Данные в обнаружениях

Возможность ограничить права пользователей серверов и операционных систем, на которые установлен компонент Central Node, средствами Kaspersky Anti Targeted Attack Platform не предусмотрена. Администратору рекомендуется контролировать доступ пользователей серверов и операционных систем, на которые установлено приложение, к персональным данным других пользователей любыми системными средствами на его усмотрение.

Информация о данных, которые могут сохраняться при создании обнаружений, приведена в таблице ниже.

Данные в обнаружениях Kaspersky Anti Targeted Attack Platform

Тип данных	Место и срок хранения
Для всех обнаружений на сервере хранятся следующие данные: Дата и время создания обнаружения. Дата и время изменения обнаружения. Категория обнаруженного объекта. Имя обнаруженного файла. Тип обнаруженного файла. Источник обнаруженного объекта. Обнаруженный URL-адрес. MD5-, SHA256-хеш обнаруженного файла. Комментарии пользователя, добавленные в детали алерта, связанного с обнаружением. Запись об обнаружении или совокупности обнаружений, выполненных в результате проверки объекта модулями и технологиями Kaspersky Anti Targeted Attack Platform. Отображается в таблице алертов. Идентификатор правила TAA(IOA), в соответствии с которым было создано обнаружение. IP-адрес и имя компьютера, на котором выполнено обнаружение. Идентификатор компьютера, на котором выполнено обнаружение. User agent. Учетная запись пользователя, которому был назначен алерт, связанный с обнаружением. Список файлов. Важность обнаружения в соответствии с тем, какое влияние это обнаружение может оказать на безопасность компьютера или локальной сети вашей организации, по опыту "Лаборатории Касперского". Технология, по которой было выполнено обнаружение. Статус алерта, связанного с обнаружением. Имя пользователя, которому назначен алерт, связанный с обнаружением. Идентификатор события (при использовании функциональности NDR). Идентификаторы устройств (при использовании функциональности NDR).	Если Central Node установлен на сервере, информация об обнаружениях хранится на сервере Central Node в директории /data. Если Central Node установлен в виде кластера, информация об обнаружениях хранится в хранилище ceph. Данные ротируются, когда количество записей об обнаружениях, созданных в результате проверки одной технологией, достигает 1 000 000.
При изменении алерта, связанного с обнаружением, на сервере хранится следующая информация: Учетная запись пользователя, который изменил алерт. Учетная запись пользователя, которому был назначен алерт. Дата и время изменения алерта. Статус алерта. Пользовательский комментарий.
Если обнаружение создано в результате проверки файла, на сервере может храниться следующая информация: Полное имя обнаруженного файла. MD5-, SHA256-хеш обнаруженного файла. Размер обнаруженного файла. Информация о подписи файла.
Если обнаружение создано в результате проверки FTP-трафика, на сервере может храниться следующая информация: URI FTP-запроса.
Если обнаружение создано в результате проверки HTTP-трафика, на сервере может храниться следующая информация: URI HTTP-запроса. URI источника запроса. User agent. Информация о прокси-сервере.
Если обнаружение создано в результате проверки технологией Intrusion Detection System, на сервере может храниться следующая информация: Имя компьютера, с которого были отправлены данные. Имя компьютера, получившего данные. IP-адрес компьютера, с которого были отправлены данные. IP-адрес компьютера, получившего данные. Переданные данные. Время передачи данных. URL-адрес, извлеченный из файла с трафиком, User Agent, метод. Файл с трафиком, в котором произошло обнаружение. Категория объекта по базе IDS. Название пользовательского правила IDS, по которому было выполнено обнаружение. Тело HTTP-запроса. Список обнаруженных объектов.
Если обнаружение создано в результате проверки технологией URL Reputation, на сервере может храниться следующая информация: Имя компьютера, с которого были отправлены данные. Имя компьютера, получившего данные. IP-адрес компьютера, с которого были отправлены данные. IP-адрес компьютера, получившего данные. URI переданного ресурса. Информация о прокси-сервере. Уникальный идентификатор сообщения электронной почты. Адреса электронной почты отправителя и получателей сообщения (включая получателей копии и скрытой копии сообщения). Тема сообщения электронной почты. Дата и время поступления сообщения в Kaspersky Anti Targeted Attack Platform, с точностью до секунд. Список обнаруженных объектов. Время сетевого соединения. URL-адрес сетевого соединения. User agent.
Если обнаружение создано в результате проверки компонентом Sandbox, на сервере может храниться следующая информация: Версия баз приложения, с помощью которых было выполнено обнаружение. Категория обнаруженного объекта. Имена обнаруженных объектов. MD5-хеши обнаруженных объектов. Информация об обнаруженных объектах.
Если обнаружение создано в результате проверки технологией Anti-Malware Engine, на сервере может храниться следующая информация: Версии баз компонентов Kaspersky Anti Targeted Attack Platform, с помощью которых было выполнено обнаружение. Категория обнаруженного объекта. Список обнаруженных объектов. MD5-хеш обнаруженных объектов. Дополнительная информация об обнаружении.
Если обнаружение создано в результате обнаружения DNS-активности, на сервере может храниться следующая информация: Данные DNS-запроса. Содержание ответа DNS-сервера на запрос. Список запрашиваемых хостов.
Если обнаружение создано в результате проверки в соответствии с пользовательскими правилами IOC или TAA (IOA), на сервере может храниться следующая информация: Дата и время выполнения проверки. Идентификаторы компьютеров, на которых выполнено обнаружение. Имя правила TAA (IOA). Имя IOC-файла. Информация об обнаруженных объектах. Список хостов с компонентом Endpoint Agent.
Если обнаружение создано при проверке с помощью правил YARA, на сервере может храниться следующая информация: Версия правил YARA, с помощью которых было выполнено обнаружение. Категория обнаруженного объекта. Имя обнаруженного объекта. MD5-хеш обнаруженного объекта. Дата и время обнаружения объекта. Дополнительная информация об алерте.
Если обнаружение создано в результате проверки сообщения электронной почты, на сервере может храниться следующая информация: Адреса электронной почты отправителя и получателей сообщения, копии и скрытой копии сообщения. Тема сообщения электронной почты. Дата и время поступления сообщения в Kaspersky Anti Targeted Attack Platform, с точностью до секунд. Все служебные заголовки сообщения (так, как они выглядят в сообщении).	Если Central Node установлен на сервере, информация об обнаружениях хранится на сервере Central Node в директории /data. Если Central Node установлен в виде кластера, информация об обнаружениях хранится в хранилище ceph. Данные хранятся бессрочно.
Если обнаружение создано в результате повторного сканирования, на сервере может храниться следующая информация: Имя файла.

