应用程序的服务数据

Kaspersky Anti Targeted Attack Platform 资源不提供限制安装 Central Node 组件的服务器和操作系统用户权限的功能。建议管理员根据自己的判断使用任何系统资源来控制如何允许安装了应用程序的服务器和操作系统的用户访问其他用户的个人数据。

Kaspersky Anti Targeted Attack Platform 的服务数据信息如下表所示。

Kaspersky Anti Targeted Attack Platform 的服务数据

数据类型

存储地点和期限
  • 关于用户账户的数据。
  • Central Node 组件的数据。
  • 有关租户的数据。
  • 有关连接到安装了 Endpoint Agent 组件的 Central Node 组件的计算机的信息。
  • 有关预设和防御规则的数据。
  • 有关使用 Endpoint Agent 组件分配给计算机的任务的信息。
  • 自定义小部件布局数据。
  • 有关用户定义的 TAA (IOA) 规则信息。
  • 有关用户定义的 IDS 规则信息。
  • 有关用户定义的 IOC 规则信息。
  • 有关网络隔离规则的数据。
  • 有关扫描排除项的数据。
  • 关于报告和报告模板的信息。
  • 有关 Endpoint Agent 组件证书的信息。

 

如果服务器上安装了 Central Node 组件,则数据将无限期地存储在托管 Central Node 组件的服务器上的 /data 目录中。当 Central Node 组件安装在集群上时,数据将无限期地存储在存储服务器上。

有关 МDR、KSN、KPSN 集成的信息。

该信息无限期地存储在 Central Node 服务器的 /data 目录中。

 

有关应用的授权许可密钥或激活码的信息。

Endpoint Agent 设置。

用于发送通知的邮件服务器的设置:

  • 服务器的 IP 地址和端口。
  • 证书的指纹。
  • 服务器上授权的用户的登录名和密码哈希。
  • 用作解密密钥的 Secret 的名称。
  • 是否正在使用加密。

当前服务器的名称。

连接到当前服务器的服务器地址以及用于与这些服务器相互认证的证书信息。

连接器设置:

  • 连接器节点的地址。
  • 连接器与之交互的第三方系统的服务器地址。

有关 Secret 和 Central Node 用户的用户账户信息的信息。

监控点地址。

有关 ICAP 排除项的信息。

Sensor 与 ICAP 集成的设置:

  • 状态(启用或禁用)。
  • 最大连接数。
  • REQMOD 模式下的连接地址。
  • RESPMOD 模式下的连接地址。
  • ICAP 请求标头,其中包含通过代理服务器接收此请求时发出 HTTP 请求的客户端的 IP 地址。
  • ICAP 请求标头,其中包含通过代理服务器接收此请求时发出 HTTP 请求的客户端的端口。
  • 用户名称。
  • ICAP 请求标头,其中包含通过代理服务器接收此请求时发出 HTTP 请求的客户端的用户名。
  • 是否使用了 base64 解码。
  • 操作模式。
  • 扫描超时。
  • 检测重要性。
  • 文件被阻止时返回给用户的页面。
  • URL 被阻止时返回给用户的页面。
  • 监听的接口。

用于将用户定义的入侵检测规则发送到 KSN 的设置。

有关 Kerberos 认证中使用的 Keytab 文件的状态和名称的信息。

有关 KSMG 电子邮件扫描优先级的信息。

CPU 和 RAM 负载通知设置:

  • CPU、硬盘和 RAM 使用率阈值。
  • 统计更新间隔。

有关用于 Sensor 和 Central Node 相互认证的证书的信息。

Sensor 与 POP3 集成的设置:

  • POP3 服务器的 IP 地址和端口。
  • POP3 服务器上授权的用户的登录名和密码哈希。
  • 用作解密密钥的 Secret 的名称。
  • 证书验证策略。
  • 客户端证书。

代理服务器设置:

  • 代理服务器的 IP 地址和端口。
  • 代理服务器上授权的用户的登录名和密码哈希。
  • 用作解密密钥的 Secret 的名称。
  • 代理服务器的状态。

存储服务器设置:

