О предоставлении данных
Программа не передает пользовательские данные в "Лабораторию Касперского". Пользовательские данные обрабатываются на компьютерах, на которых установлена программа.
Данные, передаваемые во внешние системы
Если настроена отправка уведомлений о регистрации инцидентов по почте, программа передает следующие данные на SMTP-сервер:
- дата и время регистрации инцидента;
- имя ML-модели, зарегистрировавшей инцидент;
- имя топ-тега;
- описание топ-тега;
- значение топ-тега в момент регистрации инцидента;
- единицы измерения топ-тега;
- ссылка для перехода в раздел История в момент начала инцидента;
- идентификатор инцидента;
- имя детектора, зарегистрировавшего инцидент;
- значение суммарной среднеквадратичной ошибки MSE в момент регистрации инцидента;
- значение порога блокировки, превышенное в момент регистрации инцидента.
Если настроена отправка уведомлений о регистрации инцидентов через коннекторы MQTT Connector, AMQP Connector, WebSocket Connector и/или KICS Connector, программа передает следующие данные на MQTT-брокер, AMQP-брокер, WebSocket-сервер и/или в Kaspersky Industrial CyberSecurity for Networks:
- идентификатор инцидента;
- дата и время регистрации инцидента;
- дата и время завершения инцидента;
- имя и уникальный идентификатор (UUID) ML-модели, зарегистрировавшей инцидент;
- уникальный идентификатор (UUID) элемента ML-модели;
- идентификатор и описание топ-тега;
- имя детектора, зарегистрировавшего инцидент;
- ссылка для перехода в раздел История в момент начала инцидента;
- значение суммарной среднеквадратичной ошибки MSE в момент регистрации инцидента (при наличии);
- значение порога блокировки, превышенное в момент регистрации инцидента (при наличии);
- значение топ-тега в момент регистрации инцидента;
- статус инцидента;
- комментарий к инциденту (при наличии);
- идентификатор группы инцидентов (при наличии);
- имя группы инцидента (при наличии);
- экспертное заключение (при наличии);
- идентификаторы релевантных тегов;
- причина инцидента (при наличии).
Если настроена отправка уведомлений о регистрации инцидентов через коннектор CEF Connector, программа передает следующие данные в SIEM-систему:
- имя поставщика программы;
- имя программы;
- версия Kaspersky MLAD;
- идентификатор подписи программы;
- дата и время регистрации инцидента;
- дата и время завершения инцидента;
- имя детектора, зарегистрировавшего инцидент;
- имя ML-модели, зарегистрировавшей инцидент;
- ссылка для перехода в раздел История в момент начала инцидента;
- описание топ-тега;
- комментарий к инциденту (при наличии);
- имя группы инцидента (при наличии);
- значение топ-тега в момент регистрации инцидента;
- идентификатор группы инцидентов (при наличии);
- идентификатор инцидента;
- идентификатор топ-тега.
Если настроена отправка зарегистрированных событий через коннектор CEF Connector, программа передает следующие данные в SIEM-систему:
- имя поставщика программы;
- имя программы;
- версия Kaspersky MLAD;
- идентификатор подписи программы;
- имя монитора, который зарегистрировал событие;
- идентификатор монитора;
- дата и время регистрации события;
- количество активаций на скользящем окне;
- тип элемента, который вызвал активацию монитора;
- информация, является ли зарегистрированное событие новым для программы;
- последние события или паттерны, которые активировали монитор;
- условие на фильтры для монитора;
- информация, активируется ли монитор только новыми событиями или паттернами.
Если настроена отправка журналов событий информационной безопасности, программа передает следующие данные на syslog-сервер:
- имя поставщика программы;
- имя программы;
- версия Kaspersky MLAD;
- идентификатор подписи программы;
- идентификатор события ИБ;
- дата и время события ИБ;
- тип события ИБ;
- уточнение типа события ИБ;
- уровень важности события ИБ;
- имя пользователя, действия которого привели к записи события ИБ;
- IP-адрес компьютера, с которого пользователем были произведены действия, записанные в журналы событий ИБ;
- результат события ИБ;
- краткое содержание события ИБ;
- подробное описание события ИБ.
Данные, обрабатываемые локально на сервере Kaspersky MLAD
Для выполнения своих основных функций программа может принимать, хранить и обрабатывать следующую информацию:
- Информация о полных резервных копиях программы, если выполнялось резервное копирование или обновление программы. Информация о полных резервных копиях программы хранится на сервере Kaspersky MLAD до их удаления пользователем.
