Kaspersky Anti Targeted Attack Platform

Данные компонентов Central Node и Sensor

В этом разделе содержится следующая информация о данных пользователей, хранящихся на сервере с компонентом Central Node и на сервере с компонентом Sensor:

  • состав хранимых данных;
  • место хранения;
  • срок хранения;
  • доступ пользователей к данным.

См. также

Служебные данные приложения

Данные компонента Sandbox

Данные, пересылаемые между компонентами приложения

Данные в файлах трассировки приложения

Данные Kaspersky Endpoint Agent для Windows

Данные Kaspersky Endpoint Security для Windows

Данные Kaspersky Endpoint Security для Linux

Данные Kaspersky Endpoint Security для Mac

В этом разделе

Данные трафика компонента Sensor

Данные в обнаружениях

Данные в событиях

Данные в отчетах

Данные об объектах в Хранилище и на карантине

В начало
[Topic 176644]

Данные трафика компонента Sensor

Данные трафика компонента Sensor хранятся на сервере с компонентом Sensor или на сервере с компонентами Sensor и Central Node, если Sensor и Central Node установлены на одном сервере или развернуты в виде кластера.

Данные трафика записываются и хранятся в последовательно создаваемых файлах. Приложение перестает записывать данные в один файл и начинает записывать в следующий файл в следующих случаях:

  • при достижении максимального размера файла (вы можете настроить этот параметр);
  • по окончании заданного в настройках промежутка времени (вы можете настроить этот параметр);
  • при перезагрузке службы сохранения трафика или всего приложения Kaspersky Anti Targeted Attack Platform.

По мере накопления данных трафика, Kaspersky Anti Targeted Attack Platform фильтрует данные и оставляет только следующую информацию:

  • информацию, связанную с обнаружениями, выполненными технологией Targeted Attack Analyzer;
  • PCAP-файлы, в которых:
    • IP-адрес источника или назначения совпадают каким-либо IP-адресом из обнаружения;
    • данные трафика относятся ко времени, отстоящему от времени обнаружения не более, чем на 15 минут.

Отфильтрованные данные трафика переносятся в отдельный раздел. Все остальные данные трафика (не отвечающие условиям фильтрации), удаляются.

Данные отфильтрованного трафика сохраняются в последовательно создаваемых файлах. Приложение перестает записывать данные в один файл и начинает записывать в следующий файл в следующих случаях:

  • при достижении максимального размера файла;
  • по окончании заданного в настройках промежутка времени.

Данные отфильтрованного трафика хранятся за последние сутки. Более старые данные удаляются.

См. также

Данные компонентов Central Node и Sensor

Данные в обнаружениях

Данные в событиях

Данные в отчетах

Данные об объектах в Хранилище и на карантине

В начало
[Topic 197172]

Данные в обнаружениях

Данные пользователя могут содержаться в обнаружениях. Если Central Node установлен на сервере, информация об обнаружениях и файлы, по результатам проверки которых возникло обнаружение, хранятся на сервере Central Node в директории /data. Если Central Node установлен в виде кластера, информация об обнаружениях и файлы, по результатам проверки которых возникло обнаружение, хранятся в хранилище ceph.

Возможность ограничить права пользователей серверов и операционных систем, на которые установлен компонент Central Node, средствами Kaspersky Anti Targeted Attack Platform не предусмотрена. Администратору рекомендуется контролировать доступ пользователей серверов и операционных систем, на которые установлено приложение, к персональным данным других пользователей любыми системными средствами на его усмотрение.

Во всех обнаружениях хранится следующая информация:

  • Дата и время обнаружения.
  • Дата и время изменения обнаружения.
  • Категория обнаруженного объекта.
  • Имя обнаруженного файла.
  • Источник обнаружения.
  • Обнаруженный URL-адрес.
  • MD5-, SHA256-хеш обнаруженного файла.
  • Комментарии пользователя, добавленные в информацию об обнаружении.
  • Идентификатор правила TAA(IOA), по которому было выполнено обнаружение.
  • IP-адрес и имя компьютера, на котором выполнено обнаружение.
  • Идентификатор компьютера, на котором выполнено обнаружение.
  • User agent.
  • Учетная запись пользователя, которому было назначено обнаружение.
  • Список файлов.

При изменении обнаружения на сервере хранится следующая информация:

  • Учетная запись пользователя, который изменил обнаружение.
  • Учетная запись пользователя, которому было назначено обнаружение.
  • Дата и время изменения обнаружения.
  • Статус обнаружения.
  • Пользовательский комментарий.

Если обнаружено сообщение электронной почты, на сервере может храниться следующая информация:

  • Адреса электронной почты отправителя и получателей сообщения, копии и скрытой копии сообщения.
  • Тема сообщения электронной почты.
  • Дата и время поступления сообщения в Kaspersky Anti Targeted Attack Platform, с точностью до секунд.
  • Все служебные заголовки сообщения (так, как они выглядят в сообщении).

