Предоставление данных в Kaspersky Unified Monitoring and Analysis Platform
Данные, передаваемые третьим сторонам
При использовании функциональности KUMA отсутствует автоматическая передача данных пользователя третьим сторонам.
Данные, обрабатываемые локально
Kaspersky Unified Monitoring and Analysis Platform (далее "KUMA" или "программа") – это комплексное программное решение, сочетающее в себе следующие основные функции:
- получение, обработка и хранение событий информационной безопасности;
- анализ и корреляция поступающих данных;
- поиск по полученным событиям;
- создание уведомлений о выявлении признаков угроз информационной безопасности;
- создание алертов и инцидентов для обработки угроз информационной безопасности;
- отображение информации о состоянии инфраструктуры заказчика на панели мониторинга и в отчетах;
- мониторинг источников событий;
- управление устройствами (активами): просмотр информации об активах, поиск, добавление, редактирование и удаление активов, экспорт данных об активах в файл формата CSV.
Для выполнения своих основных функций KUMA может принимать, хранить и обрабатывать следующую информацию:
- Данные об устройствах в сети организации.
Сервер Ядра KUMA получает данные, если настроена соответствующая интеграция. Вы можете добавить активы в KUMA следующими способами:
- Импортировать активы:
- По запросу из MaxPatrol.
- По расписанию: из Kaspersky Security Center и KICS for Networks.
- Создать активы вручную через веб-интерфейс или с помощью API.
KUMA хранит следующие данные об устройствах:
- Технические характеристики устройства.
- Данные, специфичные для источника получения актива.
- Импортировать активы:
- Дополнительные технические характеристики устройств в сети организации, которые пользователь указывает для отправки инцидента в НКЦКИ: IP-адреса, доменные имена, URI-адреса, адрес электронной почты контролируемого объекта, атакованная сетевая служба и порт/протокол.
- Данные Active Directory об организационных единицах, доменах, пользователях, группах, полученные в результате опроса сети Active Directory.
Сервер Ядра KUMA получает эти данные, если настроена соответствующая интеграция. Для обеспечения безопасного подключения к серверу LDAP пользователь вводит URL сервера, учетные данные для подключения и сертификат в консоли KUMA.
- Данные для доменой аутентификации пользователей в KUMA: корневой DN для поиска групп доступа в службе каталогов Active Directory, URL-адрес контроллера домена, сертификат (публичный ключ root, которым подписан сертификат AD), полный путь к группе доступа пользователей в AD (distinguished name).
- Данные, содержащиеся в событиях от настроенных источников.
В коллекторе настраивается источник событий, формируются события KUMA и передаются далее в другие сервисы KUMA. Иногда события могут поступать сначала в сервис агент, который передает события от источника в коллектор.
- Данные, необходимые для интеграции KUMA с другими приложениями (Kaspersky Threat Lookup, Kaspersky CyberTrace, Kaspersky Security Center, Kaspersky Industrial CyberSecurity for Networks, Kaspersky Automated Security Awareness Platform, Kaspersky Endpoint Detection and Response, R-Vision Security Orchestration, Automation and Response).
Это могут быть сертификаты, токены, URL или данные учетной записи для установки соединения с другим приложением, а также другие данные для обеспечения основной функциональности KUMA, например email. Пользователь вводит эти данные в консоли KUMA
- Данные об источниках, с которых настроено получение событий.
Это могут быть название источника, имя хоста, IP-адрес, политика мониторинга, назначенная этому источнику. В политике мониторинга указывается адрес электронной почты ответственного, кому будет отправлено уведомление при нарушении политики.
- Учетные записи пользователей: имя, логин, адрес электронной почты. Пользователь может просмотреть свои данные в профиле в консоли KUMA.
- Параметры профиля пользователя:
- Роль пользователя в KUMA. Пользователь может видеть назначенную ему роль.
- Язык локализации, параметры уведомлений, отображение непечатаемых символов.
Пользователь вводит эти данные в интерфейсе KUMA.
- Список категорий активов в разделе Активы, панель мониторинга по умолчанию, признак режима ТВ для панели мониторинга, SQL-запрос по событиям по умолчанию, пресет по умолчанию.
Пользователь указывает эти параметры в соответствующих разделах консоли KUMA.
- События аудита.
KUMA автоматически фиксирует события аудита.
- Журнал KUMA.
Пользователь может включить ведение расширенных записей журналов в консоли KUMA. Записи журнала хранятся на устройстве пользователя, автоматическая передача данных отсутствует.
- Информация о принятии пользователем условий юридических соглашений с "Лабораторией Касперского".
- Любые данные, которые пользователь вводит в интерфейсе KUMA.
Перечисленные выше данные могут попасть в KUMA следующими способами:
- Пользователь вводит данные в консоли KUMA.
- Сервисы KUMA (агент или коллектор) получают данные при настроенном пользователем подключении к источникам событий.
- Через REST API KUMA.
- Данные об устройствах могут быть получены с помощью утилиты из MaxPatrol.
Перечисленные данные хранятся в базе данных KUMA (Mongo DB, Click House). Пароли хранятся в зашифрованном виде (хранится хеш паролей).
Все перечисленные выше данные могут быть переданы "Лаборатории Касперского" только в файлах дампа, файлах трассировки или файлах журналов компонентов KUMA, включая файлы журналов, создаваемые установщиком и утилитами.
Файлы дампа, файлы трассировки и файлы журналов компонентов KUMA могут содержать персональные и конфиденциальные данные. Файлы дампа, файлы трассировки и файлы журналов хранятся в открытом виде на устройстве. Файлы дампа, файлы трассировки и файлы журналов не передаются в "Лабораторию Касперского" автоматически, но администратор может передать эти данные в "Лабораторию Касперского" вручную по запросу Службы технической поддержки для решения проблем в работе KUMA.
"Лаборатория Касперского" использует полученные данные в анонимной форме и только для целей общей статистики. Сводная статистика автоматически формируется из полученной исходной информации и не содержит каких-либо персональных или прочих конфиденциальных данных. При накоплении новых данных предыдущие данные уничтожаются (один раз в год). Сводная статистика хранится неограниченное время.
"Лаборатория Касперского" обеспечивает защиту всех полученных данных в соответствии с законодательством и применимыми правилами "Лаборатории Касперского". Данные передаются по безопасным каналам связи.
