Служебные данные приложения

Возможность ограничить права пользователей серверов и операционных систем, на которые установлен компонент Central Node, средствами Kaspersky Anti Targeted Attack Platform не предусмотрена. Администратору рекомендуется контролировать доступ пользователей серверов и операционных систем, на которые установлено приложение, к персональным данным других пользователей любыми системными средствами на его усмотрение.

Информация о служебных данных Kaspersky Anti Targeted Attack Platform приведена в таблице ниже

Служебные данные Kaspersky Anti Targeted Attack Platform

Тип данных

Место и срок хранения

Данные учетных записей пользователей:

  • Идентификатор учетной записи.
  • Имя учетной записи.
  • Пароль (хеш с солью).

Данные хранятся бессрочно на сервере с компонентом Central Node в директории /data.

 

Информация об интеграции с МDR, KSN, KPSN.

Параметры инеграции с OSMP:

  • IP-адрес или FQDN сервера Central Node, на который происходит перенаправление из консоли OSMP.
  • IP-адрес или FQDN сервера OSMP, который отвечает за аутентификацию пользователей при входе в веб-интерфейс Kaspersky Anti Targeted Attack Platform.
  • Данные секрета (хранятся в зашифрованном виде).

Данные об используемых лицензионных ключах или кодах активации.

Параметры Endpoint Agent.

Параметры почтового сервера, используемого для отправки уведомлений:

  • IP-адрес и порт сервера.
  • Цифровой отпечаток сертификата.
  • Логин и хеш пароля пользователя, от имени которого происходит авторизация на сервере.
  • Имя секрета, который используется в качестве ключа расшифровки.
  • Используется ли шифрование.

Имя текущего сервера.

Адреса серверов, подключенных к текущему серверу, и данные о сертификатах, используемых для взаимной аутентификации с ними.

Параметры коннекторов:

  • Адрес сервера размещения коннектора.
  • Адрес сервера сторонней системы, с которой взаимодействует коннектор.

Данные о секретах и данные учетных записей пользователей Central Node.

Адрес точки мониторинга.

Данные об ICAP-исключениях.

Параметры интеграции Sensor с ICAP:

  • Состояние (включено или выключено).
  • Максимальное количество подключений.
  • Адрес подключения в режиме REQMOD.
  • Адрес подключения в режиме RESPMOD.
  • Заголовок запроса ICAP, который содержит IP-адрес клиента, отправившего HTTP запрос, при получении этого запроса через прокси-сервер.
  • Заголовок запроса ICAP, который содержит порт клиента, отправившего HTTP запрос, при получении этого запроса через прокси-сервер.
  • Имя пользователя.
  • Заголовок запроса ICAP, который содержит имя пользователя клиента, отправившего HTTP запрос, при получении этого запроса через прокси-сервер.
  • Использовано ли декодирование base64.
  • Режим работы.
  • Таймаут проверки.
  • Важность обнаружения.
  • Страница, возвращаемая пользователю при блокировке файла.
  • Страница, возвращаемая пользователю при блокировке URL.
  • Прослушиваемые интерфейсы.

Параметры отправки пользовательских правил обнаружения вторжений в KSN.

Данные о состоянии и именах Keytab-файлов, используемых в Kerberos-аутентификации.

Информация о приоритете проверки сообщений электронной почты KSMG.

Параметры уведомлений о загрузке ЦП и ОЗУ:

  • Пороги использования центрального процессора, жесткого диска и оперативной памяти.
  • Интервал обновления статистики.

Информация о сертификатах, используемых для взаимной аутентификации Sensor и Central Node.

Параметры интеграции Sensor с POP3:

  • IP-адрес и порт сервера POP3.
  • Логин и хеш пароля пользователя, от имени которого происходит авторизация на сервере POP3.
  • Имя секрета, который используется в качестве ключа расшифровки.
  • Политика проверки сертификатов.
  • Сертификаты клиентов.

Параметры прокси-сервера:

  • IP-адрес и порт прокси-сервера.
  • Логин и хеш пароля пользователя, от имени которого происходит авторизация на прокси-сервере.
  • Имя секрета, который используется в качестве ключа расшифровки.
  • Состояние прокси-сервера.