Если обнаружение выполнено технологией URL Reputation, на сервере может храниться следующая информация:

  • Имя компьютера, с которого были отправлены данные.
  • Имя компьютера, получившего данные.
  • IP-адрес компьютера, с которого были отправлены данные.
  • IP-адрес компьютера, получившего данные.
  • URI переданного ресурса.
  • Информация о прокси-сервере.
  • Уникальный идентификатор сообщения электронной почты.
  • Адреса электронной почты отправителя и получателей сообщения (включая получателей копии и скрытой копии сообщения).
  • Тема сообщения электронной почты.
  • Дата и время поступления сообщения в Kaspersky Anti Targeted Attack Platform, с точностью до секунд.
  • Список обнаруженных объектов.
  • Время сетевого соединения.
  • URL-адрес сетевого соединения.
  • User agent.

Если обнаружение выполнено технологией Intrusion Detection System, на сервере может храниться следующая информация:

  • Имя компьютера, с которого были отправлены данные.
  • Имя компьютера, получившего данные.
  • IP-адрес компьютера, с которого были отправлены данные.
  • IP-адрес компьютера, получившего данные.
  • Переданные данные.
  • Время передачи данных.
  • URL-адрес, извлеченный из файла с трафиком, User Agent, метод.
  • Файл с трафиком, в котором произошло обнаружение.
  • Категория объекта по базе IDS.
  • Название пользовательского правила IDS, по которому было выполнено обнаружение.
  • Тело HTTP-запроса.
  • Список обнаружений.

Если обнаружение выполнено с помощью правил YARA, на сервере может храниться следующая информация:

  • Версия правил YARA, с помощью которых было выполнено обнаружение.
  • Категория обнаруженного объекта.
  • Имя обнаруженного объекта.
  • MD5-хеш обнаруженного объекта.
  • Дата и время обнаружения объекта.
  • Дополнительная информация об обнаружении.

Если обнаружение выполнено с помощью компонента Sandbox, на сервере может храниться следующая информация:

  • Версия баз приложения, с помощью которых было выполнено обнаружение.
  • Категория обнаруженного объекта.
  • Имена обнаруженных объектов.
  • MD5-хеши обнаруженных объектов.
  • Информация об обнаруженных объектах.

Если обнаружение выполнено в результате работы пользовательских правил IOC или TAA (IOA), на сервере может храниться следующая информация:

  • Дата и время выполнения проверки.
  • Идентификаторы компьютеров, на которых выполнено обнаружение.
  • Имя правила TAA (IOA).
  • Имя IOC-файла.
  • Информация об обнаруженных объектах.
  • Список хостов с компонентом Endpoint Agent.

Если обнаружение выполнено технологией Anti-Malware Engine, на сервере может храниться следующая информация:

  • Версии баз компонентов Kaspersky Anti Targeted Attack Platform, с помощью которых было выполнено обнаружение.
  • Категория обнаруженного объекта.
  • Список обнаруженных объектов.
  • MD5-хеш обнаруженных объектов.
  • Дополнительная информация об обнаружении.

Если обнаружение выполнено в результате повторного сканирования, на сервере может храниться следующая информация:

  • Имя файла.

Если обнаружение выполнено в результате проверки файла, на сервере может храниться следующая информация:

  • Полное имя обнаруженного файла.
  • MD5-, SHA256-хеш обнаруженного файла.
  • Размер обнаруженного файла.
  • Информация о подписи файла.

Если обнаружение выполнено в результате проверки FTP-трафика, на сервере может храниться следующая информация:

  • URI FTP-запроса.

Если обнаружение выполнено в результате проверки HTTP-трафика, на сервере может храниться следующая информация:

  • URI HTTP-запроса.
  • URI источника запроса.
  • User agent.
  • Информация о прокси-сервере.

См. также

Данные компонентов Central Node и Sensor

Данные трафика компонента Sensor

Данные в событиях

Данные в отчетах

Данные об объектах в Хранилище и на карантине

В начало
[Topic 247484]

Данные в событиях

Данные пользователя могут содержаться в событиях. Если Central Node установлен на сервере, информация о произошедших событиях хранится в директории /data. Если Central Node установлен в виде кластера, информация хранится в хранилище ceph.

Данные ротируются по мере заполнения диска.

Возможность ограничить права пользователей серверов и операционных систем, на которые установлен компонент Central Node, средствами Kaspersky Anti Targeted Attack Platform не предусмотрена. Администратору рекомендуется контролировать доступ пользователей серверов и операционных систем, на которые установлено приложение, к персональным данным других пользователей любыми системными средствами на его усмотрение.