  • 存储大小。
  • 储存期限。

Sandbox 服务器的设置:

  • 服务器的 IP 地址和名称。
  • 服务器的状态。
  • 证书的指纹。

Sandbox 设置:

  • 虚拟机镜像列表。
  • Sandbox 同步状态。

安全设置:

  • 密码更改和重置期限。
  • 认证计数器失败。
  • 最大用户不活动时间。
  • 控制板由于用户不活动而处于锁定状态。

Sensor 服务器的设置:可以发送以进行扫描的文件的最大大小。

SIEM 设置:

  • 本地和远程更新和操作日志的状态。
  • TLS 加密状态。
  • SIEM 服务器地址和端口。
  • 正在使用的网络协议。
  • 向 SIEM 发送数据的主机的 ID。
  • TLS 加密证书。

Sensor 与 SMTP 集成的设置:

  • 用于相互身份认证的证书。
  • 域名和子域名。
  • SMTP 客户端网络和子网。
  • TLS 安全级别。
  • 请求客户端 TLS 证书的状态。
  • SMTP 状态。

SNMP 连接设置:

  • 登录名。
  • 密码哈希。
  • 用作解密密钥的 Secret 的名称。
  • 协议版本。
  • SNMP 状态。

Sensor 与 SPAN 集成的设置:

  • 监听的接口。
  • 保存 HTTP 标头的状态。
  • SPAN 状态。
  • 客户端证书。

SPAN 端口镜像流量的存储设置:

  • 存储状态和大小。
  • 正在使用的目录。
  • 最大文件数。

威胁搜索设置:

  • 是否使用 TAA 规则扫描事件链。
  • 正在使用的数据模型的版本。

时区设置。

更新设置:

  • 更新服务器类型。
  • 更新服务器的自定义 URL。

该信息无限期地存储在 Central Node 服务器的 /data 目录中。

系统事件日志

操作系统日志文件无限期地存储在托管 Central Node 组件的服务器上的/var/log目录中。

包含应用程序操作信息的日志。

如果该组件安装在服务器上,则日志文件将无限期地存储在托管 Central Node 组件的服务器上的 /data 目录中。当 Central Node 组件安装在集群上时,数据将无限期地存储在存储服务器上。

文件扫描队列。

如果该组件安装在服务器上,文件将存储在托管 Central Node 组件的服务器上的 /data 目录中。当 Central Node 组件后安装在集群上时,数据将存储在存储服务器上。数据将保留直至扫描完成。

从带有 Endpoint Agent 组件的计算机接收的文件。

如果该组件安装在服务器上,文件将存储在托管 Central Node 组件的服务器上的 /data 目录中。当 Central Node 组件后安装在集群上时,数据将存储在存储服务器上。当磁盘空间已满时,数据将被轮换。

包含 YARA 和 IDS 规则(用户定义的和来自卡巴斯基的)的文件。

如果该组件安装在服务器上,文件将无限期地存储在托管 Central Node 组件的服务器上的 /data 目录中。当 Central Node 组件安装在集群上时,数据将无限期地存储在存储服务器上。

 

包含发送到外部系统的检测数据的文件。

如果该组件安装在服务器上,文件将无限期地存储在托管 Central Node 组件的服务器上的 /data 目录中。当 Central Node 组件安装在集群上时,数据将无限期地存储在存储服务器上。

 

Sandbox 组件的工件。

如果该组件安装在服务器上,文件将存储在托管 Central Node 组件的服务器上的 /data 目录中。当 Central Node 组件后安装在集群上时,数据将存储在存储服务器上。当磁盘空间已满时,数据将被轮换。

Sandbox 组件为其创建了检测的文件。

如果该组件安装在服务器上,文件将存储在托管 Central Node 组件的服务器上的 /data 目录中。当 Central Node 组件后安装在集群上时,数据将存储在存储服务器上。当磁盘空间已满时,数据将被轮换。

用于验证应用程序组件的证书文件。

文件将无限期地存储在托管 Central Node、PCN、SCN、Sensor 组件的服务器或具有 Endpoint Agent 组件的计算机上的 /data 目录中。

