Поддержка

Поддержка приложений для бизнеса

Kaspersky Symphony XDR: SMP

О предоставлении данных

Kaspersky Symphony XDR: Single Management Platform
Онлайн-справка
FAQ Форум Запрос в поддержку Утилиты для лечения

О предоставлении данных

15 мая 2024

ID 249153

Скачать PDF

Данные, обрабатываемые локально

Kaspersky SMP предназначен для оптимизации выявления угроз, расследования инцидентов, реагирования (в том числе автоматического), а также проактивного поиска угроз в реальном времени.

Kaspersky SMP выполняет следующие основные функции:

  • получение, обработка и хранение событий информационной безопасности;
  • анализ и корреляция поступающих данных;
  • расследование инцидентов и алертов, ручное реагирование;
  • автоматическое реагирование с использованием предустановленных и пользовательских плейбуков;
  • поиск угроз по событиям в реальном времени.

Для выполнения своих основных функций программа Kaspersky SMP может принимать, хранить и обрабатывать следующую информацию:

  • Информация об устройствах, на которые производится установка компонентов Kaspersky SMP:
    • Имя устройства, MAC-адрес, поставщик операционной системы, номер сборки операционной системы, версия ядра ОС, наличие требуемых установленных пакетов, наличие прав для учетной записи, тип средства управления службами, состояние портов. Данная информация собирается Kaspersky Deployment Toolkit при установке.
    • IPv4-адрес. Данная информация заполняется пользователем в конфигурационном файле Kaspersky Deployment Toolkit.
  • Имена учетных записей для доступа к устройствам, на которые производится установка компонентов Kaspersky SMP, и SSH ключи. Данная информация заполняется пользователем в конфигурационном файле Kaspersky Deployment Toolkit.
  • Имя и пароль учетной записи Kaspersky SMP. Данная информация заполняется пользователем в конфигурационном файле Kaspersky Deployment Toolkit.
  • Данные для доступа к СУБД: IP/DNS имя, порт, логин и пароль пользователя. Данная информация заполняется пользователем в конфигурационном файле Kaspersky Deployment Toolkit.
  • Файлы инвентаря и лицензии KUMA. Данная информация заполняется пользователем в конфигурационном файле Kaspersky Deployment Toolkit.
  • Зона DNS. Данная информация заполняется пользователем в конфигурационном файле Kaspersky Deployment Toolkit.
  • Сертификаты безопасного подключения устройств к компонентам Kaspersky SMP. Данная информация заполняется пользователем в конфигурационном файле Kaspersky Deployment Toolkit.
  • Модель статусов инцидентов (стандартная или ГОСТ). Данная информация заполняется пользователем в конфигурационном файле Kaspersky Deployment Toolkit.

    Информация, которую заполняет пользователь в конфигурационном файле Kaspersky Deployment Toolkit и которую собирает Kaspersky Deployment Toolkit при установке, сохраняется в лог установки, который хранится в базе данных Kaspersky Deployment Toolkit. Лог установки первоначальной инфраструктуры сохраняется в файл на машине пользователя. Срок хранения не ограничен, файл будет удален при деинсталляции решения. Имена пользователей и пароли хранятся в зашифрованном виде.

  • Информация об учетных записях пользователей: полное имя и адрес электронной почты. Данная информация вводится пользователем в консоли Kaspersky SMP и KUMA. Данные хранятся в базе данных неограниченное время, пока пользователь их не удалит.
  • Информация о тенантах: название тенанта, название родительского тенанта, описание. Данная информация вводится пользователем в консоли Kaspersky SMP и KUMA. Данные хранятся в базе данных неограниченное время, пока пользователь их не удалит.
  • Данные об алертах и инцидентах:
    • Данные об алертах: сработавшие правила, соответствие матрице MITRЕ, статус алерта, резолюция, назначенный оператор, затронутые активы (устройства и учетные записи), наблюдаемые объекты (IP, MD5, SHA256, URL, DNS-домен или DNS-имя, имя пользователя, имя хоста), комментарии и журнал изменений. Данная информация формируется в консоли Kaspersky SMP автоматически на основании корреляционных событий из Kaspersky Unified Monitoring and Analysis Platform.
    • Данные об инцидентах: связанные алерты, сработавшие правила, соответствие матрице MITRЕ, статус инцидента, резолюция, затронутые активы (устройства и аккаунты), наблюдаемый объект (из алерта), комментарии и журнал изменений. Данная информация формируется в консоли Kaspersky SMP автоматически по правилам или вручную пользователем.
    • Данные об инцидентах НКЦКИ: сведения об атакованном ресурсе и о вредоносной системе, информацию из ГосСОПКА по экспортированному инциденту (уникальный идентификатор карточки уведомления в НКЦКИ, регистрационный номер уведомления, дата и время регистрации инцидента в ГосСОПКА, дата последнего обновления инцидента в ГосСОПКА) и журнал изменений. Данная информация формируется автоматически на основании инцидентов XDR для передачи в ГосСОПКА.
    • Данные о настройке правил формирования инцидентов из алертов: имя и условия срабатывания правила, шаблон имени нового инцидента, описание правила и приоритет запуска правила. Данная информация вводится пользователем в консоли Kaspersky SMP.
    • Данные о шаблонах уведомлений: имя шаблона, тема сообщения, шаблон текста сообщения, описание шаблона и правила детектирования, при срабатывании которых будут отправляться уведомления. Данная информация вводится пользователем в консоли Kaspersky SMP.

