Для всех обнаружений на сервере хранятся следующие данные:

• Дата и время создания обнаружения.
• Дата и время изменения обнаружения.
• Результаты проверки объекта.
• Категория обнаруженного объекта.
• Имя обнаруженного файла.
• Тип обнаруженного файла.
• Источник обнаруженного объекта.
• Обнаруженный URL-адрес.
• MD5-, SHA256-хеш обнаруженного файла.
• User agent.
• Учетная запись пользователя, которому был назначен алерт, связанный с обнаружением.
• Список файлов.
• Важность обнаружения в соответствии с тем, какое влияние это обнаружение может оказать на безопасность компьютера или локальной сети вашей организации, по опыту "Лаборатории Касперского".
• Технология, по которой было выполнено обнаружение.
• Статус алерта, связанного с обнаружением.
• Имя пользователя, которому назначен алерт, связанный с обнаружением.
• Идентификатор пользователя, обрабатывающего или обработавшего алерт, связанный с обнаружением.
• Идентификатор события в трафике сети (при использовании функциональности NDR).
• Идентификаторы устройств (при использовании функциональности NDR).
• Имя компьютера, с которого были отправлены данные.
• Имя компьютера, получившего данные.
• Дополнительная информация об алерте.

Если Central Node установлен на сервере, информация об обнаружениях хранится на сервере Central Node в директории /data. Если Central Node установлен в виде кластера, информация об обнаружениях хранится в хранилище ceph.

Данные ротируются, когда количество записей об обнаружениях, созданных в результате проверки одной технологией, достигает 1 000 000.

При изменении алерта, связанного с обнаружением, на сервере хранится следующая информация:

• Учетная запись пользователя, который изменил алерт.
• Учетная запись пользователя, которому был назначен алерт.
• Дата и время изменения алерта.
• Статус алерта.
• Пользовательский комментарий.

Если обнаружения созданы в результате проверки технологиями NDR: Intrusion Detection System или Aggregated Alerts, на сервере может храниться следующая информация:

• Источник обнаруженного объекта.
• Протокол передачи данных.
• Адрес и порт источника сетевого взаимодействия.
• Название технологии, в результате проверки которой было создано обнаружение.
• Имя правила IDS «Лаборатории Касперского», в соответствии с которым было выполнено обнаружение.
• Пакет, при проверке которого было выполнено обнаружение.
• Данные пакета (англ. payload), при проверке которых было выполнено обнаружение.
• Метод HTTP-запроса.
• Тело HTTP-пакета.
• Имя точки мониторинга, с которой был получен трафик.
• Идентификатор сетевого интерфейса, на котором расположена точка мониторинга.
• Версия баз приложения, с помощью которых было выполнено обнаружение.
• Результаты проверки.

Если обнаружение создано в результате проверки технологией Cloud Access Security Broker, на сервере может храниться следующая информация:

• Источник обнаруженного объекта.
• Адрес и порт источника сетевого взаимодействия.
• Имя облачного сервиса, к которому было зарегистрировано обнаружение.
• Категория облачного сервиса, к которому было зарегистрировано обнаружение.
• Признак файлообменника.
• Версия баз приложения, с помощью которых было выполнено обнаружение.
• Протокол передачи данных.
• Результаты проверки.

Если обнаружение создано в результате проверки файла, на сервере может храниться следующая информация:

• Имя файла.
• Полное имя файла.
• Источник обнаруженного объекта.
• MD5-, SHA256-хеш файла.
• Размер файла.
• Информация о подписи файла.
• Метаинформация о прверенных файлах и источниках их получения.

Если обнаружение создано в результате проверки FTP-трафика, на сервере может храниться следующая информация:

• URI FTP-запроса.

Если обнаружение создано в результате проверки HTTP-трафика, на сервере может храниться следующая информация:

• URI HTTP-запроса.
• URI источника запроса.
• User agent.
• Информация о прокси-сервере.