- Информация о резервных копиях томов (volumes) Docker, которые создаются во время удаления программы. Информация о резервных копиях томов Docker хранится на сервере Kaspersky MLAD до их удаления пользователем.
- Файлы с текстом Лицензионного соглашения текущей установленной версии программы.
- Сертификаты для подключения к программе через веб-интерфейс.
- Сертификаты и ключи к сертификатам для шифрования соединения коннекторов и служб Kaspersky MLAD с внешними системами.
- Публичные ключи для проверки цифровой подписи дистрибутива. Публичные ключи хранятся на сервере Kaspersky MLAD до их удаления пользователем.
- Данные об учетных записях пользователей: идентификатор учетной записи, фамилия, имя, отчество, адрес электронной почты, состояние учетной записи (активна или заблокирована), пароль.
В качестве фамилии, имени и отчества пользователя могут быть указаны значения, не идентифицирующие пользователя как физическое лицо (например, цех и должность). Информация, указанная в полях Фамилия, Имя и Отчество пользователей при создании учетных записей, хранится в открытом виде и программой не обрабатывается.
Адреса электронной почты, указанные при создании учетных записей, используются в качестве имен пользователей при подключении пользователей к веб-интерфейсу программы. Имена пользователей указываются в журналах событий информационной безопасности. Адреса электронной почты используются для отправки уведомлений о зарегистрированных инцидентах.
Адреса электронной почты пользователей хранятся в открытом виде.
Kaspersky MLAD не хранит пароли пользователей в открытом виде. Для хранения паролей используется алгоритм расчета хеш-суммы scrypt. Kaspersky MLAD добавляет соль к паролю для предотвращения его декодирования. Пароли пользователей не записываются в журналы программы.
Данные об учетных записях пользователей вводит системный администратор в меню администратора.
- Данные о ролях и назначенных для этих ролей прав: идентификатор роли, имя роли, состояние роли (активна или неактивна), список назначенных прав, дата и время создания роли, дата и время изменения роли.
Данные о ролях вводит системный администратор в меню администратора.
- Данные об уведомлениях об инцидентах: идентификатор уведомления, адрес электронной почты для отправки уведомления, тип инцидента, пользователь, которому будет отправлено уведомление, состояние уведомления (активно или неактивно).
Данные об уведомлениях вводит системный администратор в меню администратора.
- Данные о параметрах Kaspersky MLAD:
- Основные параметры программы: имя объекта мониторинга, веб-адрес программы, IP-адрес для подключения к программе, интервал получения данных из службы Message Broker, интервал получения статистических данных об инцидентах из базы данных, часовой пояс объекта мониторинга.
- Параметры безопасности программы: количество попыток авторизации, период блокировки пользователя, период неактивности пользователя, информация, является ли смена пароля при первом подключении обязательной, количество паролей пользователя, хранящихся в истории, срок действия пароля, минимальная длина пароля, информация, требуется ли использование в пароле прописных, строчных букв латинского алфавита, цифр и/или специальных символов (_!@#$%^&*), объем и время хранения журналов событий информационной безопасности.
- Параметры службы Anomaly Detector: информация, требуется ли использовать детекторы Limit Detector, Forecaster, XGBoost и/или Rule Detector, информация, требуется ли пропускать разрывы в данных, максимальное количество запрашиваемых записей из службы Message Broker, количество сообщений, отправляемых в одном блоке в службу Message Broker, количество одновременно запущенных ML-моделей.
- Параметры службы Keeper: информация, требуется ли сохранять все теги, время ожидания получения тегов, инцидентов и метрик.
- Параметры службы Mail Notifier: адрес и порт SMTP-сервера, имя пользователя и пароль для подключения к SMTP-серверу, информация, требуется ли использовать TLS-соединение, сертификат и ключ к сертификату SMTP-сервера.
- Параметры службы Similar Anomaly: минимальное и максимальное количество инцидентов для группы, максимальное расстояние между схожими инцидентами.
- Параметры службы Stream Processor: периодичность равноинтервальной последовательности, конфигурационный файл с параметрами службы Stream Processor.
В конфигурационном файле службы Stream Processor хранятся идентификаторы тегов, которые обрабатываются службой, и значения параметров обработки тегов.
Значения параметров обработки тегов задаются специалистами "Лаборатории Касперского" индивидуально для каждого объекта мониторинга.
