Данные компонентов Central Node и Sensor

В этом разделе содержится следующая информация о данных пользователей, хранящихся на сервере с компонентом Central Node и на сервере с компонентом Sensor:

• состав хранимых данных;
• место хранения;
• срок хранения;
• доступ пользователей к данным.

Данные трафика компонента Sensor

Данные трафика компонента Sensor хранятся на сервере с компонентом Sensor или на сервере с компонентами Sensor и Central Node, если Sensor и Central Node установлены на одном сервере.

Данные трафика записываются и хранятся в последовательно создаваемых файлах. Программа перестает записывать данные в один файл и начинает записывать в следующий файл в следующих случаях:

• при достижении максимального размера файла (вы можете настроить этот параметр);
• по окончании заданного в настройках промежутка времени (вы можете настроить этот параметр);
• при перезагрузке службы сохранения трафика или всей программы Kaspersky Anti Targeted Attack Platform.

По мере накопления данных трафика, Kaspersky Anti Targeted Attack Platform фильтрует данные и оставляет только следующую информацию:

• информацию, связанную с обнаружениями, выполненными технологией Targeted Attack Analyzer;
• PCAP-файлы, в которых:
  • IP-адрес источника или назначения совпадают каким-либо IP-адресом из обнаружения;
  • данные трафика относятся ко времени, отстоящему от времени обнаружения не более, чем на 15 минут.

Отфильтрованные данные трафика переносятся в отдельный раздел. Все остальные данные трафика (не отвечающие условиям фильтрации), удаляются.

Данные отфильтрованного трафика сохраняются в последовательно создаваемых файлах. Программа перестает записывать данные в один файл и начинает записывать в следующий файл в следующих случаях:

• при достижении максимального размера файла;
• по окончании заданного в настройках промежутка времени.

Данные отфильтрованного трафика хранятся за последние сутки. Более старые данные удаляются.

Данные в обнаружениях

Данные пользователя могут содержаться в обнаружениях. Если компонент Central Node установлен на сервере, информация об обнаружениях и файлы, по результатам проверки которых возникло обнаружение, хранятся на сервере с компонентом Central Node в директории /data. При установке компонента Central Node на кластер информация об обнаружениях и файлы, по результатам проверки которых возникло обнаружение, хранятся на серверах хранения данных.

Возможность ограничить права пользователей серверов и операционных систем, на которые установлен компонент Central Node, средствами Kaspersky Anti Targeted Attack Platform не предусмотрена. Администратору рекомендуется контролировать доступ пользователей серверов и операционных систем, на которые установлена программа, к персональным данным других пользователей любыми системными средствами на его усмотрение.

Во всех обнаружениях хранится следующая информация:

• Время обнаружения.
• Категория обнаруженного объекта.
• Имя обнаруженного файла.
• Обнаруженный URL-адрес.
• MD5- , SHA256-хеш обнаруженного файла.
• Комментарии пользователя, добавленные в информацию об обнаружении.
• Идентификатор правила TAA, по которому было выполнено обнаружение.
• IP-адрес и имя компьютера, на котором выполнено обнаружение.
• Идентификатор компьютера, на котором выполнено обнаружение.

При изменении обнаружения на сервере хранится следующая информация:

• Учетная запись пользователя, который изменил обнаружение.
• Учетная запись пользователя, которому было назначено обнаружение.
• Дата и время изменения обнаружения.

Если обнаружено сообщение электронной почты, на сервере может храниться следующая информация:

• Адреса электронной почты отправителя и получателей сообщения, копии и скрытой копии сообщения.
• Тема сообщения электронной почты.
• Дата и время поступления сообщения в Kaspersky Anti Targeted Attack Platform, с точностью до секунд.
• Все служебные заголовки сообщения (так, как они выглядят в сообщении).

Если обнаружение выполнено технологией URL Reputation, на сервере может храниться следующая информация:

• Имя компьютера, с которого были отправлены данные.
• Имя компьютера, получившего данные.
• IP-адрес компьютера, с которого были отправлены данные.
• IP-адрес компьютера, получившего данные.
• URI переданного ресурса.
• Информация о прокси-сервере.
• Уникальный идентификатор сообщения электронной почты.
• Адреса электронной почты отправителя и получателей сообщения (включая получателей копии и скрытой копии сообщения).
• Тема сообщения электронной почты.
• Дата и время поступления сообщения в Kaspersky Anti Targeted Attack Platform, с точностью до секунд.
• Список обнаруженных объектов.
• Время сетевого соединения.
• URL-адрес сетевого соединения.

Если обнаружение выполнено технологией Intrusion Detection System, на сервере может храниться следующая информация:

• Имя компьютера, с которого были отправлены данные.
• Имя компьютера, получившего данные.
• IP-адрес компьютера, с которого были отправлены данные.
• IP-адрес компьютера, получившего данные.
• Переданные данные.
• Время передачи данных.
• URL-адрес, извлеченный из файла с трафиком, User Agent, метод.
• Файл с трафиком, в котором произошло обнаружение.

Если обнаружение выполнено с помощью правил YARA, на сервере может храниться следующая информация:

• Версия правил YARA, с помощью которых было выполнено обнаружение.
• Категория обнаруженного объекта.
• Имя обнаруженного объекта.
• MD5-хеш обнаруженного объекта.

