Данные в событиях
06 сентября 2024
ID 247485
Данные пользователя могут содержаться в событиях. Если Central Node установлен на сервере, информация о произошедших событиях хранится в директории /data
. Если Central Node установлен в виде кластера, информация хранится в хранилище ceph.
Данные ротируются по мере заполнения диска.
Возможность ограничить права пользователей серверов и операционных систем, на которые установлен компонент Central Node, средствами Kaspersky Anti Targeted Attack Platform не предусмотрена. Администратору рекомендуется контролировать доступ пользователей серверов и операционных систем, на которые установлено приложение, к персональным данным других пользователей любыми системными средствами на его усмотрение.
Данные о событиях могут содержать следующую информацию:
- Имя компьютера, на котором произошло событие.
- Уникальный идентификатор компьютера с Kaspersky Endpoint Agent.
- Имя пользователя, под учетной записью которого произошло событие.
- Имя группы, в которую входит пользователь.
- Тип события.
- Время события.
- Информация о файле, для которого записано событие: имя, путь, полное имя.
- MD5- и SHA256-хеш файла.
- Время создания файла.
- Время изменения файла.
- Флаги прав доступа к файлу.
- Переменные окружения процесса.
- Параметры командной строки.
- Текст команды, введенный в командную строку.
- Локальный IP-адрес адаптера.
- Локальный порт.
- Имя удаленного хоста.
- IP-адрес удаленного хоста.
- Порт на удаленном хосте.
- URL- и IP-адреса посещенных веб-сайтов, а также ссылки с этих веб-сайтов.
- Протокол сетевого соединения.
- Метод HTTP-запроса.
- Заголовок HTTP-запроса.
- Информация о переменных реестра Windows: путь к переменной, имя переменной, значение переменной.
- Содержание скрипта или двоичного файла, переданного на AMSI-проверку.
- Информация о событии в журнале Windows: тип события, идентификатор типа события, идентификатор события, пользователь, под учетной записью которого событие записано в журнал, полный текст события из журнала событий Windows в формате XML.