Параметры серверов хранения:

  • Размер хранилища.
  • Срок хранения данных.

Параметры серверов с компонентом Sandbox:

  • IP-адрес и имя сервера.
  • Состояние сервера.
  • Цифровой отпечаток сертификата.

Параметры компонента Sandbox:

  • Список образов виртуальных машин.
  • Состояние синхронизации Sandbox.

Параметры безопасности:

  • Период смены и сброса пароля.
  • Счетчик неудачных попыток аутентификации.
  • Максимальное время бездействия пользователя.
  • Состояние блокировки раздела Мониторинг при отсутствии активности со стороны пользователя.

Параметры серверов с компонентом Sensor: максимальный размер файла, отправляемого на сканирование.

Параметры SIEM:

  • Состояние локальных и удаленных журналов обновлений и действий.
  • Состояние TLS-шифрования.
  • Адреса и порты серверов SIEM
  • Используемый сетевой протокол.
  • ID хоста, отправляющего данные в SIEM.
  • Сертификат шифрования TLS.

Параметры интеграции Sensor с SMTP:

  • Сертификаты, используемые для взаимной аутентификации.
  • Имена доменнов и поддоменов.
  • Клиентские сети и подсети SMTP.
  • Уровень безопасности TLS.
  • Состояние запроса клиентского TLS сертификата
  • Состоянии интеграции с SMTP.

Параметры соединения по протоколу SNMP:

  • Логин.
  • Хеш пароля.
  • Имя секрета, который используется в качестве ключа расшифровки.
  • Версия протокола.
  • Состояние интеграции с SNMP.

Параметры интеграции Sensor со SPAN:

  • Прослушиваемые интерфейсы.
  • Состояние сохранения HTTP-заголовков.
  • Состояние SPAN.
  • Сертификаты клиентов.

Параметры хранилища зеркалированного трафика со SPAN-портов:

  • Состояние и размер хранилища.
  • Используемая директория.
  • Максимальное количество файлов.

 

Параметры часового пояса.

Параметры обновлений:

  • Тип сервера обновлений.
  • Пользовательский URL-адрес сервера обновлений.

Данные хранятся бессрочно на сервере с компонентом Central Node в директории /data.

Журнал событий ОС.

Файлы журнала ОС хранятся бессрочно в директории /var/log на сервере с компонентом Central Node.

Журнал с информацией о работе приложения.

Файл журнала хранится бессрочно в директории /data на сервере с компонентом Central Node, если компонент установлен на сервере. При установке компонента Central Node на кластер данные хранятся на серверах хранения данных бессрочно.

Очередь файлов на проверку.

Файлы хранятся на сервере с компонентом Central Node в директории /data, если компонент установлен на сервере. При установке компонента Central Node на кластер данные хранятся на серверах хранения данных. Данные хранятся до выполнения проверки.

Файлы, полученные с компьютеров с компонентом Endpoint Agent.

Файлы хранятся на сервере с компонентом Central Node в директории /data, если компонент установлен на сервере. При установке компонента Central Node на кластер данные хранятся на серверах хранения данных. Данные ротируются при заполнении места на диске.

Файлы с правилами YARA и IDS (пользовательские и от "Лаборатории Касперского").

Файлы хранятся бессрочно в директории /data на сервере с компонентом Central Node, если компонент установлен на сервере. При установке компонента Central Node на кластер данные хранятся на серверах хранения данных бессрочно.

 

Файлы с данными о переданных во внешние системы обнаружениях.

Файлы хранятся бессрочно на сервере с компонентом Central Node в директории /data, если компонент установлен на сервере. При установке компонента Central Node на кластер данные хранятся на серверах хранения данных бессрочно.

 

Артефакты компонента Sandbox.

Файлы хранятся на сервере с компонентом Central Node в директории /data, если компонент установлен на сервере. При установке компонента Central Node на кластер данные хранятся на серверах хранения данных. Данные ротируются при заполнении места на диске.

Файлы, для которых были созданы обнаружения компонентом Sandbox.

