Данные в обнаружениях

Данные пользователя могут содержаться в обнаружениях. Если компонент Central Node установлен на сервере, информация об обнаружениях и файлы, по результатам проверки которых возникло обнаружение, хранятся на сервере с компонентом Central Node в директории /data. При установке компонента Central Node на кластер информация об обнаружениях и файлы, по результатам проверки которых возникло обнаружение, хранятся на серверах хранения данных.

Возможность ограничить права пользователей серверов и операционных систем, на которые установлен компонент Central Node, средствами Kaspersky Anti Targeted Attack Platform не предусмотрена. Администратору рекомендуется контролировать доступ пользователей серверов и операционных систем, на которые установлено приложение, к персональным данным других пользователей любыми системными средствами на его усмотрение.

Во всех обнаружениях хранится следующая информация:

• Время обнаружения.
• Категория обнаруженного объекта.
• Имя обнаруженного файла.
• Обнаруженный URL-адрес.
• MD5-, SHA256-хеш обнаруженного файла.
• Комментарии пользователя, добавленные в информацию об обнаружении.
• Идентификатор правила TAA, по которому было выполнено обнаружение.
• IP-адрес и имя компьютера, на котором выполнено обнаружение.
• Идентификатор компьютера, на котором выполнено обнаружение.

При изменении обнаружения на сервере хранится следующая информация:

• Учетная запись пользователя, который изменил обнаружение.
• Учетная запись пользователя, которому было назначено обнаружение.
• Дата и время изменения обнаружения.

Если обнаружено сообщение электронной почты, на сервере может храниться следующая информация:

• Адреса электронной почты отправителя и получателей сообщения, копии и скрытой копии сообщения.
• Тема сообщения электронной почты.
• Дата и время поступления сообщения в Kaspersky Anti Targeted Attack Platform, с точностью до секунд.
• Все служебные заголовки сообщения (так, как они выглядят в сообщении).

Если обнаружение выполнено технологией URL Reputation, на сервере может храниться следующая информация:

• Имя компьютера, с которого были отправлены данные.
• Имя компьютера, получившего данные.
• IP-адрес компьютера, с которого были отправлены данные.
• IP-адрес компьютера, получившего данные.
• URI переданного ресурса.
• Информация о прокси-сервере.
• Уникальный идентификатор сообщения электронной почты.
• Адреса электронной почты отправителя и получателей сообщения (включая получателей копии и скрытой копии сообщения).
• Тема сообщения электронной почты.
• Дата и время поступления сообщения в Kaspersky Anti Targeted Attack Platform, с точностью до секунд.
• Список обнаруженных объектов.
• Время сетевого соединения.
• URL-адрес сетевого соединения.

Если обнаружение выполнено технологией Intrusion Detection System, на сервере может храниться следующая информация:

• Имя компьютера, с которого были отправлены данные.
• Имя компьютера, получившего данные.
• IP-адрес компьютера, с которого были отправлены данные.
• IP-адрес компьютера, получившего данные.
• Переданные данные.
• Время передачи данных.
• URL-адрес, извлеченный из файла с трафиком, User Agent, метод.
• Файл с трафиком, в котором произошло обнаружение.

Если обнаружение выполнено с помощью правил YARA, на сервере может храниться следующая информация:

• Версия правил YARA, с помощью которых было выполнено обнаружение.
• Категория обнаруженного объекта.
• Имя обнаруженного объекта.
• MD5-хеш обнаруженного объекта.

Если обнаружение выполнено с помощью компонента Sandbox, на сервере может храниться следующая информация:

• Версия баз приложения, с помощью которых было выполнено обнаружение.
• Категория обнаруженного объекта.
• Имена обнаруженных объектов.
• MD5-хеши обнаруженных объектов.
• Информация об обнаруженных объектах.

Если обнаружение выполнено в результате работы пользовательских правил IOC или TAA (IOA), на сервере может храниться следующая информация:

• Дата и время выполнения проверки.
• Идентификаторы компьютеров, на которых выполнено обнаружение.
• Имя правила TAA (IOA).
• Имя IOC-файла.
• Информация об обнаруженных объектах.

Если обнаружение выполнено технологией Anti-Malware Engine, на сервере может храниться следующая информация:

• Версии баз компонентов Kaspersky Anti Targeted Attack Platform, с помощью которых было выполнено обнаружение.
• Категория обнаруженного объекта.
• Список обнаруженных объектов.
• MD5-хеш обнаруженных объектов.
• Дополнительная информация об обнаружении.

См. также Данные компонентов Central Node и Sensor Данные трафика компонента Sensor Данные в событиях Данные в отчетах Данные об объектах в Хранилище и на карантине

В начало