Предоставление данных

Данные, обрабатываемые локально

Open Single Management Platform предназначен для оптимизации выявления угроз, расследования инцидентов, реагирования (в том числе автоматического), а также проактивного поиска угроз в реальном времени.

Open Single Management Platform выполняет следующие основные функции:

• получение, обработка и хранение событий информационной безопасности;
• анализ и корреляция поступающих данных;
• расследование инцидентов и алертов, ручное реагирование;
• автоматическое реагирование с использованием предустановленных и пользовательских плейбуков;
• поиск угроз по событиям в реальном времени.

Для выполнения своих основных функций приложение Open Single Management Platform может принимать, хранить и обрабатывать следующую информацию:

• Информация об устройствах, на которые производится установка компонентов Open Single Management Platform:
  • Имя устройства, MAC-адрес, поставщик операционной системы, номер сборки операционной системы, версия ядра ОС, наличие требуемых установленных пакетов, наличие прав для учетной записи, тип средства управления службами, состояние портов. Данная информация собирается Kaspersky Deployment Toolkit при установке.
  • IPv4-адрес. Данная информация заполняется пользователем в конфигурационном файле Kaspersky Deployment Toolkit.
• Имена учетных записей для доступа к устройствам, на которые производится установка компонентов Open Single Management Platform, и SSH ключи. Данная информация заполняется пользователем в конфигурационном файле Kaspersky Deployment Toolkit.
• Имя и пароль учетной записи Open Single Management Platform. Данная информация заполняется пользователем в конфигурационном файле Kaspersky Deployment Toolkit.
• Данные для доступа к СУБД: IP/DNS имя, порт, логин и пароль пользователя. Данная информация заполняется пользователем в конфигурационном файле Kaspersky Deployment Toolkit.
• Файлы инвентаря и лицензии KUMA. Данная информация заполняется пользователем в конфигурационном файле Kaspersky Deployment Toolkit.
• Зона DNS. Данная информация заполняется пользователем в конфигурационном файле Kaspersky Deployment Toolkit.
• Сертификаты безопасного подключения устройств к компонентам Open Single Management Platform. Данная информация заполняется пользователем в конфигурационном файле Kaspersky Deployment Toolkit.
• Гибкая модель статусов инцидентов, включая предустановленные (стандартная или ГОСТ). Наличие модель статусов по ГОСТ настраивается пользователем в конфигурационном файле Kaspersky Deployment Toolkit.

  Информация, которую заполняет пользователь в конфигурационном файле Kaspersky Deployment Toolkit и которую собирает Kaspersky Deployment Toolkit при установке, сохраняется в лог установки, который хранится в базе данных Kaspersky Deployment Toolkit. Лог установки первоначальной инфраструктуры сохраняется в файл на машине пользователя. Срок хранения не ограничен, файл будет удален при деинсталляции решения. Имена пользователей и пароли хранятся в зашифрованном виде.

• Информация о типах инцидентов: общая информация о типе, включая имя и описания типа; связь типа и модели статусов инцидентов.
• Информация об учетных записях пользователей: полное имя и адрес электронной почты. Данная информация вводится пользователем в Консоли OSMP и KUMA. Данные хранятся в базе данных неограниченное время, пока пользователь их не удалит.
• Данные об интеграционном токене.
• Информация о тенантах: название тенанта, название родительского тенанта, описание. Данная информация вводится пользователем в Консоли OSMP и KUMA. Данные хранятся в базе данных неограниченное время, пока пользователь их не удалит.
• Данные об алертах и инцидентах:
  • Данные об алертах: сработавшие правила, соответствие матрице MITRЕ, статус алерта, резолюция, назначенный оператор, затронутые активы (устройства и учетные записи), наблюдаемые объекты (IP, MD5, SHA256, URL, DNS-домен или DNS-имя, имя пользователя, имя устройства), признак наличия устройств КИИ в алерте, комментарии и журнал изменений, файлы. Данная информация формируется в Консоли OSMP автоматически на основании корреляционных событий из Kaspersky Unified Monitoring and Analysis Platform.
  • Данные об инцидентах: связанные алерты, сработавшие правила, соответствие матрице MITRЕ, статус инцидента, резолюция, затронутые активы (устройства и аккаунты), наблюдаемый объект (из алерта), признак наличия устройств КИИ в инциденте, комментарии и журнал изменений. Данная информация формируется в Консоли OSMP автоматически по правилам или вручную пользователем, файлы, тип инцидента.
  • Данные об инцидентах НКЦКИ: сведения об атакованном ресурсе и о вредоносной системе, информацию из ГосСОПКА по экспортированному инциденту (уникальный идентификатор карточки уведомления в НКЦКИ, регистрационный номер уведомления, дата и время регистрации инцидента в ГосСОПКА, дата последнего обновления инцидента в ГосСОПКА) и журнал изменений. Данная информация формируется автоматически на основании инцидентов XDR для передачи в ГосСОПКА.
  • Данные о настройке правил формирования инцидентов из алертов: имя и условия срабатывания правила, шаблон имени нового инцидента, описание правила и приоритет запуска правила. Данная информация вводится пользователем в Консоли OSMP.
  • Данные о шаблонах уведомлений: имя шаблона, тема сообщения, шаблон текста сообщения, описание шаблона и правила детектирования, при срабатывании которых будут отправляться уведомления. Данная информация вводится пользователем в Консоли OSMP.