Если обнаружение выполнено с помощью компонента Sandbox, на сервере может храниться следующая информация:

• Версия баз программы, с помощью которых было выполнено обнаружение.
• Категория обнаруженного объекта.
• Имена обнаруженных объектов.
• MD5-хеши обнаруженных объектов.
• Информация об обнаруженных объектах.

Если обнаружение выполнено в результате работы пользовательских правил IOC или TAA (IOA), на сервере может храниться следующая информация:

• Дата и время выполнения проверки.
• Идентификаторы компьютеров, на которых выполнено обнаружение.
• Имя правила TAA (IOA).
• Имя IOC-файла.
• Информация об обнаруженных объектах.

Если обнаружение выполнено выполнено технологией Anti-Malware Engine, на сервере может храниться следующая информация:

• Версии баз компонентов Kaspersky Anti Targeted Attack Platform, с помощью которых было выполнено обнаружение.
• Категория обнаруженного объекта.
• Список обнаруженных объектов.
• MD5-хеш обнаруженных объектов.
• Дополнительная информация об обнаружении.

Данные в событиях

Данные пользователя могут содержаться в событиях. Если компонент Central Node установлен на сервере, информация о произошедших событиях хранится на сервере с компонентом в директории /data. При установке компонента Central Node на кластер информация хранится на серверах хранения данных.

Данные ротируются по мере заполнения диска.

Возможность ограничить права пользователей серверов и операционных систем, на которые установлен компонент Central Node, средствами Kaspersky Anti Targeted Attack Platform не предусмотрена. Администратору рекомендуется контролировать доступ пользователей серверов и операционных систем, на которые установлена программа, к персональным данным других пользователей любыми системными средствами на его усмотрение.

Данные о событиях могут содержать следующую информацию:

• Имя компьютера, на котором произошло событие.
• Уникальный идентификатор компьютера с Kaspersky Endpoint Agent.
• Имя пользователя, под учетной записью которого произошло событие.
• Имя группы, в которую входит пользователь.
• Тип события.
• Время события.
• Информация о файле, для которого записано событие: имя, путь, полное имя.
• MD5- и SHA256-хеш файла.
• Время создания файла.
• Время изменения файла.
• Флаги прав доступа к файлу.
• Переменные окружения процесса.
• Параметры командной строки.
• Текст команды, введенный в командную строку.
• Локальный IP-адрес адаптера.
• Локальный порт.
• Имя удаленного хоста.
• IP-адрес удаленного хоста.
• Порт на удаленном хосте.
• URL- и IP-адреса посещенных веб-сайтов, а также ссылки с этих веб-сайтов.
• Протокол сетевого соединения.
• Метод HTTP-запроса.
• Заголовок HTTP-запроса.
• Информация о переменных реестра Windows: путь к переменной, имя переменной, значение переменной.
• Содержание скрипта или двоичного файла, переданного на AMSI-проверку.
• Информация о событии в журнале Windows: тип события, идентификатор типа события, идентификатор события, пользователь, под учетной записью которого событие записано в журнал, полный текст события из журнала событий Windows в формате XML.

Данные в отчетах

Данные пользователя могут содержаться в отчетах. Если компонент Central Node установлен на сервере, информация о произошедших событиях хранится на сервере с компонентом в директории /data бессрочно. При установке компонента Central Node на кластер информация хранится на серверах хранения данных.

Возможность ограничить права пользователей серверов и операционных систем, на которые установлен компонент Central Node, средствами Kaspersky Anti Targeted Attack Platform не предусмотрена. Администратору рекомендуется контролировать доступ пользователей серверов и операционных систем, на которые установлена программа, к персональным данным других пользователей любыми системными средствами на его усмотрение.

В отчетах может содержаться следующая информация:

• Дата создания отчета.
• Период, за который сформирован отчет.
• Идентификатор учетной записи пользователя, сформировавшего отчет.
• Статус отчета.
• Текст отчета в виде HTML-кода.

Данные об объектах в Хранилище и на карантине

Объекты в Хранилище и на карантине могут содержать данные пользователя. Информация об объектах в Хранилище и о копиях объектов, помещенных на карантин на компьютерах с Kaspersky Endpoint Agent, сохраненных на сервере с помощью задачи Получить файл, хранится на сервере с компонентом Central Node в директории /data бессрочно.

Возможность ограничить права пользователей серверов и операционных систем, на которые установлен компонент Central Node, средствами Kaspersky Anti Targeted Attack Platform не предусмотрена. Администратору рекомендуется контролировать доступ пользователей серверов и операционных систем, на которые установлена программа, к персональным данным других пользователей любыми системными средствами на его усмотрение.

Данные об объектах в Хранилище и на карантине могут содержать следующую информацию:

• Имя объекта.
• Путь к объекту на компьютере с Kaspersky Endpoint Agent.
• MD5-, SHA256-хеш файла.
• Идентификатор пользователя, поместившего объект на карантин на компьютере с Kaspersky Endpoint Agent.
• Идентификатор пользователя, поместившего объект в Хранилище.
• IP-адрес компьютера, на котором хранится объект, помещенный на карантин.
• Имя компьютера, на котором хранится объект, помещенный на карантин.
• Уникальный идентификатор компьютера, на котором хранится объект, помещенный на карантин.
• Идентификатор правила TAA (IOA), по которому было выполнено обнаружение.
• Категория обнаруженного объекта.
• Результаты проверки объекта с помощью отдельных модулей и технологий программы.