Файлы хранятся на сервере с компонентом Central Node в директории /data, если компонент установлен на сервере. При установке компонента Central Node на кластер данные хранятся на серверах хранения данных. Данные ротируются при заполнении места на диске.

Файлы сертификатов, которые используются для аутентификации компонентов приложения.

Файлы хранятся бессрочно в директории /data на сервере с компонентом Central Node, PCN, SCN, Sensor или на компьютере с компонентом Endpoint Agent.

Ключи шифрования, которые передаются между компонентами приложения.

Файлы хранятся бессрочно в директории /data на сервере с компонентом Central Node, PCN, SCN, Sensor или на компьютере с компонентом Endpoint Agent.

 

Копии зеркалированного трафика со SPAN-портов.

Файлы хранятся в хранилище, примонтированном к серверу с компонентом Sensor. Данные удаляются по мере заполнения места на диске.

Фильтры ICAP-исключений.

Файлы хранятся бессрочно на сервере с компонентом Central Node в директории /data, если компонент установлен на сервере. При установке компонента Central Node на кластер данные хранятся на серверах хранения данных бессрочно.
  • Дампы трафика, относящегося к зарегистрированным событиям.
  • Дампы трафика, относящегося к сетевым сеансам.
  • Данные наблюдаемых объектов.
  • Данные правил обнаружения сетевых аномалий.
  • Параметры коннекторов для NGFW.

 

Данные хранятся на сервере с компонентом Central Node в директории /data/storage/volumes/nta_database. Данные ротируются по мере заполнения места на диске.

Данные о сообщении электронной почты, переданном на проверку в Kaspersky Anti Targeted Attack Platform из Kaspersky Secure Mail Gateway:

  • Идентификатор сообщения, присвоенный ему в Kaspersky Secure Mail Gateway.
  • Информация о действиях, примененных к сообщению в Kaspersky Secure Mail Gateway.

При установке Central Node на сервер (не в виде кластера) данные хранятся на сервере Central Node в директории /data. При установке Central Node в виде кластера данные хранятся в хранилище сeph.

Если в результате проверки письма создается обнаружение, данные ротируются, когда количество записей об обнаружениях, созданных в результате проверки одной технологией, достигает 1 000 000. Если обнаружение не создается, данные ротируются через 7 дней.

Пароли, необходимые для проверки зашифрованных архивов, поступающих на проверку от Kaspersky Secure Mail Gateway.

Данные хранятся на сервере Central Node в директории /data, если компонент установлен на сервер. При установке компонента Central Node в виде кластера данные хранятся в хранилище на серверах хранения данных.

Данные ротируются после проверки зашифрованного архива.

Данные о пользовательских схемах расположения виджетов:

  • Идентификатор учетной записи пользователя, которой принадлежит пользовательская схема расположения виджетов.
  • Параметры пользовательской схемы виджетов.

Файлы хранятся бессрочно на сервере с компонентом Central Node в директории /data, если компонент установлен на сервере. При установке компонента Central Node на кластер данные хранятся на серверах хранения данных бессрочно.

Данные об учетных записях пользователей:

  • Идентификатор учетной записи.
  • Имя учетной записи.
  • Доменное имя пользователя.
  • Роль учетной записи.
  • Статус учетной записи.
  • Права доступа к тенантам.
  • Идентификатор тенанта, на котором создана учетная запись.
  • Дата и время последней смены пароля учетной записи.

Данные о компонентах Central Node:

  • Идентификатор сервера Central Node.
  • IP-адрес сервера Central Node.
  • Имя сервера Central Node.
  • Признак активности Central Node.

Данные тенантов:

  • Идентификатор тенанта.
  • Имя тенанта.
  • Имя серверов с компонентом Central Node, назначенных в этот тенант.
  • Дата создания тенанта.

