伺服器上,則日誌檔案將無限期地儲存在託管 Central Node 元件的伺服器上的/data 目錄中。當 Central Node 元件安裝在叢集上時,資料將無限期地儲存在儲存伺服器上。

檔案掃描佇列。

如果元件安裝在伺服器上,檔案將儲存在託管 Central Node 元件的伺服器上的/data 目錄中。當 Central Node 元件後安裝在叢集上時,資料將儲存在儲存伺服器上。資料將保留直至掃描完成。

從具有 Endpoint Agent 元件的電腦接收的檔案。

如果元件安裝在伺服器上,檔案將儲存在託管 Central Node 元件的伺服器上的/data 目錄中。當 Central Node 元件後安裝在叢集上時,資料將儲存在儲存伺服器上。當磁碟空間已滿時,資料將被輪換。

包含YARA 和 IDS 規則(使用者定義的和來自卡巴斯基的)的檔案。

如果元件安裝在伺服器上,檔案將無限期地儲存在託管 Central Node 元件的伺服器上的/data 目錄中。當 Central Node 元件安裝在叢集上時,資料將無限期地儲存在儲存伺服器上。

 

包含傳送到外部系統的偵測資料的檔案。

如果元件安裝在伺服器上,檔案將無限期地儲存在託管 Central Node 元件的伺服器上的/data 目錄中。當 Central Node 元件安裝在叢集上時,資料將無限期地儲存在儲存伺服器上。

 

Sandbox 元件的工件。

如果元件安裝在伺服器上,檔案將儲存在託管 Central Node 元件的伺服器上的/data 目錄中。當 Central Node 元件後安裝在叢集上時,資料將儲存在儲存伺服器上。當磁碟空間已滿時,資料將被輪換。

Sandbox 元件為其建立了偵測的檔案。

如果元件安裝在伺服器上,檔案將儲存在託管 Central Node 元件的伺服器上的/data 目錄中。當 Central Node 元件後安裝在叢集上時,資料將儲存在儲存伺服器上。當磁碟空間已滿時,資料將被輪換。

用於驗證應用程式元件的憑證檔案。

檔案將無限期地儲存在託管 Central Node、PCN、SCN、Sensor 元件的伺服器或具有 Endpoint Agent 元件的電腦上的/data 目錄中。

在應用程式元件之間傳輸的加密金鑰。

檔案將無限期地儲存在託管 Central Node、PCN、SCN、Sensor 元件的伺服器或具有 Endpoint Agent 元件的電腦上的/data 目錄中。

 

SPAN 連接埠的映像流量副本。

檔案儲存在具有 Sensor 元件的伺服器上安裝的記憶體中。當磁碟空間已滿時,資料將被刪除。

ICAP 排除項目篩選器。

如果元件安裝在伺服器上,檔案將無限期地儲存在託管 Central Node 元件的伺服器上的/data 目錄中。當 Central Node 元件安裝在叢集上時,資料將無限期地儲存在儲存伺服器上。
  • 有關網路工作階段的資訊。
  • 裝置資訊。
  • 與 Endpoint Agent 元件整合時的遙測。
  • 網路流量事件。
  • 使用者帳戶資料。
  • 有關可執行檔的資訊。
  • 與已註冊事件相關的流量傾印。
  • 與網路工作階段相關的流量傾印。

 

資料儲存在 Central Node 伺服器的/data/storage/volumes/nta_database 目錄中。當磁碟空間被填滿時,資料將被輪換。
  • 使用者帳戶 ID。
  • 使用者帳戶名稱。
  • 使用者的網域名稱。
  • 使用者帳戶角色。
  • 使用者帳戶狀態。
  • 使用者帳戶上次變更密碼的日期和時間。