  Данные об алертах и инцидентах хранятся в соответствии с заданным пользователем сроком хранения.

  Данные об инцидентах НКЦКИ, настройке правил формирования инцидентов и шаблонах уведомлений хранятся в базе данных неограниченное время, пока пользователь не удалит их.

• Данные о настройках сроков хранения алертов и инцидентов
• Данные о плейбуках:
  • Операционные данные плейбука, в том числе данные о входных параметрах действий по реагированию: название, описание, теги, текст триггера и алгоритма. Данная информация вводится пользователем в Консоли OSMP.
  • Данные о результатах выполнения действий по реагированию в рамках исполнения плейбука: содержит данные из интегрированных систем, данные с устройств.
  • Полная история реагирований по всем алертам и инцидентам.

  Перечисленные выше данные о плейбуках хранятся в базе данных в течение трех дней, после чего удаляются. Данные полностью удаляются при деинсталляции Open Single Management Platform.

• Данные о параметрах интеграции (как с приложениями и службами "Лаборатории Касперского", так и со сторонними решениями, которые участвуют в сценариях Open Single Management Platform):
  • Интеграция с Kaspersky Threat Intelligence Portal: API-токен доступа для подключения к Kaspersky Threat Intelligence Portal, срок хранения кеша, признак подключения через прокси, тип сервиса. Данная информация вводится пользователем в Консоли OSMP.
  • Интеграция с НКЦКИ: URL-адрес, API-токен доступа для подключении к ГосСОПКА, наименование компании, сфера деятельности компании, сведения о местонахождении или географическом местоположении информационного ресурса или объекта, признак подключения через прокси. Данная информация вводится пользователем в Консоли OSMP.
  • Интеграция с КАТА/EDR: адрес сервера KATA/EDR: IP адрес/имя устройства, порт, уникальный идентификатор для подключения к KATA/EDR, файл сертификата и закрытый ключ для подключения к КАТА/EDR. Данная информация вводится пользователем в Консоли OSMP.
  • Подключение к устройству, где будет запускаться пользовательский скрипт: IP адрес/имя устройства, порт, логин пользователя и SSH ключ, пароль/ключ. Данная информация вводится пользователем в Консоли OSMP.
  • Интеграция с Сервером администрирования OSMP: имя Сервера администрирования, полный путь до Сервера администрирования в иерархии. Данная информация вводится пользователем в Консоли OSMP.
  • Интеграция с Kaspersky Cyber Trace: IPv4/Hostname и порт, по которому доступен Kaspersky Cyber Trace, имя и пароль для подключения. Данная информация вводится пользователем в Консоли KUMA.
  • Интеграция с Kaspersky Automated Security Awareness Platform (KASAP): API токен доступа при подключении к KASAP, URL портала KASAP, Email Администратора KASAP, признак подключения через прокси. Данная информация вводится пользователем в Консоли KUMA.
  • Интеграция с Active Directory: адреса контроллеров домена, логин и пароль для подключения к контроллерам домена, сертификат. Данная информация вводится пользователем в Консоли KUMA.
  • Интеграция с внешней системой (например UserGate): данные для подключения к удаленному клиентскому устройству: логин пользователя и SSH ключ, пароль/ключ.

  Перечисленные выше данные о настройках интеграции хранятся в базе данных неограниченное время, пока пользователь не удалит их. Данные полностью удаляются при деинсталляции приложения.

• IP-адрес, с которого пользователь подключается к Консоли OSMP - фиксируется автоматически Консолью, хранится до истечения времени хранения ревизий объектов, которые редактировал пользователь.