Данные о подключенных к Central Node компьютерах с компонентом Endpoint Agent:

  • Идентификатор компьютера с компонентом Endpoint Agent, присвоенный Kaspersky Security Center.
  • Имя компьютера с компонентом Endpoint Agent.
  • Дата и время отправки первого и последнего пакета телеметрии, отправленного компоненту Central Node.
  • Статус механизма самозащиты компонента Endpoint Agent.
  • Операционная система, используемая на компьютера с компонентом Endpoint Agent.
  • IP-адрес компьютера с компонентом Endpoint Agent.
  • Версия приложения, которое выступает в роли компонента Endpoint Agent.
  • Статус лицензионного ключа приложения в роли компонента Endpoint Agent.
  • Идентификатор компьютера с компонентом Endpoint Agent.

 

Данные проверяемого объекта: домен.

Данные пользовательских правил обнаружения вторжений:

  • Имя учетной записи пользователя, загрузившего файл с пользовательскими правилами обнаружения вторжений.
  • Дата и время загрузки файла с пользовательскими правилами обнаружения вторжений.
  • Статус пользовательского правила обнаружения вторжений.
  • Степень важности, указанная в файле с пользовательскими правилами обнаружения вторжений.

Данные исключений из проверки:

  • Список объектов, исключенных из проверки.
  • Идентификатор правила исключения.
  • Имя учетной записи пользователя, добавившего правило исключения из проверки.
  • Имя правила исключения.
  • Дата и время создания правила исключения.
  • Идентификатор тенанта, на котором создано правило исключения.
  • Имена компонентов, на которые распространяются правила исключения.

Данные отчетов и шаблонов отчетов:

  • Идентификатор учетной записи пользователя, создавшего или изменившего шаблон отчета.
  • Дата создания шаблона.
  • Дата последнего изменения шаблона.
  • Текст шаблона в виде HTML-кода.
  • Идентификатор тенанта.
  • Имя шаблона.
  • Идентификатор учетной записи пользователя, создавшего шаблон.
  • Дата создания отчета.
  • Период, указанный в отчете.
  • Серверы, по которым сформирован отчет.
  • Описание отчета.
  • Шаблон отчета.
  • Текст отчета в виде HTML-кода.

Данные сертификатов компонентов Endpoint Agent:

  • Имя учетной записи пользователя, загрузившего файл сертификата компонента Endpoint Agent.
  • Дайджест сертификата.
  • Серийный номер сертификата.
  • Публичный ключ.
  • Срок окончания действия сертификата.

Данные пользовательских правил Sandbox:

  • Состояние правила проверки компонента Sandbox.
  • Тип правила.
  • Маски включаемых объектов.
  • Маски исключаемых объектов.
  • Размер проверяемых файлов.
  • Дата и время создания правила.
  • Идентификатор виртуальной машины, на которую назначено правило.

Данные о конфигурациях виртуальных машин:

  • IP-адрес сервера с компонентом Sandbox.
  • Список виртуальных машин.

Данные об учетных записях на устройствах:

  • Идентификатор учетной записи.
  • Имя учетной записи.
  • Имя компьютера, на котором авторизован пользователь.

Данные хранятся на сервере с компонентом Central Node в директории /data/storage/volumes/nta_database. Данные ротируются по мере заполнения места на диске.

 

Данные сетевых сессий:

  • Имена участников сетевого взаимодействия.
  • IP- и MAC-адреса участников сетевого взаимодействия.

Данные об устройствах, зарегистрированных в приложении:

  • Имена устройств.
  • IP- и MAC-адреса устройств.

Данные, сохраняемые при интеграции с компонентом Endpoint Agent в рамках функциональности NDR:

  • IP- и MAC-адреса компьютера с компонентом Endpoint Agent.
  • Имя компьютера с компонентом Endpoint Agent.
  • Имя учетной записи, зарегистрированной на компьютере с компонентом Endpoint Agent.
  • Используемая на компьютере операционная система.
  • User Agent.

Данные о событиях в трафике сети: IP- и MAC-адреса устройств.

Данные об исполняемых файлах на компьютерах с компонентом Endpoint Agent, подключенных в рамках функциональности NDR:

  • Имя файла.
  • Путь к файлу.
  • Версия файла.
  • MD5- и SHA256-хеш файла.

 

Журнал аудита действий пользователей, относящийся к функциональности NDR.

В начало