Тип данных

Место и срок хранения

Для всех обнаружений на сервере хранятся следующие данные:

Дата и время создания обнаружения.
Дата и время изменения обнаружения.
Категория обнаруженного объекта.
Имя обнаруженного файла.
Тип обнаруженного файла.
Источник обнаруженного объекта.
Обнаруженный URL-адрес.
MD5-, SHA256-хеш обнаруженного файла.
Комментарии пользователя, добавленные в детали алерта, связанного с обнаружением.
Запись об обнаружении или совокупности обнаружений, выполненных в результате проверки объекта модулями и технологиями Kaspersky Anti Targeted Attack Platform. Отображается в таблице алертов.
Идентификатор правила TAA(IOA), в соответствии с которым было создано обнаружение.
IP-адрес и имя компьютера, на котором выполнено обнаружение.
Идентификатор компьютера, на котором выполнено обнаружение.
User agent.
Учетная запись пользователя, которому был назначен алерт, связанный с обнаружением.
Список файлов.
Важность обнаружения в соответствии с тем, какое влияние это обнаружение может оказать на безопасность компьютера или локальной сети вашей организации, по опыту "Лаборатории Касперского".
Технология, по которой было выполнено обнаружение.
Статус алерта, связанного с обнаружением.
Имя пользователя, которому назначен алерт, связанный с обнаружением.
Идентификатор события (при использовании функциональности NDR).
Идентификаторы устройств (при использовании функциональности NDR).

Если Central Node установлен на сервере, информация об обнаружениях хранится на сервере Central Node в директории /data. Если Central Node установлен в виде кластера, информация об обнаружениях хранится в хранилище ceph.

Данные ротируются, когда количество записей об обнаружениях, созданных в результате проверки одной технологией, достигает 1 000 000.

При изменении алерта, связанного с обнаружением, на сервере хранится следующая информация:

Учетная запись пользователя, который изменил алерт.
Учетная запись пользователя, которому был назначен алерт.
Дата и время изменения алерта.
Статус алерта.
Пользовательский комментарий.

