偵測中的資料

Kaspersky Anti Targeted Attack Platform 資源不提供限制安裝 Central Node 元件的伺服器和作業系統使用者權限的功能。建議管理員根據自己的判斷使用任何系統資源來控制如何允許安裝了應用程式的伺服器和作業系統的使用者存取其他使用者的個人資料。

下表列出了建立偵測時可能儲存的資料的相關資訊。

Kaspersky Anti Targeted Attack Platform 偵測中的資料

資料類型

儲存地點和期限

所有偵測的以下資料儲存在伺服器上:

  • 偵測建立日期和時間。
  • 偵測修改的日期和時間。
  • 偵測到的物件的類別。
  • 偵測到的檔案的名稱。
  • 偵測到的檔案的類型。
  • 偵測到的物件的來源。
  • 偵測到的 URL。
  • 偵測到的檔案的 MD5 雜湊和 SHA256 雜湊。
  • 與偵測相關的警示詳細資訊中新增了使用者評論。
  • 建立偵測所依據的 TAA (IOA) 規則的 ID。
  • 產生偵測的電腦的 IP 位址和名稱。
  • 在其上產生偵測的電腦的 ID。
  • 使用者代理。
  • 與偵測相關的警示被分配到的使用者帳戶。
  • 檔案清單。
  • 警示重要性取決於根據卡巴斯基的經驗此警示對電腦或企業區域網路可能造成的安全影響。
  • 進行偵測的技術。
  • 與偵測相關的警示的狀態。
  • 與偵測相關的警示被指派的使用者的姓名。
  • 事件 ID(使用 NDR 功能時)。
  • 裝置 ID(使用 NDR 功能時)。

如果 Central Node 安裝在伺服器上,偵測資訊會儲存在 Central Node 伺服器的 /data 目錄中。如果 Central Node 作為叢集安裝,則偵測資訊會儲存在 ceph 儲存中。

當單項掃描技術產生的偵測記錄數量達到 1000000 條時,資料就會輪替。

當與偵測相關的警示被修改時,以下資訊將儲存在伺服器上:

  • 修改警示的使用者帳戶。
  • 向其分配了警示的使用者帳戶。
  • 警示修改的日期和時間。
  • 警示狀態。
  • 使用者評論。

如果偵測是由掃描檔案建立的,則下列資訊可能儲存在伺服器上:

  • 偵測到的檔案的完整名稱。
  • 偵測到的檔案的 MD5 雜湊和 SHA256 雜湊。
  • 偵測到的檔案的大小。
  • 有關檔案簽章的資訊。

如果偵測是由掃描 FTP 流量建立的,則下列資訊可能儲存在伺服器上:

  • FTP 請求的 URI。

如果偵測是由掃描 HTTP 流量建立的,則下列資訊可能儲存在伺服器上:

  • HTTP 請求的 URI。
  • 請求來源的 URI。
  • 使用者代理。
  • 有關代理伺服器的資訊。

如果偵測是由於入侵偵測技術的掃描而建立的,則以下資訊可能儲存在伺服器上:

  • 傳送資料的電腦的名稱。
  • 接收資料的電腦的名稱。
  • 傳送資料的電腦的 IP 位址。
  • 接收資料的電腦的 IP 位址。
  • 傳輸的資料。
  • 資料傳輸時間。
  • 從包含流量、使用者代理和方法的檔案中提取的 URL。
  • 包含偵測發生處的流量的檔案。
  • 基於 IDS 資料庫的物件類別。
  • 用於產生偵測的自訂 IDS 規則的名稱。
  • HTTP 請求主體。
  • 偵測到的物件的清單。

如果偵測是由於 URL 信譽技術掃描而建立的,則下列資訊可能儲存在伺服器上:

  • 傳送資料的電腦的名稱。
  • 接收資料的電腦的名稱。
  • 傳送資料的電腦的 IP 位址。
  • 接收資料的電腦的 IP 位址。
  • 傳輸資源的 URI。
  • 有關代理伺服器的資訊。
  • 電子郵件的唯一 ID。
  • 郵件寄件者和收件者的電子郵件信箱(包括副本收件者和郵件的密件副本)。
  • 電子郵件主旨。
  • Kaspersky Anti Targeted Attack Platform 接收到郵件的日期和時間,精確到秒。
  • 偵測到的物件的清單。
  • 網路連線時間。
  • 網路連線的 URL。
  • 使用者代理。

如果偵測是由掃描 HTTP 流量建立的,則下列資訊可能儲存在伺服器上:

  • 用於產生偵測的應用程式資料庫的版本。
  • 偵測到的物件的類別。
  • 偵測到的物件名稱。
  • 偵測到的物件的 MD5 雜湊。
  • 偵測到的物件的資訊。

如果偵測是由於惡意軟體防護技術的掃描而建立的,則以下資訊可能儲存在伺服器上:

  • 用於產生警示的 Kaspersky Anti Targeted Attack Platform 元件的資料庫版本。
  • 偵測到的物件的類別。
  • 偵測到的物件的清單。
  • 偵測到的物件的 MD5 雜湊。
  • 有關偵測的其他資訊。

如果偵測是因為 DNS 活動偵測建立的,則下列資訊可能儲存在伺服器上:

  • DNS 查詢資料。
  • DNS 伺服器對查詢的回應內容。
  • 查詢的主機清單。

如果根據使用者定義的 IOC 或TAA (IOA) 規則進行掃描後建立偵測,則下列資訊可能會儲存在伺服器上:

  • 掃描完成的日期和時間。
  • 產生偵測的電腦的 ID。
  • TAA (IOA) 規則的名稱。
  • IOC 檔案的名稱。
  • 偵測到的物件的資訊。
  • 具有 Endpoint Agent 元件的主機清單。

如果使用 YARA 規則建立了偵測,則可以在伺服器上儲存以下資訊:

  • 用於產生偵測的 YARA 規則的版本。
  • 偵測到的物件的類別。
  • 偵測到的物件的名稱。
  • 偵測到的物件的 MD5 雜湊。
  • 偵測到物件的日期和時間。
  • 有關警示的其他資訊。

如果偵測是由掃描檔案建立的,則下列資訊可能儲存在伺服器上:

  • 郵件寄件者和收件者的電子郵件信箱(包括郵件副本和密件副本收件者)。
  • 電子郵件主旨。
  • Kaspersky Anti Targeted Attack Platform 接收到郵件的日期和時間,精確到秒。
  • 郵件的所有服務標題(如果它們出現在郵件中)。

如果 Central Node 安裝在伺服器上,偵測資訊會儲存在 Central Node 伺服器的 /data 目錄中。如果 Central Node 作為叢集安裝,則偵測資訊會儲存在 ceph 儲存中。

資料將無限期儲存。

如果偵測是由重新掃描建立的,則下列資訊可能儲存在伺服器上:

  • 檔案名稱。

另請參閱

Central Node 和 Sensor 元件的資料

Sensor 元件的流量資料

事件中的資料

報告中的資料

儲存和隔離區中物件的資料
頁面頂部