Если обнаружение создано в результате проверки технологией Intrusion Detection System, на сервере может храниться следующая информация:

• Имя компьютера, с которого были отправлены данные.
• Имя компьютера, получившего данные.
• IP-адрес компьютера, с которого были отправлены данные.
• IP-адрес компьютера, получившего данные.
• Переданные данные.
• Время передачи данных.
• URL-адрес, извлеченный из файла с трафиком, User Agent, метод.
• Файл с трафиком, в котором произошло обнаружение.
• Список обнаруженных объектов.

Если обнаружение создано в результате проверки технологией URL Reputation, на сервере может храниться следующая информация:

• Имя компьютера, с которого были отправлены данные.
• Имя компьютера, получившего данные.
• IP-адрес компьютера, с которого были отправлены данные.
• IP-адрес компьютера, получившего данные.
• URI переданного ресурса.
• URI из сообщения электронной почты.
• Информация о прокси-сервере.
• Идентификатор сообщения электронной почты.
• Адреса электронной почты отправителя и получателей сообщения (включая получателей копии и скрытой копии сообщения).
• Тема сообщения электронной почты.
• Дата и время поступления сообщения в Kaspersky Anti Targeted Attack Platform, с точностью до секунд.
• Список обнаруженных объектов.
• Время сетевого соединения.
• URL-адрес сетевого соединения.
• User agent.
• Имя сервера.

Если обнаружение создано в результате проверки в соответствии с пользовательскими правилами IOC или TAA (IOA), на сервере может храниться следующая информация:

• Имя правила TAA (IOA).
• Имя IOC-файла.
• Список хостов с компонентом Endpoint Agent.
• Информация об обнаруженных объектах.

Если обнаружение создано в результате проверки компонентом Sandbox, на сервере может храниться следующая информация:

• Версия баз приложения, с помощью которых было выполнено обнаружение.
• Имена обнаруженных объектов.
• MD5-хеши обнаруженных объектов.
• Информация об обнаруженных объектах.
• Результат проверки.

Если обнаружение создано в результате проверки технологией Anti-Malware Engine, на сервере может храниться следующая информация:

• Идентификатор компьютера, на котором выполнено обнаружение.
• Имя компьютера, с которого были отправлены данные.
• IP-адрес компьютера, с которого были отправлены данные.
• Версии баз компонентов Kaspersky Anti Targeted Attack Platform, с помощью которых было выполнено обнаружение.
• Список обнаруженных объектов.
• Дополнительная информация об обнаружении.

Если обнаружение создано в результате обнаружения DNS-активности, на сервере может храниться следующая информация:

• Данные DNS-запроса.
• Содержание ответа DNS-сервера на запрос.
• Список запрашиваемых хостов.

Если обнаружение создано при проверке с помощью правил YARA, на сервере может храниться следующая информация:

• Версия баз правил YARA, с помощью которых было выполнено обнаружение.
• Результат проверки.
• Имя обнаруженного объекта.
• MD5-хеш обнаруженного объекта.
• Дополнительная информация об обнаружении.

Если обнаружение создано в результате проверки сообщения электронной почты, на сервере может храниться следующая информация:

• Адреса электронной почты отправителя и получателей сообщения, копии и скрытой копии сообщения.
• Тема сообщения электронной почты.
• Дата и время поступления сообщения в Kaspersky Anti Targeted Attack Platform, с точностью до секунд.
• Все служебные заголовки сообщения (так, как они выглядят в сообщении).

Если Central Node установлен на сервере, информация об обнаружениях хранится на сервере Central Node в директории /data. Если Central Node установлен в виде кластера, информация об обнаружениях хранится в хранилище ceph.

Данные хранятся бессрочно.

Если обнаружение создано в результате повторного сканирования, на сервере может храниться следующая информация:

• Имя обнаруженного файла.
• MD5- и SHA256-хеш обнаруженного файла.