Данные о параметрах программы

Значения параметров программы хранятся на сервере с компонентом Central Node в директории /data/var/lib/kaspersky/storage/pgsql/10/data/ бессрочно.

Возможность ограничить права пользователей серверов и операционных систем, на которые установлен компонент Central Node, средствами Kaspersky Anti Targeted Attack Platform не предусмотрена. Администратору рекомендуется контролировать доступ пользователей серверов и операционных систем, на которые установлена программа, к персональным данным других пользователей любыми системными средствами на его усмотрение.

Данные о политиках и задачах хранятся на сервере Central Node в незашифрованном виде.

Данные о политиках

Данные о политиках могут содержать следующую информацию:

MD5-, SHA256-хеш файла, который запрещен к запуску.
Комментарий.
Хосты, на которых запрещен запуск файла.
Состояние запрета.

Данные о задачах

По результатам выполнения задачи формируется отчет, который хранится на сервере с компонентом Central Node.

Данные о задачах могут содержать следующую информацию:

Идентификатор задачи.
Время создания задачи.
Имя и IP-адрес хоста, которому назначена задача.
Максимальное время выполнения задачи.
Приоритет выполнения задачи.
Путь к файлу (для задач получения и удаления файла, помещения файла в Хранилище, завершения процесса).
От чьего имени требуется выполнить программу.
Тип задачи (выполнение команды или запуск файла).
Путь к файлу, аргументы или командная строка.
Рабочая директория.
Путь к ключу реестра.
Отчет о выполнении задачи.
Комментарии пользователя к задаче.
Идентификатор учетной записи пользователя, создавшего задачу.

Данные об ученых записях пользователей

Данные об учетных записях пользователей программы могут содержать следующую информацию:

Идентификатор пользователя.
Имя учетной записи и пароль пользователя.
Роль пользователя в программе.
Информация об активности пользователя.
Права на доступ к серверам с ролью PCN.

Данные о компонентах Endpoint Agent (ранее Endpoint Sensors)

Данные о компонентах Endpoint Agent могут содержать следующую информацию:

Уникальный идентификатор компьютера с компонентом Endpoint Agent.
Имя компьютера с компонентом Endpoint Agent.
Время получения первого пакета.
Время получения последнего пакета.
Информация о состоянии самозащиты.
Версия компонента Endpoint Agent.
Время и результат последней IOC-проверки на компьютере с компонентом Endpoint Agent.

Данные о параметрах пользовательских правил IOC и TAA (IOA)

Данные о параметрах пользовательских правил IOC и TAA (IOA) могут содержать следующую информацию:

Имя IOC-файла.
Запросы на проверку по пользовательским правилам IOC и TAA (IOA).
Время последнего выполнения проверки.
Состояние IOC-файла.
Дата загрузки IOC-файла.
Уровень важности создаваемых обнаружений.

Данные о параметрах пользовательских правил IDS

Данные о параметрах пользовательских правил IDS могут содержать следующую информацию:

Имя импортированного правила IDS.
Запросы на проверку по правилу IDS.
Время последнего выполнения проверки.
Состояние файла пользовательских правил.
Дата импорта файла пользовательских правил.
Уровень важности создаваемых обнаружений.

Данные о правилах сетевой изоляции

Данные о правилах сетевой изоляции могут содержать следующую информацию:

Имя правила.
Уникальный идентификатор изолированного хоста.
Статус правила.
Имя учетной записи пользователя, создавшего или изменившего правило.
Список исключений из правила.

Данные о шаблонах отчетов

Данные о шаблонах отчетов могут содержать следующую информацию:

Идентификатор пользователя, создавшего или изменившего шаблон.
Дата создания шаблона.
Дата последнего изменения шаблона.
HTML-код шаблона.

Данные об общих параметрах программы

Данные об общих параметрах программы могут содержать следующую информацию:

Параметры схем расположения графиков в разделе Мониторинг.
Параметры IOC-проверки.
Параметры интеграции с SIEM-системой.
Параметры интеграции с почтовым сенсором.
Показатели активности компонентов Endpoint Agent.
Адреса группы VIP.

Служебные данные, необходимые для работы программы

Информация о служебных данных, необходимых для работы программы, приведена в таблице ниже. Служебные данные также могут содержать данные пользователей, описанных в этом разделе выше.

Служебные данные, необходимые для работы программы

Тип данных	Место хранения	Доступ к данным	Срок хранения
Журнал событий операционной системы.	/var/log	Доступ для пользователей с правами root.	Бессрочно.
Кеш данных программы (redis).	/var/log	Доступ пользователей определяется администратором с помощью средств операционной системы. Доступ осуществляется только по шифрованному каналу IPSec.	Бессрочно.
Файлы экспорта обнаружений. Файлы могут содержать следующую информацию: Имя компьютера, на котором выполнено обнаружение. Время обнаружения. Категория обнаруженного объекта. IP-адрес отправителя пакета данных. IP-адрес получателя пакета данных. URL-адрес отправителя пакета данных. URL-адрес получателя пакета данных. UserAgent компьютера с компонентом Endpoint Agent. URL-адрес посещенного веб-сайта. MD5-хеш обнаруженного объекта. SHA256-хеш обнаруженного объекта. Полное имя обнаруженного объекта. Параметры командной строки. Адрес электронной почты отправителя сообщения, в котором обнаружен объект. Адреса электронной почты получателей сообщения, в котором обнаружен объект. Имя домена, в котором выполнено обнаружение.	/var/log	Доступ пользователей определяется администратором с помощью средств операционной системы. Экспорт данных доступен только для авторизованных пользователей. Доступ осуществляется только по шифрованному каналу IPSec.	Бессрочно.
Артефакты компонента Sandbox, файлы PCAP перехваченного трафика.	/var/opt/kaspersky/apt-agents/sb_storage	Доступ пользователей определяется администратором с помощью средств операционной системы.	Файлы ротируются при заполнении отведенного места хранения.
Очередь объектов на проверку.	/var/opt/kaspersky/apt-collector/spool	Доступ пользователей определяется администратором с помощью средств операционной системы.	До выполнения проверки.
Объекты на карантине, а также объекты, полученные от компонента Endpoint Agent.	/var/opt/kaspersky/apt/edr_quarantine /var/opt/kaspersky/apt/edr_storage	Доступ пользователей определяется администратором с помощью средств операционной системы.	Файлы ротируются при заполнении отведенного места хранения.
Правила YARA.	/var/opt/kaspersky/apt-agents/yara_rules	Доступ пользователей определяется администратором с помощью средств операционной системы.	Бессрочно.
Сертификаты серверов, используемые для интеграции компонентов программы.	/etc/ssl/certs	Доступ пользователей определяется администратором с помощью средств операционной системы. Информация о действиях с сертификатами сохраняется в журнале событий программы.	Бессрочно.
Ключи шифрования, передаваемые между компонентами программы.	/etc/opt/kaspersky/apt-base/ipsec.d	Доступ пользователей определяется администратором с помощью средств операционной системы. Информация об изменениях ключей шифрования сохраняется в журнале событий программы.	Бессрочно.

См. также

Данные трафика компонента Sensor

Данные в обнаружениях

Данные в событиях

Данные в отчетах

Данные об объектах в Хранилище и на карантине

В начало