Поддержка

Поддержка приложений для бизнеса

Kaspersky Anti Targeted Attack (KATA) Platform

Предоставление данных

Данные компонентов Central Node и Sensor

Данные в обнаружениях

Kaspersky Anti Targeted Attack (KATA) Platform
Нет результатов
База знаний Онлайн-справка
Советы и решения FAQ Скачать Форум Запрос в поддержку Утилиты для лечения

Данные в обнаружениях

15 ноября 2023

ID 247484

Данные пользователя могут содержаться в обнаружениях. Если компонент Central Node установлен на сервере, информация об обнаружениях и файлы, по результатам проверки которых возникло обнаружение, хранятся на сервере с компонентом Central Node в директории /data/var/lib/kaspersky/storage/pgsql/10/data/. При установке компонента Central Node на кластер информация об обнаружениях и файлы, по результатам проверки которых возникло обнаружение, хранятся на серверах хранения данных.

Возможность ограничить права пользователей серверов и операционных систем, на которые установлен компонент Central Node, средствами Kaspersky Anti Targeted Attack Platform не предусмотрена. Администратору рекомендуется контролировать доступ пользователей серверов и операционных систем, на которые установлено приложение, к персональным данным других пользователей любыми системными средствами на его усмотрение.

Во всех обнаружениях хранится следующая информация:

  • Время обнаружения.
  • Категория обнаруженного объекта.
  • Имя обнаруженного файла.
  • Обнаруженный URL-адрес.
  • MD5- , SHA256-хеш обнаруженного файла.
  • Комментарии пользователя, добавленные в информацию об обнаружении.
  • Идентификатор правила TAA, по которому было выполнено обнаружение.
  • IP-адрес и имя компьютера, на котором выполнено обнаружение.
  • Идентификатор компьютера, на котором выполнено обнаружение.

При изменении обнаружения на сервере хранится следующая информация:

  • Учетная запись пользователя, который изменил обнаружение.
  • Учетная запись пользователя, которому было назначено обнаружение.
  • Дата и время изменения обнаружения.

Если обнаружено сообщение электронной почты, на сервере может храниться следующая информация:

  • Адреса электронной почты отправителя и получателей сообщения, копии и скрытой копии сообщения.
  • Тема сообщения электронной почты.
  • Дата и время поступления сообщения в Kaspersky Anti Targeted Attack Platform, с точностью до секунд.
  • Все служебные заголовки сообщения (так, как они выглядят в сообщении).

Если обнаружение выполнено технологией URL Reputation, на сервере может храниться следующая информация:

  • Имя компьютера, с которого были отправлены данные.
  • Имя компьютера, получившего данные.
  • IP-адрес компьютера, с которого были отправлены данные.
  • IP-адрес компьютера, получившего данные.
  • URI переданного ресурса.
  • Информация о прокси-сервере.
  • Уникальный идентификатор сообщения электронной почты.
  • Адреса электронной почты отправителя и получателей сообщения (включая получателей копии и скрытой копии сообщения).
  • Тема сообщения электронной почты.
  • Дата и время поступления сообщения в Kaspersky Anti Targeted Attack Platform, с точностью до секунд.
  • Список обнаруженных объектов.
  • Время сетевого соединения.
  • URL-адрес сетевого соединения.

Если обнаружение выполнено технологией Intrusion Detection System, на сервере может храниться следующая информация:

  • Имя компьютера, с которого были отправлены данные.
  • Имя компьютера, получившего данные.
  • IP-адрес компьютера, с которого были отправлены данные.
  • IP-адрес компьютера, получившего данные.
  • Переданные данные.
  • Время передачи данных.
  • URL-адрес, извлеченный из файла с трафиком, User Agent, метод.
  • Файл с трафиком, в котором произошло обнаружение.

Если обнаружение выполнено с помощью правил YARA, на сервере может храниться следующая информация:

  • Версия правил YARA, с помощью которых было выполнено обнаружение.
  • Категория обнаруженного объекта.
  • Имя обнаруженного объекта.
  • MD5-хеш обнаруженного объекта.

Если обнаружение выполнено с помощью компонента Sandbox, на сервере может храниться следующая информация:

  • Версия баз приложения, с помощью которых было выполнено обнаружение.
  • Категория обнаруженного объекта.
  • Имена обнаруженных объектов.
  • MD5-хеши обнаруженных объектов.
  • Информация об обнаруженных объектах.

Если обнаружение выполнено в результате работы пользовательских правил IOC или TAA (IOA), на сервере может храниться следующая информация:

  • Дата и время выполнения проверки.
  • Идентификаторы компьютеров, на которых выполнено обнаружение.
  • Имя правила TAA (IOA).
  • Имя IOC-файла.
  • Информация об обнаруженных объектах.

Если обнаружение выполнено выполнено технологией Anti-Malware Engine, на сервере может храниться следующая информация:

  • Версии баз компонентов Kaspersky Anti Targeted Attack Platform, с помощью которых было выполнено обнаружение.
  • Категория обнаруженного объекта.
  • Список обнаруженных объектов.
  • MD5-хеш обнаруженных объектов.
  • Дополнительная информация об обнаружении.

См. также

Данные компонентов Central Node и Sensor

Данные трафика компонента Sensor

Данные в событиях

Данные в отчетах

Данные об объектах в Хранилище и на карантине

Профессиональные услуги «Лаборатории Касперского»
Внедрение продуктов. Аудит и конфигурирование системы защиты. Свяжитесь с нами и получите помощь экспертов.
Расширенная техническая поддержка (MSA) — приоритетная обработка инцидентов
Поддержка по телефону или через веб‑портал. Быстрое реагирование, мониторинг и проверка. Подайте заявку и активируйте контракт.
Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!