- Параметры коннектора HTTP Connector: информация, требуется ли записывать данные в службу Message Broker, информация, требуется ли сохранять полученный файл, размер записываемого блока, максимальный размер загружаемого файла.
- Параметры коннектора MQTT Connector: информация, требуется ли использовать TLS-соединение, адрес и порт MQTT-брокера, имя пользователя и пароль для подключения к MQTT-брокеру, корневой сертификат, сертификат клиентского приложения и ключ к сертификату клиентского приложения, список подписок MQTT для получения тегов, топик MQTT для публикации сообщений, формат обработки поступающих данных, конфигурационный файл коннектора, информация, требуется ли масштабировать полученные значения тегов.
В конфигурационном файле коннектора MQTT Connector хранятся идентификаторы, имена, описания, типы и единицы измерения тегов.
- Параметры коннектора AMQP Connector: информация, требуется ли использовать TLS-соединение, адрес и порт AMQP-брокера, имя пользователя и пароль для подключения к AMQP-брокеру, корневой сертификат, сертификат клиентского приложения и ключ к сертификату клиентского приложения, виртуальный узел AMQP, имена точек обмена AMQP для получения тегов и для публикации сообщений, топик AMQP для публикации сообщений, формат обработки поступающих данных, конфигурационный файл коннектора, информация, требуется ли масштабировать полученные значения тегов.
В конфигурационном файле коннектора AMQP Connector хранятся идентификаторы, имена, описания, типы и единицы измерения тегов.
- Параметры коннектора OPC UA Connector: имя точки подключения, таймаут (время ожидания) подключения к серверу OPC UA, конфигурационный файл коннектора, интервал исторических данных, начало и окончание периода исторических данных, размер блока исторических данных, отправляемых сервером OPC UA, размер блока исторических данных, отправляемых в службу Message Broker.
- Параметры коннектора KICS Connector: файл свертки для коннектора KICS Connector, пароль для коннектора KICS Connector, информация, требуется ли отправлять сообщения в Kaspersky Industrial CyberSecurity for Networks, частота семплирования тегов, информация, требуется ли масштабировать полученные значения тегов.
- Параметры коннектора CEF Connector: информация, требуется ли получать события для службы Event Processor, информация, требуется ли отправлять зарегистрированные инциденты и/или события в SIEM-систему, IP-адрес и порт для отправки событий и инцидентов в SIEM-системы, информация, требуется ли отправлять журналы событий ИБ на syslog-сервер, транспортный протокол для отправки событий ИБ на syslog-сервер, адрес и порт syslog-сервер для отправки событий ИБ.
- Параметры коннектора WebSocket Connector: веб-адрес WebSocket-сервера, корневой сертификат, сертификат клиентского приложения и ключ к сертификату клиентского приложения, формат обработки поступающих данных, конфигурационный файл коннектора, информация, требуется ли масштабировать полученные значения тегов, информация, требуется ли отправлять инциденты.
- Параметры службы Event Processor: конфигурационный файл службы, информация, требуется ли обрабатывать инциденты как события, максимальное количество слоев сети, коэффициент, определяющий допустимую дисперсию длительности паттерна, интервал получения событий эпизода, размера эпизода в основном режиме, способ сохранения состояния службы Event Processor, периодичность создания резервных копия компонента, резервная копия состояния службы Event Processor, размер эпизода в режиме сна, режим отправки оповещений при активации монитора в режиме сна, периодичность и продолжительность режима сна, интервал истории событий для обработки в режиме сна.
- Параметры статуса инцидентов: идентификатор статуса инцидента, названия статуса инцидента на русском и английском языке, порядковый номер сортировки, информация, требуется ли отображать зарегистрированные инциденты с этим статусом.
- Параметры причины инцидентов: идентификатор причины инцидента, название причины инцидента, порядковый номер сортировки.
- Параметры службы ведения журналов: уровни ведения журналов служб и коннекторов программы.
- Параметры временных интервалов для графиков в разделах Мониторинг, История и Временной срез: идентификатор временного интервала, названия временного интервала на русском и английском языке, порядковый номер сортировки, идентификатор пользователя, который создал временной интервал, идентификатор пользователя, который последним изменил временной интервал, значение временного интервала.
- Параметры отображения пунктов основного меню и меню администратора: информация, требуется ли отображать пункты основного меню и меню администратора в веб-интерфейсе программы.
Параметры Kaspersky MLAD задает системный администратор в меню администратора.