Подробную информацию о прочих данных, принимаемых, хранимых и обрабатываемых для выполнения основных функций решения Open Single Management Platform, см. в справке приложения:

• Kaspersky Security Center 15.2 Linux
• Kaspersky Unified Monitoring and Analysis Platform

Все перечисленные выше данные могут быть переданы в "Лабораторию Касперского" только посредством файлов дампа, файлов трассировки или файлов журналов компонентов Open Single Management Platform, включая файлы журналов, создаваемые инсталляторами и утилитами. Файлы дампов, файлы трассировки или файлы журналов компонентов Open Single Management Platform могут содержать персональные или конфиденциальные данные. Файлы дампов, файлы трассировки или файлы журналов хранятся в открытой форме на устройствах. Файлы дампов, файлы трассировки или файлы журналов не передаются в "Лабораторию Касперского" автоматически, но администратор может передать эти файлы в "Лаборатории Касперского" вручную по запросу Службы технической поддержки для решения проблем в работе Open Single Management Platform. "Лаборатория Касперского" обеспечивает защиту всех полученных данных в соответствии с законодательством и применимыми правилами "Лаборатории Касперского". Данные передаются по безопасным каналам связи. Срок хранения данной информации (период ротации) составляет, по умолчанию, 7 дней.

Данные, передаваемые в "Лабораторию Касперского"

Переходя по ссылкам из Консоли OSMP к справке OSMP, пользователь соглашается на автоматическую передачу в "Лабораторию Касперского" следующих данных: код OSMP, версия OSMP, локализация OSMP.

Для назначения обучающего курса сотруднику Open Single Management Platform передает в Kaspersky Automated Security Awareness Platform (KASAP) следующие данные: email пользователя, ID пользователя в KASAP, ID группы обучения.

Для получения дополнительных данных по алертам Open Single Management Platform передает в Threat Intelligence Portal следующую информацию: тип и значение наблюдаемых объектов из алертов, инцидентов, событий информационной безопасности.

Данные, передаваемые третьим сторонам

Для получения информации о тактике/технике MITRE при переходе по ссылке из карточки алерта/инцидента, Open Single Management Platform передает на сайт MITRE информацию о тактике/технике: ID и тип.

Для представления информации по инциденту НКЦКИ (Национальный координационный центр по компьютерным инцидентам) в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) Open Single Management Platform передает следующие данные:

• Краткое описание инцидента, категория инцидента, тип инцидента. Дата и время выявления компьютерного инцидента (признака инцидента), начала компьютерной атаки или выявления уязвимости (признака уязвимости), дата и время восстановления штатного режима работы контролируемого информационного ресурса (объекта КИИ) после компьютерного инцидента, окончания компьютерной атаки или устранения уязвимости.
• Наименование главной организации, в которой произошел инцидент. Наименование подчиненной организации, в которой произошел инцидент.
• Ограничительный маркер на распространение сведений из карточки компьютерной атаки, статус реагирования на инцидент.
• Название информационного ресурса, целевая функция или сфера деятельности, в которой функционирует информационный ресурс. Наличие одной из категорий у объекта КИИ или ее отсутствие. Сведения о месте нахождения или географического местоположения информационного ресурса или объекта КИИ. Город, в котором расположен объект КИИ, на котором произошел инцидент, атака или обнаружена уязвимость.
• Наименование уязвимого приложения, версия уязвимого приложения.
• Необходимость привлечения сил ГосСОПКА, сведения о средстве или способе выявления инцидента, наличие подключения к сети Интернет.
• Влияние на доступность, влияние на целостность, влияние на конфиденциальность. Описание иной формы последствий компьютерного инцидента или компьютерной атаки.
• IPv4-адрес и IPv6-адрес контролируемого ресурса, доменное имя контролируемого ресурса, URI-адрес контролируемого ресурса, Email-адрес контролируемого ресурса.
• Имя атакованной сетевой службы, порт/протокол сетевой службы.
• Тип активности, хеш-сумма вредоносного модуля, описание используемых уязвимостей, идентификатор уязвимости.
• IPv4-адрес и IPv6-адрес вредоносной системы, доменное имя вредоносной системы, URI-адрес вредоносной системы, Email-адрес вредоносной системы.
• AS-Path до атакованной Автономной системы (ASN), номер подставной Автономной системы (ASN), наименование LIR, наименование AS.
• Утечка ПДн, наименование оператора ПДн, ИНН оператора ПДн, адрес оператора ПДн, адрес электронной почты для отправки информации об уведомлении. Предполагаемые причины, повлекшие нарушение прав субъектов ПД. Предполагаемый вред, нанесенный правам субъектов ПД. Характеристики персональных данных, принятые меры по устранению последствий инцидента, информация о результатах внутреннего расследования инцидента, дополнительные сведения.

Для реагирования через внешние системы (например, UserGate) с помощью запуска сторонних скриптов на удаленных клиентских устройствах Open Single Management Platform передает во внешние системы следующую информацию: тип и значение наблюдаемых объектов из алертов, инцидентов.