Если обнаружение создано в результате проверки файла, на сервере может храниться следующая информация:

Полное имя обнаруженного файла.
MD5-, SHA256-хеш обнаруженного файла.
Размер обнаруженного файла.
Информация о подписи файла.

Если обнаружение создано в результате проверки FTP-трафика, на сервере может храниться следующая информация:

URI FTP-запроса.

Если обнаружение создано в результате проверки HTTP-трафика, на сервере может храниться следующая информация:

URI HTTP-запроса.
URI источника запроса.
User agent.
Информация о прокси-сервере.

Если обнаружение создано в результате проверки технологией Intrusion Detection System, на сервере может храниться следующая информация:

Имя компьютера, с которого были отправлены данные.
Имя компьютера, получившего данные.
IP-адрес компьютера, с которого были отправлены данные.
IP-адрес компьютера, получившего данные.
Переданные данные.
Время передачи данных.
URL-адрес, извлеченный из файла с трафиком, User Agent, метод.
Файл с трафиком, в котором произошло обнаружение.
Категория объекта по базе IDS.
Название пользовательского правила IDS, по которому было выполнено обнаружение.
Тело HTTP-запроса.
Список обнаруженных объектов.

Если обнаружение создано в результате проверки технологией URL Reputation, на сервере может храниться следующая информация:

Имя компьютера, с которого были отправлены данные.
Имя компьютера, получившего данные.
IP-адрес компьютера, с которого были отправлены данные.
IP-адрес компьютера, получившего данные.
URI переданного ресурса.
Информация о прокси-сервере.
Уникальный идентификатор сообщения электронной почты.
Адреса электронной почты отправителя и получателей сообщения (включая получателей копии и скрытой копии сообщения).
Тема сообщения электронной почты.
Дата и время поступления сообщения в Kaspersky Anti Targeted Attack Platform, с точностью до секунд.
Список обнаруженных объектов.
Время сетевого соединения.
URL-адрес сетевого соединения.
User agent.

Если обнаружение создано в результате проверки компонентом Sandbox, на сервере может храниться следующая информация:

Версия баз приложения, с помощью которых было выполнено обнаружение.
Категория обнаруженного объекта.
Имена обнаруженных объектов.
MD5-хеши обнаруженных объектов.
Информация об обнаруженных объектах.

Если обнаружение создано в результате проверки технологией Anti-Malware Engine, на сервере может храниться следующая информация:

Версии баз компонентов Kaspersky Anti Targeted Attack Platform, с помощью которых было выполнено обнаружение.
Категория обнаруженного объекта.
Список обнаруженных объектов.
MD5-хеш обнаруженных объектов.
Дополнительная информация об обнаружении.

Если обнаружение создано в результате обнаружения DNS-активности, на сервере может храниться следующая информация:

Данные DNS-запроса.
Содержание ответа DNS-сервера на запрос.
Список запрашиваемых хостов.

Если обнаружение создано в результате проверки в соответствии с пользовательскими правилами IOC или TAA (IOA), на сервере может храниться следующая информация:

Дата и время выполнения проверки.
Идентификаторы компьютеров, на которых выполнено обнаружение.
Имя правила TAA (IOA).
Имя IOC-файла.
Информация об обнаруженных объектах.
Список хостов с компонентом Endpoint Agent.

Если обнаружение создано при проверке с помощью правил YARA, на сервере может храниться следующая информация:

Версия правил YARA, с помощью которых было выполнено обнаружение.
Категория обнаруженного объекта.
Имя обнаруженного объекта.
MD5-хеш обнаруженного объекта.
Дата и время обнаружения объекта.
Дополнительная информация об алерте.

Если обнаружение создано в результате проверки сообщения электронной почты, на сервере может храниться следующая информация:

Адреса электронной почты отправителя и получателей сообщения, копии и скрытой копии сообщения.
Тема сообщения электронной почты.
Дата и время поступления сообщения в Kaspersky Anti Targeted Attack Platform, с точностью до секунд.
Все служебные заголовки сообщения (так, как они выглядят в сообщении).

Данные хранятся бессрочно.

Если обнаружение создано в результате повторного сканирования, на сервере может храниться следующая информация:

Имя файла.

См. также

Данные компонентов Central Node и Sensor

Данные трафика компонента Sensor

Данные в событиях

Данные в отчетах

Данные об объектах в Хранилище и на карантине

В начало