- Данные об активах и тегах: имя актива, идентификатор актива, значок актива, идентификатор родительского актива, описание и тип актива, идентификатор и имя типа актива, имена и значения специальных параметров типа актива, описание типа актива, идентификатор и имя тега, альтернативное имя тега, значок тега, описание тега, тип тега, единица измерения тега, верхние и нижние пороги блокировки, сигнализации и достоверности измерений, верхняя и нижняя границы отображения тегов, выражение, по которому требуется рассчитать значение тега из значения, переданного в программу, комментарий к тегу, координаты расположения датчика объекта мониторинга в пространстве по осям абсцисс, ординат и аппликат, имя устройства, от которого поступают теги из внешней системы, цвет дополнительных пороговых линий.
Данные об активах и тегах вводит системный администратор в меню администратора.
- Данные о пресетах: имя пресета, идентификатор пресета, значок пресета, имена и идентификаторы тегов, входящих в пресет, информация, требуется ли настроить выражение для раздела Временной срез, подписи осей абсцисс и ординат, имя выражения для расчета значений тегов, выражения для расчета значений тегов, цвет графика для пресета в разделе Временной срез.
Данные может ввести любой пользователь в разделе Пресеты.
- Информация о количестве поступивших в секунду тегов и событий. Данные рассчитывает программа на основании данных, полученных от внешних систем.
- Информация о значениях тегов и событий, поступивших в систему. Данные поступают от внешних систем, для которых пользователь настроил получение данных.
- Информация о предсказанных значениях тегов, суммарной среднеквадратичной ошибки MSE и индивидуальной ошибке тегов. Данные рассчитывает программа на основании данных, полученных от внешних систем.
- Информация о статусах служб программы: имя и текущий статус службы. Программа отображает статус службы, полученный из соответствующих компонентов.
- Данные о зарегистрированных инцидентах и группах инцидентов: идентификатор инцидента, дата и время регистрации инцидента, имя и идентификатор топ-тега, причина инцидента, название детектора, зарегистрировавшего инцидент, название группы инцидентов, статус инцидента, имя ML-модели, ветка ML-модели, значение суммарной среднеквадратичной ошибки MSE, пороговое значение суммарной среднеквадратичной ошибки MSE, значение топ-тега, пороги блокировки, описание и единицы измерения тега, тип инцидента, дата и время формирования наблюдения, время, на которое формирование наблюдения отстает от поступления этого наблюдения в программе или опережает его, экспертное заключение к инциденту и к группе, комментарий к инциденту, название и идентификатор группы инцидентов, количество инцидентов в группе, дата и время создания группы инцидентов, статус зарегистрированных инцидентов в группе, идентификаторы релевантных тегов, порог блокировки, который был достигнут при регистрации инцидента.
Программа формирует эти данные в результате анализа полученных данных и на основании параметров, заданных пользователем.
- Параметры отображения графиков в разделах Мониторинг и История: высота графиков, пресет для перехода в раздел История (только при настройке параметров отображения графика в разделе Мониторинг), информация, требуется ли отображать график наблюдений в выбранном цвете, цвет графиков наблюдений, информация, требуется ли отображать график предсказаний в выбранном цвете, цвет графиков предсказаний, информация, требуется ли отображать на графиках имена и описания тегов, предсказанное значение тега и/или персональную ошибку тега, информация, требуется ли отображать индикаторы для всех инцидентов на графиках, информация, требуется ли отображать на графиках пороги блокировки и/или дополнительные пороговые линии, ветка ML-модели, используемая для формирования предсказанных значений, пресеты, временные интервалы, дата и время для отображения графиков.
Данные может ввести любой пользователь в разделах Мониторинг и История.
- Параметры отображения графиков в разделе Временной срез: высота графиков, ветка ML-модели, используемая для формирования предсказанных значений, пресеты, временные интервалы, дата и время для отображения графиков.
Данные может ввести любой пользователь в разделе Временной срез.
- Параметры обработки и отображения данных для процессора событий: параметры событий, по которым регистрируются паттерны (индивидуальны для каждого объекта мониторинга), информация, требуется ли регистрировать паттерны по шаблону (регулярному выражению), параметры шаблона (индивидуальны для каждого объекта мониторинга).
Если в параметрах службы Event Processor включен переключатель Обрабатывать инциденты как события, то программа хранит и обрабатывает следующие данные:
- название детектора;
- название используемой ML-модели;
- имя и идентификатор топ-тега;
- название группы инцидентов, в которую входит зарегистрированный инцидент;
- значение топ-тега;
- идентификатор инцидента.
