О предоставлении данных

Данные, обрабатываемые локально

Решение Kaspersky SMP предназначено для оптимизации выявления угроз, расследования инцидентов, реагирования (в том числе автоматического), а также проактивного поиска угроз в реальном времени. 

Kaspersky Single Management Platform включает в себя следующие основные функции:

• получение, обработка и хранение событий информационной безопасности;
• анализ и корреляция поступающих данных;
• расследование инцидентов и алертов, ручное реагирование;
• автоматическое реагирование с использованием предопределенных и пользовательских плейбуков;
• поиск угроз по событиям в реальном времени.

Для выполнения своих основных функций программа Kaspersky Single Management Platform может принимать, хранить и обрабатывать следующую информацию:

• Информация об устройствах, на которые производится установка всех компонентов Kaspersky Single Management Platform:
  • Технические характеристики: имя устройства, MAC-адрес, поставщик операционной системы, номер сборки операционной системы, версия ядра ОС, наличие требуемых установленных пакетов, наличие прав для учетной записи, тип средства управления службами и состояние портов. Эти данные Kaspersky Deployment Toolkit получает во время установки.
  • Технические характеристики: IPv4-адрес. Эти данные указываются пользователем в конфигурационном файле Kaspersky Deployment Toolkit.
  • Данные для доступа к устройству: имена учетных записей и SSH-ключи. Эти данные указываются пользователем в конфигурационном файле Kaspersky Deployment Toolkit.
  • Данные для доступа к СУБД: IP/DNS имя, порт, имя пользователя и пароль. Эти данные указываются пользователем в конфигурационном файле Kaspersky Deployment Toolkit.
  • Файлы инвентаря KUMA и лицензионные ключи. Эти данные указываются пользователем в конфигурационном файле Kaspersky Deployment Toolkit.
  • Зону DNS. Эти данные указываются пользователем в конфигурационном файле Kaspersky Deployment Toolkit.
  • Сертификаты для безопасного подключения устройств к компонентам Kaspersky SMP. Эти данные указываются пользователем в конфигурационном файле Kaspersky Deployment Toolkit.

  Информация сохраняется в журнале событий установки, который хранится в базе данных Kaspersky Deployment Toolkit. Журнал событий установки первоначальной инфраструктуры сохраняется в файл на машине пользователя. Срок хранения не ограничен, файл будет удален при деинсталляции Kaspersky Single Management Platform. Имена пользователей и пароли хранятся в зашифрованном виде.

• Информация об учетных записях пользователей: полное имя и адрес электронной почты. Данная информация вводится пользователем в Консоли OSMP и Консоли KUMA. Данные хранятся в базе данных неограниченное время, пока пользователь их не удалит.
• Информация о тенантах: название тенанта, название родительского тенанта, описание. Данная информация вводится пользователем в Консоли OSMP и Консоли KUMA. Данные хранятся в базе данных неограниченное время, пока пользователь их не удалит.
• Данные об алертах и инцидентах:
  • Данные об алертах: сработавшие правила, соответствие матрице MITRЕ, статус алерта, резолюция, назначенный оператор, затронутые активы (устройства и учетные записи), наблюдаемые объекты (IP, MD5, SHA256, URL, DNS-домен или DNS-имя) имя пользователя, имя устройства, комментарии и журнал изменений. Данная информация формируется в консоли OSMP автоматически на основании корреляционных событий из Kaspersky Unified Monitoring and Analysis Platform.
  • Данные об инцидентах: связанные алерты, сработавшие правила, соответствие матрице MITRЕ, статус инцидента, резолюция, затронутые активы (устройства и учетные записи), наблюдаемые объекты (из алерта), комментарии и журнал изменений. Данная информация формируется в консоли OSMP автоматически по правилам или вручную пользователем.
  • Данные о настройке правил формирования инцидентов из алертов: имя и условия срабатывания правила, шаблон имени нового инцидента, описание правила и приоритет запуска правила. Данная информация вводится пользователем в консоли OSMP.
  • Данные о шаблонах уведомлений: имя шаблона, тема сообщения, шаблон текста сообщения, описание шаблона и правила детектирования. При срабатывании этих правил будут отправляться уведомления. Данная информация вводится пользователем в консоли OSMP.

  Перечисленные выше данные хранятся в базе данных, пока пользователь не удалит их.

• Данные о плейбуках:
  • Операционные данные плейбука, в том числе данные о входных параметрах действий по реагированию: название, описание, теги, текст триггера и алгоритма. Данная информация вводится пользователем в Консоли Kaspersky SMP.
  • Данные о результатах выполнения действий по реагированию в рамках исполнения плейбука: содержит данные из интегрированных систем, данные с устройств.
  • Полная история реагирований по всем алертам и инцидентам.

