事件中的資料

事件可能包含使用者資料。如果伺服器上安裝了 Central Node，則發生的事件的資訊將儲存在/data目錄中。如果 Central Node 作為叢集安裝，則資訊儲存在 ceph 儲存中。

當磁碟變滿時，資料會輪換。

Kaspersky Anti Targeted Attack Platform 資源不提供限制安裝 Central Node 元件的伺服器和作業系統使用者權限的功能。建議管理員根據自己的判斷使用任何系統資源來控制如何允許安裝了應用程式的伺服器和作業系統的使用者存取其他使用者的個人資料。

事件資料可以包含與以下內容相關的資訊：

• 發生事件的電腦的名稱。
• 具有 Endpoint Agent 元件的電腦的唯一 ID。
• 發生事件的使用者帳戶的名稱。
• 使用者所屬群組的名稱。
• 事件類型。
• 事件時間。
• 有關為其記錄事件的檔案的資訊：名稱、路徑、完整名稱。
• 檔案的 MD5 雜湊和 SHA256 雜湊。
• 檔案建立時間。
• 檔案修改時間。
• 檔案存取權限。
• 處理程序的環境變數。
• 命令列參數。
• 輸入到命令列中的命令文字。
• 介面卡的本機 IP 位址。
• 本機連接埠。
• 遠端主機名稱。
• 遠端主機 IP 位址。
• 遠端主機連接埠。
• 造訪過的網站的 URL 和 IP 位址，以及來自這些網站的連結。
• 網路連線協定。
• HTTP 請求方法。
• HTTP 請求標頭。
• 有關 Windows 登錄檔變數的資訊：變數的路徑、變數名稱、變數值。
• 傳送用於 AMSI 掃描的指令碼或二進位檔案的內容。
• 有關 Windows 日誌中事件的資訊：事件類型、事件類型 ID、事件 ID、記錄事件的使用者帳戶、來自 Windows 事件日誌的 XML 格式的事件完整文字。

另請參閱 Central Node 和 Sensor 元件的資料 Sensor 元件的流量資料 偵測中的資料 報告中的資料 儲存和隔離區中物件的資料

頁面頂部