Данные для процессора событий может ввести любой пользователь в разделе Процессор событий.
- Данные о мониторинге событий и паттернов в процессоре событий: название и идентификатор монитора, количество зарегистрированных активаций на скользящем окне, дата и время последней активации, тип элемента, вызвавшей активацию монитора, параметр, определяющий что отслеживает монитор, скользящее окно, порог, названия параметров события, за значениями которых наблюдает монитор, типы значений, которые отслеживает монитор, параметры событий, на которых сфокусировано внимание модели, значения параметров события, за которыми наблюдает монитор, размер стека (упорядоченного во времени списка активаций монитора), идентификатор значения параметра события, обнаружение которого вызвало активацию монитора, идентификатор события, обнаружение которого вызвало активацию монитора, идентификатор паттерна, обнаружение которого вызвало активацию монитора, дата и время обнаружения события в потоке событий, временной интервал между текущим событием и предыдущим событием в поток событий на скользящем окне, количество повторений события в потоке событий на скользящем окне, дата и время последнего обнаружения события в потоке событий на скользящем окне, значения параметров события, поступившего об объекта мониторинга, количество событий, входящих в состав паттерна, который вызвал активацию монитора.
Программа формирует данные в результате анализа полученных данных и параметров, заданных пользователем в разделе Процессор событий.
- Данные о регистрации паттернов в процессоре событий: идентификатор паттерна, дата и время последнего обнаружения паттерна на интервале, количество обнаружений паттерна в потоке событий объекта мониторинга за заданный период, количество событий в составе паттерна, дата и время последнего обнаружения паттерна в потоке событий или в режиме сна, дата и время начала и окончания периода загрузки паттернов, тип паттерна, направление внимания, значение параметра события, информация, требуется ли регистрировать паттерны по шаблону (регулярному выражению), параметры шаблона (индивидуальны для каждого объекта мониторинга), временной интервал между выбранный паттерном и паттернов, выявленным в последовательности паттернов на текущем слое до выбранного паттерна, общее количество активаций, дата и время окончания паттерна в последовательности паттернов на текущем слое, номер слоя паттерна, идентификаторы событий, входящих в состав паттерна, дата и время обнаружения события в структуре паттерна, количество параметров события, для которых поступили значения от объекта мониторинга.
Программа формирует данные в результате анализа данных и параметров, заданных пользователем в разделе Процессор событий.
- Информация о ML-моделях и их параметрах: идентификатор (ID) и уникальный идентификатор (UUID) ML-модели, имя, описание, статус и состояние ML-модели, имя пользователя, который последним изменил ML-модель, дата и время последнего изменения ML-модели, имя пользователя, который создал ML-модель, дата и время создания или загрузки ML-модели, названия и идентификаторы входящих в нее элементов, интервал времени и разметки для проведения инференса.
Данные вводит и/или загружает системный администратор или пользователь с правами Управление ML-моделями в разделе Модели.
- Информация об элементах ML-моделей и их параметрах:
- Общие параметры для всех типов элементов ML-моделей: идентификатор, имя и описание элемента ML-модели, интервал времени, при достижении которого генерируется повторный инцидент, интервал времени, в течение которого не регистрируются повторные инциденты, шаг сетки в секундах, причина и статус инцидента, цвет точек-индикаторов для инцидентов, экспертное заключение.
- Основные параметры нейросетевых элементов ML-моделей: архитектура элемента, имена и идентификаторы входных тегов, имена и идентификаторы выходных тегов, порог регистрации инцидентов, степенной показатель суммарной среднеквадратичной ошибки MSE, степень сглаживания суммарной среднеквадратичной ошибки MSE, количество шагов входного окна для входных значений, количество шагов, на которое смещается начало выходного окна относительно начала входного окна, количество шагов выходного окна.
- Параметры нейросетевого элемента с Dense-архитектурой: множители для вычисления количества нейронов на слоях, активации на слоях.
- Параметры нейросетевого элемента с RNN-архитектурой: количество GRU-нейронов на слоях, количество распределенных по времени нейронов на слоях декодирующего блока.
- Параметры нейросетевого элемента с CNN-архитектурой: размер фильтров на слоях, количество фильтров на слоях, размер окна выборки максимума, количество нейронов на слоях декодирующего блока.
- Параметры нейросетевого элемента с TCN-архитектурой: регуляризация, размер фильтров, расширения на слоях, активация, количество кодирующих блоков, тип слоя перед выходным.