如果元件安裝在伺服器上,檔案將無限期地儲存在託管 Central Node 元件的伺服器上的/data 目錄中。當 Central Node 元件安裝在叢集上時,資料將無限期地儲存在儲存伺服器上。
  • Central Node 伺服器 ID。
  • Central Node 伺服器的 IP 位址。
  • Central Node 伺服器名稱。
  • Central Node 活動指示器。
  • 租戶 ID。
  • 租戶姓名。
  • 指派給此租戶的具有 Central Node 元件的伺服器的名稱。
  • 租戶建立日期。
  • 卡巴斯基安全管理中心指派的 Endpoint Agent 電腦 ID。
  • Endpoint Agent 電腦的名稱。
  • Endpoint Agent 電腦的 IP 位址。
  • Endpoint Agent 電腦的作業系統。
  • 充當 Endpoint Agent 元件的應用程式的版本。
  • Endpoint Agent 自我防衛機制的狀態。
  • 第一個和最後一個遙測封包被傳送到 Central Node 元件的日期和時間。
  • 上次 IOC 掃描運行的日期和時間。
  • 上次 IOC 掃描運行的結果。
  • 充當 Endpoint Agent 元件的應用程式的產品授權金鑰狀態。
  • 建立防禦規則的租戶的 ID。
  • 防禦規則的狀態(已啟用或已停用)。
  • 被阻止運行的檔案的 MD5 雜湊和 SHA256 雜湊。
  • 建立防禦規則的使用者的帳戶名稱。
  • 變更防禦規則的使用者的帳戶名稱。
  • 檔案在其上被阻止運行的電腦清單。
  • 防禦規則變更日誌。
  • 防禦規則建立日期和時間。
  • 防禦規則的名稱。
  • 指示是否必須通知使用者檔案開始被封鎖的屬性。
  • 指派給 Endpoint Agent 電腦的工作類型。
  • 分配了該工作的電腦的名稱。
  • 具有 Endpoint Agent 元件的電腦的 IP 位址。
  • 指派給 Endpoint Agent 電腦的工作的建立日期和時間。
  • 為其建立工作的租戶的 ID。
  • 工作到期日期。
  • 建立工作的使用者帳戶的名稱。
  • 工作設定資料。
  • 工作報告資料。
  • 工作註釋。
  • 使用者定義的 TAA (IOA) 規則名稱。
  • 正在掃描的請求的原始碼。
  • 使用者定義的 TAA (IOA) 規則 ID。
  • 使用者定義的 TAA (IOA) 規則狀態。
  • 使用者定義的 TAA (IOA) 規則的建立日期和時間。
  • 新增使用者定義的 TAA(IOA)規則時指定的重要性。
  • 取決於新增使用者定義的 TAA (IOA) 規則時使用者定義的誤報可能性的置信度。
  • 為其建立規則的租戶的 ID。
  • 上傳具有使用者定義的入侵偵測規則的檔案的使用者帳戶的使用者名稱。
  • 上傳具有使用者定義的入侵偵測規則的檔案的日期和時間。
  • 使用者定義的入侵偵測規則的狀態。
  • 使用者定義的入侵偵測規則檔案中指定的重要性。
  • 上傳具有使用者定義的 IOC 規則的檔案的使用者帳戶的使用者名稱。
  • IOC 檔案的名稱。
  • IOC 檔案的內容。
  • IOC 檔案上傳的日期和時間。
  • IOC 規則的狀態。
  • IOC 檔案中指定的規則重要性。
  • IOC 規則的描述。
  • 上傳了 IOC 檔案的租戶的 ID。
  • 上傳具有使用者定義的 YARA 規則的檔案的使用者帳戶的使用者名稱。
  • YARA 檔案的內容。
  • YARA 檔案上傳的日期和時間。
  • 包含 YARA 規則的檔案的名稱。
  • 重要級別。
  • YARA 規則的狀態。
  • 啟用了網路隔離的使用者的帳戶名稱。
  • 被隔離電腦的 ID。
  • 網路隔離規則的名稱。
  • 網路隔離規則的狀態。
  • 被從網路隔離中排除的資源清單。
  • 修改網路隔離規則的日期和時間。
  • 網路隔離規則的狀態。
  • 網路隔離規則的到期日期。
  • 新增掃描排除項目規則的使用者的使用者名稱。
  • 被從掃描中排除的物件清單。
  • 排除項目規則 ID。
  • 排除項目規則名稱。
  • 排除項目規則的建立日期和時間。
  • 為其建立排除項目規則的租戶的 ID。
  • 對其套用排除項目規則的元件的名稱。
  • 建立或修改報告範本的使用者帳戶的 ID。
  • 範本建立日期。
  • 上次修改範本的日期。
  • 作為 HTML 代碼的報告文字。
  • 範本的名稱。
  • 租戶 ID。
  • 上傳 Endpoint Agent 元件憑證檔案的使用者帳戶的使用者名稱。
  • 憑證摘要。
  • 憑證的序號。
  • 公鑰。
  • 憑證的到期日期。
  • Sandbox 元件掃描規則的狀態
  • 規則類型
  • 所包含物件的遮罩
  • 被排除物件的遮罩
  • 被掃描檔案的大小
  • 規則建立日期和時間
  • 分配規則的虛擬機的 ID

虛擬機配置資訊:

  • 託管 Sandbox 元件的伺服器的 IP 位址
  • 虛擬機清單

關於使用者帳戶的資料:

  • 使用者帳戶 ID。
  • 使用者帳戶名稱。
  • 授權使用者的電腦的名稱。

資料儲存在 Central Node 伺服器的/data/storage/volumes/nta_database 目錄中。當磁碟空間被填滿時,資料將被輪換。

網路工作階段資訊:

  • 網路通訊參與者的姓名。
  • 網路通訊參與者的 IP 和 MAC 位址。

有關在應用程式中註冊的裝置的資訊:

  • 裝置名稱。
  • 裝置的 IP 和 MAC 位址。

作為 NDR 功能的一部分與 Endpoint Agent 元件整合時儲存的資料:

  • 具有 Endpoint Agent 元件的電腦的 IP 和 MAC 位址。
  • 具有 Endpoint Agent 元件的電腦的名稱。
  • 在具有 Endpoint Agent 元件的電腦上註冊的使用者帳戶的名稱。
  • 電腦正在運作的作業系統。
  • 使用者代理。

網路流量事件的資訊:裝置的 IP 和 MAC 位址。

有關作為 NDR 功能的一部分連線的 Endpoint Agent 電腦上的可執行檔的資訊:

  • 檔案名稱。
  • 檔案路徑。
  • 檔案版本。
  • 檔案的 MD5 雜湊和 SHA256 雜湊。

與記錄的網路工作階段和事件相關的流量傾印資料:

  • 網路通訊參與者的姓名。
  • 網路通訊參與者的 IP 和 MAC 位址。
  • 裝置名稱。
  • 裝置的 IP 和 MAC 位址。
  • 使用者帳戶名稱。
  • 使用者帳戶 ID。
  • 電腦正在運作的作業系統。
  • 使用者代理。
  • 可執行檔的名稱。
  • 可執行檔路徑。
  • 可執行檔的版本。
  • 可執行檔的 MD5 雜湊和 SHA256 雜湊。

與 NDR 功能相關的使用者活動的稽核日誌。

頁面頂部