    Перечисленные выше данные об алертах и инцидентах хранятся в базе данных неограниченное время, пока пользователь не удалит их.

  • Данные о плейбуках:
    • Операционные данные плейбука, в том числе данные о входных параметрах действий по реагированию: название, описание, теги, текст триггера и алгоритма. Данная информация вводится пользователем в консоли Kaspersky SMP.
    • Данные о результатах выполнения действий по реагированию в рамках исполнения плейбука: содержит данные из интегрированных систем, данные с устройств.
    • Полная история реагирований по всем алертам и инцидентам.

    Перечисленные выше данные о плейбуках хранятся в базе данных в течение трех дней, после чего удаляются. Данные полностью удаляются при деинсталляции Kaspersky SMP.

  • Данные о настройках интеграции (как с программами и службами "Лаборатории Касперского", так и со сторонними решениями, которые участвуют в сценариях Kaspersky SMP):
    • Интеграция с Kaspersky Threat Intelligence Portal: API-токен доступа для подключения к Kaspersky Threat Intelligence Portal, срок хранения кеша, признак подключения через прокси, тип сервиса. Данная информация вводится пользователем в консоли Kaspersky SMP.
    • Интеграция с НКЦКИ: URL-адрес, API-токен доступа для подключении к ГосСОПКА, наименование компании, сфера деятельности компании, сведения о местонахождении или географическом местоположении информационного ресурса или объекта, признак подключения через прокси. Данная информация вводится пользователем в консоли Kaspersky SMP.
    • Интеграция с КАТА/EDR: адрес сервера KATA/EDR: IP адрес/имя хоста, порт, уникальный идентификатор для подключения к KATA/EDR, файл сертификата и закрытый ключ для подключения к КАТА/EDR. Данная информация вводится пользователем в консоли Kaspersky SMP.
    • Подключение к хосту, где будет запускаться пользовательский скрипт: IP адрес/имя хоста, порт, логин пользователя и SSH ключ, пароль/ключ. Данная информация вводится пользователем в консоли Kaspersky SMP.
    • Интеграция с Сервером администрирования Kaspersky SMP: имя Сервера администрирования, полный путь до Сервера администрирования в иерархии. Данная информация вводится пользователем в консоли Kaspersky SMP.
    • Интеграция с Kaspersky Cyber Trace: IPv4/Hostname и порт, по которому доступен Kaspersky Cyber Trace, имя и пароль для подключения. Данная информация вводится пользователем в консоли KUMA.
    • Интеграция с Kaspersky Automated Security Awareness Platform (KASAP): API токен доступа при подключении к KASAP, URL портала KASAP, Email Администратора KASAP, признак подключения через прокси. Данная информация вводится пользователем в консоли KUMA.
    • Интеграция с Active Directory: адреса контроллеров домена, логин и пароль для подключения к контроллерам домена, сертификат. Данная информация вводится пользователем в консоли KUMA.
    • Интеграция с внешней системой (например UserGate): данные для подключения к удаленному клиентскому устройству: логин пользователя и SSH ключ, пароль/ключ.

    Перечисленные выше данные о настройках интеграции хранятся в базе данных неограниченное время, пока пользователь не удалит их. Данные полностью удаляются при деинсталляции программы.