- Параметры нейросетевого элемента с Tranfsormer-архитектурой: регуляризация в кодирующем блоке, количество голов внимания, количество кодирующих блоков, множители для вычисления количества нейронов на слоях декодирующего блока.
- Параметры обучения нейросетевого элемента: интервал времени для обучения, названия и идентификаторы разметок для обучения, максимальная продолжительность обучения, соотношение обучающей и валидационной выборок, максимальное количество эпох для обучения, количество эпох, в течение которых должны отсутствовать валидационные потери при ранней остановке обучение, разрешение графиков для отображения результатов обучения, размер батча (пакета данных для обучения), количество блоков, режим инференса, режим обучения, режим автоматического разделения данных на блоки, используемый объем памяти для обучения, информация, требуется ли инициализировать веса модели значениями из результатов предыдущего обучения и/или перемешивать данные.
- Информация о результатах обучения нейросетевого элемента: очередь обучения (идентификаторы и имена элементов ML-модели, которые ожидают очереди на обучение), статус обучения, имя и идентификаторы обучающихся элементов, количество блоков, на которые разбит набор данных для обучения, имя пользователя, который запустил обучения элемента, продолжительность обучения, дата и время начала и окончания обучения, продолжительность интервалов времени данных в обучающей выборке, количество узлов РИВС, входящий в обучающую выборку, ошибки обучения и валидации, предсказание обученной ML-модели на обучающей выборке.
- Параметры элементов на основе диагностических правил: информация, требуется ли интерпретировать невозможность оценки условия как выполнение правила, параметры фильтрации по времени: тип интервала, годы, дни, дни недели и интервал времени, в течение которого требуется проверять входные данные в соответствии с заданным правилом; параметры условия на поведение тегов: тег, для которого добавлено условие, поведение тега, условие выполнения правила, количество шагов РИВС, пороговое значение тега, минимальное количество срабатываний правила для регистрации инцидента, значение дифференциала первого уровня, интервал времени между соседними оценками тренда, значение порога изменений, направление изменения значений тега, значение тега, максимальное отклонение тега от указанного значения, направление изменения разброса значения тега, используется ли в правиле пауза и параметры паузы: минимальный и максимальный интервалы ожидания, используемые групповой и логический операторы.
Данные вводит и/или загружает системный администратор или пользователь с правами Управление ML-моделями в разделе Модели.
- Информация о разметках: идентификатор, имя и описание разметки, интервал, с которым рассчитываются данные на РИВС, цвет разметки, параметры фильтрации по времени: тип интервала, годы, дни, дни недели и интервал времени, в течение которого требуется проверять входные данные в соответствии с заданными условиями разметки; параметры условия на поведение тегов: тег, для которого добавлено условие, поведение тега, условие выполнения правила, количество шагов РИВС, пороговое значение тега, минимальное количество срабатываний правила для регистрации инцидента, значение дифференциала первого уровня, интервал времени между соседними оценками тренда, значение порога изменений, направление изменения значений тега, значение тега, максимальное отклонение тега от указанного значения, направление изменения разброса значения тега, используется ли в правиле пауза и параметры паузы: минимальный и максимальный интервалы ожидания, используемые групповой и логический операторы.
Данные вводит и/или загружает системный администратор или пользователь с правами Управление ML-моделями в разделе Модели.
- Журналы событий информационной безопасности: идентификатор событий ИБ, дата и время события ИБ, тип события ИБ, уточнение типа события ИБ, уровень важности события ИБ, имя пользователя, действия которого привели к записи события ИБ, IP-адрес компьютера, с которого пользователем были произведены действия, записанные в журналы событий ИБ, результат события ИБ, краткое содержание события ИБ, подробное описание события ИБ.
IP-адреса компьютеров, с которых было выполнено подключение к веб-интерфейсу программы, указываются в журналах событий информационной безопасности.
Данные формируются Kaspersky MLAD автоматически.
Kaspersky MLAD хранит журналы событий ИБ в течении времени, заданном в параметре Время хранения логов событий информационной безопасности (сут) при настройке параметров безопасности. Программа также удаляет ранние записи журналов событий ИБ при превышении объема для хранения события ИБ, заданного в параметре Объем логов событий информационной безопасности (МБ).
- Журналы контейнеров Kaspersky MLAD: дата и время события, уровень важности события, название контейнера, для которого зарегистрировано событие, описание события.
Данные формируются Kaspersky MLAD автоматически.
Kaspersky MLAD хранит журналы контейнеров в течение двух дней.