在应用程序组件之间传输的加密密钥。

文件将无限期地存储在托管 Central Node、PCN、SCN、Sensor 组件的服务器或具有 Endpoint Agent 组件的计算机上的 /data 目录中。

 

SPAN 端口的镜像流量副本。

文件存储在带有 Sensor 组件的服务器上安装的存储器中。当磁盘空间已满时,数据将被删除。

ICAP 排除项过滤器。

如果该组件安装在服务器上,文件将无限期地存储在托管 Central Node 组件的服务器上的 /data 目录中。当 Central Node 组件安装在集群上时,数据将无限期地存储在存储服务器上。
  • 有关网络会话的信息。
  • 设备信息。
  • 与 Endpoint Agent 组件集成时的遥测。
  • 网络流量事件。
  • 用户账户数据。
  • 有关可执行文件的信息。
  • 与已注册事件相关的流量转储。
  • 与网络会话相关的流量转储。

 

数据存储在 Central Node 服务器的 /data/storage/volumes/nta_database 目录中。当磁盘空间被填满时,数据将被轮换。
  • 用户账户 ID。
  • 用户账户名称。
  • 用户的域名。
  • 用户账户角色。
  • 用户账户状态。
  • 用户账户上次更改密码的日期和时间。

如果该组件安装在服务器上,文件将无限期地存储在托管 Central Node 组件的服务器上的 /data 目录中。当 Central Node 组件安装在集群上时,数据将无限期地存储在存储服务器上。
  • Central Node 服务器 ID。
  • Central Node 服务器的 IP 地址。
  • Central Node 服务器名称。
  • Central Node 活动指示器。
  • 租户 ID。
  • 租户姓名。
  • 分配给此租户的具有 Central Node 组件的服务器的名称。
  • 租户创建日期。
  • Kaspersky Security Center 分配的 Endpoint Agent 计算机 ID。
  • Endpoint Agent 计算机的名称。
  • Endpoint Agent 计算机的 IP 地址。
  • Endpoint Agent 计算机的操作系统。
  • 充当 Endpoint Agent 组件的应用程序的版本。
  • Endpoint Agent 自我防御机制的状态。
  • 第一个和最后一个遥测数据包被发送到 Central Node 组件的日期和时间。
  • 上次 IOC 扫描运行的日期和时间。
  • 上次 IOC 扫描运行的结果。
  • 充当 Endpoint Agent 组件的应用程序的授权许可密钥状态。
  • 创建防御规则的租户的 ID。
  • 防御规则的状态(已启用或已禁用)。
  • 被阻止运行的文件的 MD5 哈希和 SHA256 哈希。
  • 创建防御规则的用户的账户名。
  • 更改防御规则的用户的账户名。
  • 文件在其上被阻止运行的计算机列表。
  • 防御规则更改日志。
  • 防御规则创建日期和时间。
  • 防御规则的名称。
  • 指示是否必须通知用户文件开始被阻止的属性。
  • 分配给 Endpoint Agent 计算机的任务类型。
  • 分配了该任务的计算机的名称。
  • 具有 Endpoint Agent 组件的计算机的 IP 地址。
  • 分配给 Endpoint Agent 计算机的任务的创建日期和时间。
  • 为其创建任务的租户的 ID。
  • 任务到期日期。
  • 创建任务的用户账户的名称。
  • 任务设置数据。
  • 任务报告数据。
  • 任务注释。
  • 用户定义的 TAA (IOA) 规则名称。
  • 正在被扫描的请求的源代码。
  • 用户定义的 TAA (IOA) 规则 ID。
  • 用户定义的 TAA (IOA) 规则状态。
  • 用户定义的 TAA (IOA) 规则的创建日期和时间。
  • 添加用户定义的TAA(IOA)规则时指定的重要性。
  • 取决于添加用户定义的 TAA (IOA) 规则时用户定义的误报可能性的置信度。
  • 为其创建规则的租户的 ID。
  • 上传具有用户定义的入侵检测规则的文件的用户账户的用户名。
  • 上传具有用户定义的入侵检测规则的文件的日期和时间。
  • 用户定义的入侵检测规则的状态。
  • 用户定义的入侵检测规则文件中指定的重要性。
  • 上传具有用户定义的 IOC 规则的文件的用户账户的用户名。
  • IOC 文件的名称。
  • IOC 文件的内容。
  • IOC 文件上传的日期和时间。
  • IOC 规则的状态。
  • IOC 文件中指定的规则重要性。
  • IOC 规则的描述。
  • 上传了 IOC 文件的租户的 ID。
  • 上传具有用户定义的 YARA 规则的文件的用户账户的用户名。
  • YARA 文件的内容。
  • YARA 文件上传的日期和时间。
  • 包含 YARA 规则的文件的名称。
  • 重要级别。
  • YARA 规则的状态。
  • 启用了网络隔离的用户的账户名。
  • 被隔离計算機的 ID。
  • 网络隔离规则的名称。
  • 网络隔离规则的状态。
  • 被从网络隔离中排除的资源列表。
  • 修改网络隔离规则的日期和时间。
  • 网络隔离规则的状态。
  • 网络隔离规则的到期日期。
  • 添加扫描排除项规则的用户的用户名。
  • 被从扫描中排除的对象列表。
  • 排除项规则 ID。
  • 排除项规则名称。
  • 排除项规则的创建日期和时间。
  • 为其创建排除项规则的租户的 ID。
  • 对其应用排除项规则的组件的名称。
  • 创建或修改报告模板的用户账户的 ID。
  • 模板创建日期。
  • 上次修改模板的日期。
  • 作为 HTML 代码的报告文本。
  • 模板的名称。
  • 租户 ID。
  • 上传 Endpoint Agent 组件证书文件的用户账户的用户名。
  • 证书摘要。
  • 证书的序列号。
  • 公钥。
  • 证书的到期日期。
  • Sandbox 组件扫描规则的状态
  • 规则类型
  • 所包含对象的掩码
  • 被排除对象的掩码
  • 被扫描文件的大小
  • 规则创建日期和时间
  • 分配规则的虚拟机的 ID

