Данные в обнаружениях

Данные пользователя могут содержаться в обнаружениях. Если Central Node установлен на сервере, информация об обнаружениях и файлы, по результатам проверки которых возникло обнаружение, хранятся на сервере Central Node в директории /data. Если Central Node установлен в виде кластера, информация об обнаружениях и файлы, по результатам проверки которых возникло обнаружение, хранятся в хранилище ceph.

Возможность ограничить права пользователей серверов и операционных систем, на которые установлен компонент Central Node, средствами Kaspersky Anti Targeted Attack Platform не предусмотрена. Администратору рекомендуется контролировать доступ пользователей серверов и операционных систем, на которые установлено приложение, к персональным данным других пользователей любыми системными средствами на его усмотрение.

Во всех обнаружениях хранится следующая информация:

• Дата и время обнаружения.
• Дата и время изменения обнаружения.
• Категория обнаруженного объекта.
• Имя обнаруженного файла.
• Источник обнаружения.
• Обнаруженный URL-адрес.
• MD5-, SHA256-хеш обнаруженного файла.
• Комментарии пользователя, добавленные в информацию об обнаружении.
• Идентификатор правила TAA(IOA), по которому было выполнено обнаружение.
• IP-адрес и имя компьютера, на котором выполнено обнаружение.
• Идентификатор компьютера, на котором выполнено обнаружение.
• User agent.
• Учетная запись пользователя, которому было назначено обнаружение.
• Список файлов.

При изменении обнаружения на сервере хранится следующая информация:

• Учетная запись пользователя, который изменил обнаружение.
• Учетная запись пользователя, которому было назначено обнаружение.
• Дата и время изменения обнаружения.
• Статус обнаружения.
• Пользовательский комментарий.

Если обнаружено сообщение электронной почты, на сервере может храниться следующая информация:

• Адреса электронной почты отправителя и получателей сообщения, копии и скрытой копии сообщения.
• Тема сообщения электронной почты.
• Дата и время поступления сообщения в Kaspersky Anti Targeted Attack Platform, с точностью до секунд.
• Все служебные заголовки сообщения (так, как они выглядят в сообщении).

Если обнаружение выполнено технологией URL Reputation, на сервере может храниться следующая информация:

• Имя компьютера, с которого были отправлены данные.
• Имя компьютера, получившего данные.
• IP-адрес компьютера, с которого были отправлены данные.
• IP-адрес компьютера, получившего данные.
• URI переданного ресурса.
• Информация о прокси-сервере.
• Уникальный идентификатор сообщения электронной почты.
• Адреса электронной почты отправителя и получателей сообщения (включая получателей копии и скрытой копии сообщения).
• Тема сообщения электронной почты.
• Дата и время поступления сообщения в Kaspersky Anti Targeted Attack Platform, с точностью до секунд.
• Список обнаруженных объектов.
• Время сетевого соединения.
• URL-адрес сетевого соединения.
• User agent.

Если обнаружение выполнено технологией Intrusion Detection System, на сервере может храниться следующая информация:

• Имя компьютера, с которого были отправлены данные.
• Имя компьютера, получившего данные.
• IP-адрес компьютера, с которого были отправлены данные.
• IP-адрес компьютера, получившего данные.
• Переданные данные.
• Время передачи данных.
• URL-адрес, извлеченный из файла с трафиком, User Agent, метод.
• Файл с трафиком, в котором произошло обнаружение.
• Категория объекта по базе IDS.
• Название пользовательского правила IDS, по которому было выполнено обнаружение.
• Тело HTTP-запроса.
• Список обнаружений.

Если обнаружение выполнено с помощью правил YARA, на сервере может храниться следующая информация:

• Версия правил YARA, с помощью которых было выполнено обнаружение.
• Категория обнаруженного объекта.
• Имя обнаруженного объекта.
• MD5-хеш обнаруженного объекта.
• Дата и время обнаружения объекта.
• Дополнительная информация об обнаружении.

Если обнаружение выполнено с помощью компонента Sandbox, на сервере может храниться следующая информация:

• Версия баз приложения, с помощью которых было выполнено обнаружение.
• Категория обнаруженного объекта.
• Имена обнаруженных объектов.
• MD5-хеши обнаруженных объектов.
• Информация об обнаруженных объектах.

Если обнаружение выполнено в результате работы пользовательских правил IOC или TAA (IOA), на сервере может храниться следующая информация:

• Дата и время выполнения проверки.
• Идентификаторы компьютеров, на которых выполнено обнаружение.
• Имя правила TAA (IOA).
• Имя IOC-файла.
• Информация об обнаруженных объектах.
• Список хостов с компонентом Endpoint Agent.

Если обнаружение выполнено технологией Anti-Malware Engine, на сервере может храниться следующая информация:

• Версии баз компонентов Kaspersky Anti Targeted Attack Platform, с помощью которых было выполнено обнаружение.
• Категория обнаруженного объекта.
• Список обнаруженных объектов.
• MD5-хеш обнаруженных объектов.
• Дополнительная информация об обнаружении.

Если обнаружение выполнено в результате повторного сканирования, на сервере может храниться следующая информация:

• Имя файла.

Если обнаружение выполнено в результате проверки файла, на сервере может храниться следующая информация:

• Полное имя обнаруженного файла.
• MD5-, SHA256-хеш обнаруженного файла.
• Размер обнаруженного файла.
• Информация о подписи файла.

Если обнаружение выполнено в результате проверки FTP-трафика, на сервере может храниться следующая информация:

• URI FTP-запроса.

Если обнаружение выполнено в результате проверки HTTP-трафика, на сервере может храниться следующая информация:

• URI HTTP-запроса.
• URI источника запроса.
• User agent.
• Информация о прокси-сервере.

См. также Данные компонентов Central Node и Sensor Данные трафика компонента Sensor Данные в событиях Данные в отчетах Данные об объектах в Хранилище и на карантине

В начало