Система ведения журналов (Grafana) не передает пользовательские данные в "Лабораторию Касперского" или на сторонние серверы. Вы можете ознакомиться с порядком хранения и обработки данных в системе ведения журналов в руководстве пользователя системы ведения журналов Grafana.
Данные, обрабатываемые на компьютерах пользователей
При работе с веб-интерфейсом Kaspersky MLAD в файлах cookie браузера пользователя хранятся следующие данные:
- Индивидуальные токены JSON Web Token для поддержки пользовательской сессии подключения к веб-интерфейсу программы. Индивидуальный токен хранится в файлах cookie браузера пользователя в течение периода неактивности пользователя, заданного при настройке параметров безопасности.
- Идентификатор запущенной сессии Grafana, если пользователь переходил к просмотру журналов программы. Идентификатор сессии Grafana хранится в файлах cookie браузера пользователя в течение 30 дней.
Также в браузере пользователя хранятся данные, которые используются для отображения веб-интерфейса: последний использованный язык локализации веб-интерфейса программы, последний использованный вариант отображения основного меню (скрытое или развернутое отображение), последние использованные значения временного интервала, пресета, даты и времени, ветки ML-моделей и параметров отображения графиков в разделах Мониторинг, История и Временной срез, последние использованные параметры нумерации страниц, последние заданные фильтры для отображения данных в разделе Процессор событий, последние использованные значения статуса и причины инцидентов в разделе Инциденты, информация о пресетах Tags for event #N, сформированных для зарегистрированного инцидента, информация о текущей установленной версии Kaspersky MLAD. Эти данные хранятся в браузере бессрочно. Вы можете самостоятельно удалить эти данные из локального хранилища браузера.
При экспорте инцидентов программа сохраняет на компьютер пользователя файл формата XLSX со следующими данными:
- имя объекта мониторинга;
- период, за который были выгружены инциденты;
- идентификаторы зарегистрированных инцидентов;
- даты и время зарегистрированных инцидентов;
- статусы зарегистрированных инцидентов;
- имена групп, в которые входят зарегистрированные инциденты;
- имена и идентификаторы топ-тегов, оказавших наибольшее влияние на регистрацию инцидентов;
- значения топ-тегов;
- единицы измерения топ-тегов;
- описания топ-тегов;
- имена ML-моделей, зарегистрировавших инциденты;
- имена детекторов, зарегистрировавших инциденты.
При экспорте журналов событий информационной безопасности из системы ведения журналов Grafana программа сохраняет на компьютер пользователя файл формата CSV со следующими данным:
- идентификаторы событий ИБ;
- даты и время событий ИБ;
- типы событий ИБ;
- уточнения типов событий ИБ;
- уровни важности событий ИБ;
- имена пользователей, действия которых привели к записи событий ИБ;
- IP-адреса компьютеров, с которых пользователями были произведены действия, записанные в журналы событий ИБ;
- результаты событий ИБ;
- краткие содержания событий ИБ;
- подробные описания событий ИБ.
При экспорте журналов контейнеров из системы ведения журналов Grafana программа сохраняет на компьютер пользователя файл формата CSV со следующими данным:
- даты и время событий;
- уровни важности событий;
- имя контейнера, для которого зарегистрированы события;
- описания событий.
При экспорте конфигурации активов и тегов программа сохраняет на компьютер пользователя файл формата XLSX со следующими данными:
- идентификатор типа актива;
- уникальное имя типа актива;
- имена специальных параметров для типа актива (при наличии);
- описание типа актива (при наличии);
- идентификатор актива;
- имя актива;
- уникальное имя актива в рамках его родительского актива;
- описание актива (при наличии);
- имя родительского актива, к которому относится актив (при наличии);
- идентификатор родительского актива (при наличии);
- имена специальных параметров актива (при наличии);
- значения специальных параметров актива (при наличии);
- идентификатор тега;
- уникальное имя тега;
- уникальное альтернативное имя тега (при наличии);
- описание тега;
- имя родительского актива, к которому относится тег (при наличии);
- идентификатор родительского актива;
- тип тега (при наличии);
- единица измерения тега;
- нижний и верхний пороги блокировки (при наличии);
- нижний и верхний пороги сигнализации (при наличии);
- нижний и верхний пороги достоверности измерений (при наличии);
- нижняя и верхняя границы отображения значений тега на графиках (при наличии);
- выражение, по которому требуется рассчитать значение тега из значения, переданного в Kaspersky MLAD;
- комментарий к тегу;
- координаты расположения датчика объекта мониторинга по осям абсцисс, ординат и аппликат (при наличии).