虚拟机配置信息:

  • 托管 Sandbox 组件的服务器的 IP 地址
  • 虚拟机列表

关于用户账户的数据:

  • 用户账户 ID。
  • 用户账户名称。
  • 授权用户的计算机的名称。

数据存储在 Central Node 服务器的 /data/storage/volumes/nta_database 目录中。当磁盘空间被填满时,数据将被轮换。

网络会话信息:

  • 网络通讯参与者的姓名。
  • 网络通信参与者的 IP 和 MAC 地址。

有关在应用程序中注册的设备的信息:

  • 设备名称。
  • 设备的 IP 和 MAC 地址。

作为 NDR 功能的一部分与 Endpoint Agent 组件集成时保存的数据:

  • 具有 Endpoint Agent 组件的计算机的 IP 和 MAC 地址。
  • 具有 Endpoint Agent 组件的计算机的名称。
  • 在具有 Endpoint Agent 组件的计算机上注册的用户账户的名称。
  • 计算机正在运行的操作系统。
  • 用户代理。

有关网络流量事件的信息:设备的 IP 和 MAC 地址。

有关作为 NDR 功能的一部分连接的 Endpoint Agent 计算机上的可执行文件的信息:

  • 文件名。
  • 文件路径。
  • 文件版本。
  • 文件的 MD5 哈希和 SHA256 哈希。

与记录的网络会话和事件相关的流量转储数据:

  • 网络通讯参与者的姓名。
  • 网络通信参与者的 IP 和 MAC 地址。
  • 设备名称。
  • 设备的 IP 和 MAC 地址。
  • 用户账户名称。
  • 用户账户 ID。
  • 计算机正在运行的操作系统。
  • 用户代理。
  • 可执行文件的名称。
  • 可执行文件路径。
  • 可执行文件的版本。
  • 可执行文件的 MD5 哈希和 SHA256 哈希。

与 NDR 功能相关的用户活动的审计日志。

页面顶部