Kaspersky Anti Targeted Attack (KATA) Platform

Данные в событиях

14 мая 2024

ID 247485

Данные пользователя могут содержаться в событиях. Если компонент Central Node установлен на сервере, информация о произошедших событиях хранится на сервере с компонентом в директории /data/var/lib/kaspersky/storage/fastsearch/elasticsearch/data/. При установке компонента Central Node на кластер информация хранится на серверах хранения данных.

Данные ротируются по мере заполнения диска.

Возможность ограничить права пользователей серверов и операционных систем, на которые установлен компонент Central Node, средствами Kaspersky Anti Targeted Attack Platform не предусмотрена. Администратору рекомендуется контролировать доступ пользователей серверов и операционных систем, на которые установлено приложение, к персональным данным других пользователей любыми системными средствами на его усмотрение.

Данные о событиях могут содержать следующую информацию:

  • Имя компьютера, на котором произошло событие.
  • Уникальный идентификатор компьютера с Kaspersky Endpoint Agent.
  • Имя пользователя, под учетной записью которого произошло событие.
  • Имя группы, в которую входит пользователь.
  • Тип события.
  • Время события.
  • Информация о файле, для которого записано событие: имя, путь, полное имя.
  • MD5- и SHA256-хеш файла.
  • Время создания файла.
  • Время изменения файла.
  • Флаги прав доступа к файлу.
  • Переменные окружения процесса.
  • Параметры командной строки.
  • Текст команды, введенный в командную строку.
  • Локальный IP-адрес адаптера.
  • Локальный порт.
  • Имя удаленного хоста.
  • IP-адрес удаленного хоста.
  • Порт на удаленном хосте.
  • URL- и IP-адреса посещенных веб-сайтов, а также ссылки с этих веб-сайтов.
  • Протокол сетевого соединения.
  • Метод HTTP-запроса.
  • Заголовок HTTP-запроса.
  • Информация о переменных реестра Windows: путь к переменной, имя переменной, значение переменной.
  • Содержание скрипта или двоичного файла, переданного на AMSI-проверку.
  • Информация о событии в журнале Windows: тип события, идентификатор типа события, идентификатор события, пользователь, под учетной записью которого событие записано в журнал, полный текст события из журнала событий Windows в формате XML.

См. также

Данные компонентов Central Node и Sensor

Данные трафика компонента Sensor

Данные в обнаружениях

Данные в отчетах

Данные об объектах в Хранилище и на карантине

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!