Данные о событиях могут содержать следующую информацию:

  • Имя компьютера, на котором произошло событие.
  • Уникальный идентификатор компьютера с Kaspersky Endpoint Agent.
  • Имя пользователя, под учетной записью которого произошло событие.
  • Имя группы, в которую входит пользователь.
  • Тип события.
  • Время события.
  • Информация о файле, для которого записано событие: имя, путь, полное имя.
  • MD5- и SHA256-хеш файла.
  • Время создания файла.
  • Время изменения файла.
  • Флаги прав доступа к файлу.
  • Переменные окружения процесса.
  • Параметры командной строки.
  • Текст команды, введенный в командную строку.
  • Локальный IP-адрес адаптера.
  • Локальный порт.
  • Имя удаленного хоста.
  • IP-адрес удаленного хоста.
  • Порт на удаленном хосте.
  • URL- и IP-адреса посещенных веб-сайтов, а также ссылки с этих веб-сайтов.
  • Протокол сетевого соединения.
  • Метод HTTP-запроса.
  • Заголовок HTTP-запроса.
  • Информация о переменных реестра Windows: путь к переменной, имя переменной, значение переменной.
  • Содержание скрипта или двоичного файла, переданного на AMSI-проверку.
  • Информация о событии в журнале Windows: тип события, идентификатор типа события, идентификатор события, пользователь, под учетной записью которого событие записано в журнал, полный текст события из журнала событий Windows в формате XML.

См. также

Данные компонентов Central Node и Sensor

Данные трафика компонента Sensor

Данные в обнаружениях

Данные в отчетах

Данные об объектах в Хранилище и на карантине

В начало
[Topic 247485]

Данные в отчетах

Данные пользователя могут содержаться в отчетах. Если компонент Central Node установлен на сервере, информация о произошедших событиях хранится в директории /data бессрочно. Если Central Node установлен в виде кластера, информация хранится в хранилище ceph бессрочно.

Возможность ограничить права пользователей серверов и операционных систем, на которые установлен компонент Central Node, средствами Kaspersky Anti Targeted Attack Platform не предусмотрена. Администратору рекомендуется контролировать доступ пользователей серверов и операционных систем, на которые установлено приложение, к персональным данным других пользователей любыми системными средствами на его усмотрение.

В отчетах может содержаться следующая информация:

  • Дата создания отчета.
  • Период, за который сформирован отчет.
  • Идентификатор учетной записи пользователя, сформировавшего отчет.
  • Статус отчета.
  • Текст отчета в виде HTML-кода.
  • Описание.
  • Имя шаблона, на основе которого создан отчет.

См. также

Данные трафика компонента Sensor

Данные в обнаружениях

Данные в событиях

Данные об объектах в Хранилище и на карантине

В начало
[Topic 247486]

Данные об объектах в Хранилище и на карантине

Объекты в Хранилище и на карантине могут содержать данные пользователя. Если компонент Central Node установлен на сервере, информация об объектах в Хранилище и о копиях объектов, помещенных на карантин на компьютерах с Kaspersky Endpoint Agent, сохраненных на сервере с помощью задачи Получить файл, хранится в директории /data. Если компонент Central Node установлен в виде кластера, информация об объектах в Хранилище и о копиях объектов, помещенных на карантин на компьютерах с Kaspersky Endpoint Agent, сохраненных на сервере с помощью задачи Получить файл, хранится в хранилище ceph.

Данные ротируются по мере заполнения диска.

Возможность ограничить права пользователей серверов и операционных систем, на которые установлен компонент Central Node, средствами Kaspersky Anti Targeted Attack Platform не предусмотрена. Администратору рекомендуется контролировать доступ пользователей серверов и операционных систем, на которые установлено приложение, к персональным данным других пользователей любыми системными средствами на его усмотрение.

Данные об объектах в Хранилище и на карантине могут содержать следующую информацию:

  • Имя объекта.
  • Путь к объекту на компьютере с Kaspersky Endpoint Agent.
  • MD5-, SHA256-хеш файла.
  • Идентификатор пользователя, поместившего объект на карантин на компьютере с Kaspersky Endpoint Agent.
  • Идентификатор пользователя, поместившего объект в Хранилище.
  • IP-адрес компьютера, на котором хранится объект, помещенный на карантин.
  • Имя компьютера, на котором хранится объект, помещенный на карантин.
  • Уникальный идентификатор компьютера, на котором хранится объект, помещенный на карантин.
  • Идентификатор правила TAA (IOA), в соответствии с которым было выполнено обнаружение.
  • Категория обнаруженного объекта.
  • Результаты проверки объекта с помощью отдельных модулей и технологий приложения.
  • Время загрузки файла.
  • Метаинформация о проверенных файлах и источниках получения.
  • Результирующий статус об объекте в Хранилище.

См. также

Данные трафика компонента Sensor

Данные в обнаружениях

Данные в событиях

Данные в отчетах

В начало
[Topic 247487]