Данные в обнаружениях
Данные пользователя могут содержаться в обнаружениях. Если Central Node установлен на сервере, информация об обнаружениях и файлы, по результатам проверки которых возникло обнаружение, хранятся на сервере Central Node в директории /data
. Если Central Node установлен в виде кластера, информация об обнаружениях и файлы, по результатам проверки которых возникло обнаружение, хранятся в хранилище ceph.
Возможность ограничить права пользователей серверов и операционных систем, на которые установлен компонент Central Node, средствами Kaspersky Anti Targeted Attack Platform не предусмотрена. Администратору рекомендуется контролировать доступ пользователей серверов и операционных систем, на которые установлено приложение, к персональным данным других пользователей любыми системными средствами на его усмотрение.
Во всех обнаружениях хранится следующая информация:
- Дата и время обнаружения.
- Дата и время изменения обнаружения.
- Категория обнаруженного объекта.
- Имя обнаруженного файла.
- Источник обнаружения.
- Обнаруженный URL-адрес.
- MD5-, SHA256-хеш обнаруженного файла.
- Комментарии пользователя, добавленные в информацию об обнаружении.
- Идентификатор правила TAA(IOA), по которому было выполнено обнаружение.
- IP-адрес и имя компьютера, на котором выполнено обнаружение.
- Идентификатор компьютера, на котором выполнено обнаружение.
- User agent.
- Учетная запись пользователя, которому было назначено обнаружение.
- Список файлов.
При изменении обнаружения на сервере хранится следующая информация:
- Учетная запись пользователя, который изменил обнаружение.
- Учетная запись пользователя, которому было назначено обнаружение.
- Дата и время изменения обнаружения.
- Статус обнаружения.
- Пользовательский комментарий.
Если обнаружено сообщение электронной почты, на сервере может храниться следующая информация:
- Адреса электронной почты отправителя и получателей сообщения, копии и скрытой копии сообщения.
- Тема сообщения электронной почты.
- Дата и время поступления сообщения в Kaspersky Anti Targeted Attack Platform, с точностью до секунд.
- Все служебные заголовки сообщения (так, как они выглядят в сообщении).
Если обнаружение выполнено технологией URL Reputation, на сервере может храниться следующая информация:
- Имя компьютера, с которого были отправлены данные.
- Имя компьютера, получившего данные.
- IP-адрес компьютера, с которого были отправлены данные.
- IP-адрес компьютера, получившего данные.
- URI переданного ресурса.
- Информация о прокси-сервере.
- Уникальный идентификатор сообщения электронной почты.
- Адреса электронной почты отправителя и получателей сообщения (включая получателей копии и скрытой копии сообщения).
- Тема сообщения электронной почты.
- Дата и время поступления сообщения в Kaspersky Anti Targeted Attack Platform, с точностью до секунд.
- Список обнаруженных объектов.
- Время сетевого соединения.
- URL-адрес сетевого соединения.
- User agent.
Если обнаружение выполнено технологией Intrusion Detection System, на сервере может храниться следующая информация:
- Имя компьютера, с которого были отправлены данные.
- Имя компьютера, получившего данные.
- IP-адрес компьютера, с которого были отправлены данные.
- IP-адрес компьютера, получившего данные.
- Переданные данные.
- Время передачи данных.
- URL-адрес, извлеченный из файла с трафиком, User Agent, метод.
- Файл с трафиком, в котором произошло обнаружение.
- Категория объекта по базе IDS.
- Название пользовательского правила IDS, по которому было выполнено обнаружение.
- Тело HTTP-запроса.
- Список обнаружений.
Если обнаружение выполнено с помощью правил YARA, на сервере может храниться следующая информация:
- Версия правил YARA, с помощью которых было выполнено обнаружение.
- Категория обнаруженного объекта.
- Имя обнаруженного объекта.
- MD5-хеш обнаруженного объекта.
- Дата и время обнаружения объекта.
- Дополнительная информация об обнаружении.
Если обнаружение выполнено с помощью компонента Sandbox, на сервере может храниться следующая информация:
- Версия баз приложения, с помощью которых было выполнено обнаружение.
- Категория обнаруженного объекта.
- Имена обнаруженных объектов.
- MD5-хеши обнаруженных объектов.
- Информация об обнаруженных объектах.
Если обнаружение выполнено в результате работы пользовательских правил IOC или TAA (IOA), на сервере может храниться следующая информация:
- Дата и время выполнения проверки.
- Идентификаторы компьютеров, на которых выполнено обнаружение.
- Имя правила TAA (IOA).
- Имя IOC-файла.
- Информация об обнаруженных объектах.
- Список хостов с компонентом Endpoint Agent.
Если обнаружение выполнено технологией Anti-Malware Engine, на сервере может храниться следующая информация:
- Версии баз компонентов Kaspersky Anti Targeted Attack Platform, с помощью которых было выполнено обнаружение.
- Категория обнаруженного объекта.
- Список обнаруженных объектов.
- MD5-хеш обнаруженных объектов.
- Дополнительная информация об обнаружении.
Если обнаружение выполнено в результате повторного сканирования, на сервере может храниться следующая информация:
Если обнаружение выполнено в результате проверки файла, на сервере может храниться следующая информация:
- Полное имя обнаруженного файла.
- MD5-, SHA256-хеш обнаруженного файла.
- Размер обнаруженного файла.
- Информация о подписи файла.
Если обнаружение выполнено в результате проверки FTP-трафика, на сервере может храниться следующая информация:
Если обнаружение выполнено в результате проверки HTTP-трафика, на сервере может храниться следующая информация:
- URI HTTP-запроса.
- URI источника запроса.
- User agent.
- Информация о прокси-сервере.
В начало