При экспорте пресетов программа сохраняет на компьютер пользователя файл формата JSON со следующими данным:
- имя пресета;
- идентификатор пресета;
- идентификатор пользователя, который создал пресет или загрузил его в программу;
- идентификаторы тегов, входящих в состав пресета;
- порядковый номер пресета для сортировки;
- значок пресета;
- при использовании пресета для отображения данных в разделе Временной срез программа также сохраняет следующие данные:
- подпись по оси абсцисс на графике в разделе Временной срез;
- имя выражения, по которому рассчитываются значения тегов;
- подпись по оси ординат на графике в разделе Временной срез;
- выражение, по которому рассчитываются значения тегов;
- цвет графика для пресета в разделе Временной срез.
При экспорте параметров Kaspersky MLAD программа сохраняет на компьютер пользователя конфигурационные файлы со следующими данными:
- Файл с параметрами статусов инцидентов, содержащий следующие данные:
- идентификатор статуса инцидента;
- название статуса инцидента на русском языке;
- название статуса инцидента на английском языке;
- порядковый номер статуса инцидента для сортировки;
- информация, требуется ли отображать зарегистрированные инциденты с этим статусом.
- Файл с параметрами причин инцидентов, содержащий следующие данные:
- идентификатор причины инцидента;
- название причины инцидента;
- порядковый номер причины инцидента для сортировки.
- Файл с параметрами временных интервалов отображения данных на графиках Мониторинг, История и Временной срез, содержащий следующие данные:
- идентификатор временного интервала;
- название временного интервала на русском языке;
- название временного интервала на английском языке;
- порядковый номер временного интервала для сортировки;
- идентификатор пользователя, который создал временный интервал;
- идентификатор пользователя, который последним изменил временной интервал;
- значение временного интервала в миллисекундах.
- Параметры служб и коннекторов Kaspersky MLAD:
- идентификаторы параметров;
- названия параметров в базе данных Kaspersky MLAD;
- типы введенных значений;
- введенные или выбранные значения;
- название блока параметров, к которому относится текущий параметр;
- порядковый номер отображения параметра в текущем разделе;
- требования к значению параметра.
- Конфигурационный файл службы Stream Processor, содержащий следующие данные:
- идентификаторы тегов, которые обрабатываются службой Stream Processor;
- значения параметров обработки тегов.
Значения параметров обработки тегов задаются специалистами "Лаборатории Касперского" индивидуально для каждого объекта мониторинга.
- Конфигурационные файлы коннекторов MQTT Connector, AMQP Connector и WebSocket Connector, содержащие следующие данные:
- идентификаторы тегов, полученные с помощью коннектора MQTT Connector, AMQP Connector или WebSocket Connector;
- единицы измерения временной метки тегов;
- тип получаемых данных;
- формат шаблона для декодирования типа получаемых данных.
- Конфигурационный файл коннектора OPC UA Connector, содержащий следующие данные:
- идентификатор тега;
- имя актива, к которому относится тег;
- тип данных, которые передаются в значении тега.
- Конфигурационный файл службы Event Processor, содержащий следующие данные:
- список обрабатываемых параметров событий;
- время и масштаб времени для обработки событий;
- порядок и взаимосвязь параметров событий для их отображения на графе отношений в разделе История событий.
- Файл свертки для коннектора KICS Connector, содержащий следующие данные:
- В зашифрованном виде открытый ключ сертификата сервера Kaspersky Industrial CyberSecurity for Networks, а также сертификат, выданный сервером Kaspersky Industrial CyberSecurity for Networks для коннектора KICS Connector (с закрытым ключом).
Содержимое файла зашифровано с помощью пароля, который был указан при добавлении коннектора KICS Connector или при создании нового файла свертки для этого коннектора.
- Конфигурационные данные для коннектора KICS Connector: имя пользователя, под которым Kaspersky MLAD будет подключаться к серверу Kaspersky Industrial CyberSecurity for Networks, идентификатор коннектора KICS Connector, адрес сервера Kaspersky Industrial CyberSecurity for Networks для подключения.
- В зашифрованном виде открытый ключ сертификата сервера Kaspersky Industrial CyberSecurity for Networks, а также сертификат, выданный сервером Kaspersky Industrial CyberSecurity for Networks для коннектора KICS Connector (с закрытым ключом).