  Перечисленные выше данные хранятся в базе данных в течение трех дней, после чего удаляются. Данные полностью удаляются при деинсталляции Kaspersky Single Management Platform.

•  Данные о параметрах интеграции (как с решениями или службами "Лаборатории Касперского", так и со сторонними решениями, которые участвуют в сценариях Kaspersky SMP):
  • Интеграция с Kaspersky Threat Intelligence Portal: API токен доступа при подключении к Kaspersky Threat Intelligence Portal, срок хранения кеша, признак подключения через прокси или тип службы. Данная информация вводится пользователем в Консоли Kaspersky SMP.
  • Интеграция с КАТА/EDR: адрес сервера KATA/EDR: IPадрес/имя устройства, порт, уникальный идентификатор для подключения к KATA/EDR, файл сертификата и закрытый ключ для подключения к КАТА/EDR. Данная информация вводится пользователем в Консоли Kaspersky SMP.
  • Подключение к устройству, где будет запускаться пользовательский скрипт: IP адрес или имя устройства, порт, учетная запись пользователя и SSH-ключ, пароль или ключ. Данная информация вводится пользователем в Консоли Kaspersky SMP.
  • Интеграция с Сервером администрирования OSMP: имя Сервера администрирования, полный путь до Сервера администрирования в иерархии. Данная информация вводится пользователем в Консоли Kaspersky SMP.
  • Интеграция с Kaspersky Cyber Trace: IPv4-адрес или имя устройства и порт, по которому доступен Kaspersky Cyber Trace, имя и пароль для подключения. Данная информация вводится пользователем в Консоли KUMA.
  • Интеграция с Kaspersky Automated Security Awareness Platform (KASAP): API токен доступа при подключении к KASAP, URL портала KASAP, электронная почта Администратора KASAP и признак подключения через прокси. Данная информация вводится пользователем в Консоли KUMA.
  • Интеграция с Active Directory: адреса контроллеров домена, учетная запись и пароль для подключения к контроллерам домена и сертификат. Данная информация вводится пользователем в Консоли KUMA.
  • Интеграция с внешней системой (например, UserGate): имя учетной записи и SSH-ключ или пароль для удаленного доступа к клиентскому устройству.

  Перечисленные выше данные хранятся в базе данных, пока пользователь не удалит их. Данные полностью удаляются при деинсталляции программы.

Подробную информацию о прочих данных, принимаемых, хранимых и обрабатываемых для выполнения основных функций решения Kaspersky Single Management Platform, см. в справке программ:

• Kaspersky Security Center 15 Linux
• Kaspersky Unified Monitoring and Analysis Platform

Все перечисленные выше данные могут быть переданы "Лаборатории Касперского" только посредством файлов дампа, файлов трассировки или файлов журналов компонентов Kaspersky Single Management Platform, включая файлы журналов, создаваемые инсталляторами и утилитами. Файлы дампов, файлы трассировки или файлы журналов компонентов Kaspersky Single Management Platform могут содержать персональные или конфиденциальные данные. Файлы дампа, файлы трассировки и файлы журналов хранятся в незашифрованном виде на устройствах. Файлы дампов, файлы трассировки или файлы журналов не передаются в "Лабораторию Касперского" автоматически, однако, администратор может передать эти файлы в "Лаборатории Касперского" вручную по запросу Службы технической поддержки для решения проблем в работе Kaspersky Single Management Platform. "Лаборатория Касперского" обеспечивает защиту всех полученных данных в соответствии с законодательством и применимыми правилами "Лаборатории Касперского". Данные передаются по безопасным каналам связи. По умолчанию срок хранения этой информации (период ротации) составляет 7 дней.

Данные, передаваемые в АО "Лабораторию Касперского"

Переходя по ссылкам из Консоли Kaspersky SMP к справке, пользователь соглашается на автоматическую передачу в "Лабораторию Касперского" следующих данных:

• кода Kaspersky Single Management Platform;
• версии Kaspersky Single Management Platform;
• языка локализации Kaspersky Single Management Platform.

Чтобы назначить курс обучения сотруднику, Kaspersky Single Management Platform передает в Kaspersky Automated Security Awareness Platform следующие данные:

• электронную почту пользователя;
• идентификатор Kaspersky Automated Security Awareness Platform;
• идентификатор тренировочной группы.

Для получения дополнительных данных об алертах Kaspersky Single Management Platform передает в Kaspersky Threat Intelligence Portal тип и значение наблюдаемых объектов, связанных с алертами, инцидентами и событиями.

Данные, передаваемые третьим сторонам

При переходе по ссылке из деталей алерта или инцидента для получения информации о тактике или технике MITRE на веб-сайт MITRE передается следующая информация о тактике или технике MITRE: идентификатор и тип.

В начало