Подробную информацию о прочих данных, принимаемых, хранимых и обрабатываемых для выполнения основных функций решения Kaspersky SMP, см. в справке программ:

Все перечисленные выше данные могут быть переданы в "Лабораторию Касперского" только посредством файлов дампа, файлов трассировки или файлов журналов компонентов Kaspersky SMP, включая файлы журналов, создаваемые инсталляторами и утилитами. Файлы дампов, файлы трассировки или файлы журналов компонентов Kaspersky SMP могут содержать персональные или конфиденциальные данные. Файлы дампов, файлы трассировки или файлы журналов хранятся в открытой форме на устройствах. Файлы дампов, файлы трассировки или файлы журналов не передаются в "Лабораторию Касперского" автоматически, но администратор может передать эти файлы в "Лаборатории Касперского" вручную по запросу Службы технической поддержки для решения проблем в работе Kaspersky SMP. "Лаборатория Касперского" обеспечивает защиту всех полученных данных в соответствии с законодательством и применимыми правилами "Лаборатории Касперского". Данные передаются по безопасным каналам связи. Срок хранения данной информации (период ротации) составляет, по умолчанию, 7 дней.

Данные, передаваемые в "Лабораторию Касперского"

Переходя по ссылкам из консоли Kaspersky SMP к справке Kaspersky SMP, пользователь соглашается на автоматическую передачу в "Лабораторию Касперского" следующих данных: код Kaspersky SMP, версия Kaspersky SMP, локализация Kaspersky SMP.

Для назначения обучающего курса сотруднику Kaspersky SMP передает в Kaspersky Automated Security Awareness Platform (KASAP) следующие данные: email пользователя, ID пользователя в KASAP, ID группы обучения.

Для получения дополнительных данных по алертам Kaspersky SMP передает в Threat Intelligence Portal следующую информацию: тип и значение наблюдаемых объектов из алертов, инцидентов, событий информационной безопасности.

Данные, передаваемые третьим сторонам

Для получения информации о тактике/технике MITRE при переходе по ссылке из карточки алерта/инцидента, Kaspersky SMP передает на сайт MITRE информацию о тактике/технике: ID и тип.

Для представления информации по инциденту НКЦКИ (Национальный координационный центр по компьютерным инцидентам) в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА) Kaspersky SMP передает следующие данные:

  • Краткое описание инцидента, категория инцидента, тип инцидента. Дата и время выявления компьютерного инцидента (признака инцидента), начала компьютерной атаки или выявления уязвимости (признака уязвимости), дата и время восстановления штатного режима работы контролируемого информационного ресурса (объекта КИИ) после компьютерного инцидента, окончания компьютерной атаки или устранения уязвимости.
  • Наименование главной организации, в которой произошел инцидент. Наименование подчиненной организации, в которой произошел инцидент.
  • Ограничительный маркер на распространение сведений из карточки компьютерной атаки, статус реагирования на инцидент.
  • Название информационного ресурса, целевая функция или сфера деятельности, в которой функционирует информационный ресурс. Наличие одной из категорий у объекта КИИ или ее отсутствие. Cведения о месте нахождения или географического местоположения информационного ресурса или объекта КИИ. Город, в котором расположен объект КИИ, на котором произошел инцидент, атака или обнаружена уязвимость.
  • Наименование уязвимой программы, версия уязвимой программы.
  • Необходимость привлечения сил ГосСОПКА, сведения о средстве или способе выявления инцидента, наличие подключения к сети Интернет.
  • Влияние на доступность, влияние на целостность, влияние на конфиденциальность. Описание иной формы последствий компьютерного инцидента или компьютерной атаки.
  • IPv4-адрес и IPv6-адрес контролируемого ресурса, доменное имя контролируемого ресурса, URI-адрес контролируемого ресурса, Email-адрес контролируемого ресурса.
  • Имя атакованной сетевой службы, порт/протокол сетевой службы.
  • Тип активности, хеш-сумма вредоносного модуля, описание используемых уязвимостей, идентификатор уязвимости.
  • IPv4-адрес и IPv6-адрес вредоносной системы, доменное имя вредоносной системы, URI-адрес вредоносной системы, Email-адрес вредоносной системы.
  • AS-Path до атакованной Автономной системы (ASN), номер подставной Автономной системы (ASN), наименование LIR, наименование AS.
  • Утечка ПДн, наименование оператора ПДн, ИНН оператора ПДн, адрес оператора ПДн, адрес электронной почты для отправки информации об уведомлении. Предполагаемые причины, повлекшие нарушение прав субъектов ПД. Предполагаемый вред, нанесенный правам субъектов ПД. Характеристики персональных данных, принятые меры по устранению последствий инцидента, информация о результатах внутреннего расследования инцидента, дополнительные сведения.

Для реагирования через внешние системы (например, UserGate) с помощью запуска сторонних скриптов на удаленных клиентских устройствах Kaspersky SMP передает во внешние системы следующую информацию: тип и значение наблюдаемых объектов из алертов, инцидентов.

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!