技术支持

企业产品

Kaspersky Anti Targeted Attack (KATA) Platform

数据提供

Central Node 和 Sensor 组件的数据

警报中的数据
Kaspersky Anti Targeted Attack (KATA) Platform
Online Help
Advice & Solutions FAQ Download Forum Contact support

警报中的数据

2024年6月26日

ID 247484

另存为 PDF

警报可能包含用户数据。如果服务器上安装了 Central Node,则有关警报以及扫描时引起警报的文件的信息将存储在 Central Node 服务器的 /data 目录中。如果 Central Node 作为集群安装,则有关警报和扫描时引起警报的文件的信息将存储在 ceph 存储中。

Kaspersky Anti Targeted Attack Platform 资源不提供限制安装 Central Node 组件的服务器和操作系统用户权限的功能。建议管理员根据自己的判断使用任何系统资源来控制如何允许安装了应用程序的服务器和操作系统的用户访问其他用户的个人数据。

以下信息存储在所有警报中:

  • 探测的日期和时间。
  • 警报修改的日期和时间。
  • 检测到的对象的类别。
  • 检测到的文件的名称。
  • 警报源。
  • 检测到的 URL。
  • 检测到的文件的 MD5 哈希和 SHA256 哈希。
  • 已添加到警报信息中的用户评论。
  • 生成警报所依据的 TAA (IOA) 规则的 ID。
  • 生成警报的计算机的 IP 地址和名称。
  • 在其上生成警报的计算机的 ID。
  • 用户代理。
  • 向其分配了警报的用户账户。
  • 文件列表。

当警报发生更改时,以下信息将存储在服务器上:

  • 修改警报的用户账户。
  • 向其分配了警报的用户账户。
  • 警报修改的日期和时间。
  • 警报状态。
  • 用户评论。

如果检测到电子邮件,则可能在服务器上存储以下信息:

  • 邮件发件人和收件人的电子邮件地址(包括邮件副本和密件副本收件人)。
  • 电子邮件主题。
  • Kaspersky Anti Targeted Attack Platform 接收到邮件的日期和时间,精确到秒。
  • 邮件的所有服务标题(如果它们出现在邮件中)。

如果警报是由URL信誉技术生成的,则以下信息可能存储在服务器上:

  • 发送数据的计算机的名称。
  • 接收数据的计算机的名称。
  • 发送数据的计算机的 IP 地址。
  • 接收数据的计算机的 IP 地址。
  • 传输资源的 URI。
  • 有关代理服务器的信息。
  • 电子邮件的唯一 ID。
  • 邮件发件人和收件人的电子邮件地址(包括副本收件人和邮件的密件副本)。
  • 电子邮件主题。
  • Kaspersky Anti Targeted Attack Platform 接收到邮件的日期和时间,精确到秒。
  • 检测到的对象的列表。
  • 网络连接时间。
  • 网络连接的URL。
  • 用户代理。

如果警报是由入侵检测系统技术生成的,则可以在服务器上存储以下信息:

  • 发送数据的计算机的名称。
  • 接收数据的计算机的名称。
  • 发送数据的计算机的 IP 地址。
  • 接收数据的计算机的 IP 地址。
  • 传输的数据。
  • 数据传输时间。
  • 从包含流量、用户代理和方法的文件提取的 URL。
  • 包含警报发生处的流量的文件。
  • 基于 IDS 数据库的对象类别。
  • 用于生成警报的自定义 IDS 规则的名称。
  • HTTP 请求正文。
  • 警报列表。

如果使用 YARA 规则生成了警报,则可以在服务器上存储以下信息:

  • 用于生成警报的 YARA 规则的版本。
  • 检测到的对象的类别。
  • 检测到的对象的名称。
  • 检测到的对象的 MD5 哈希。
  • 检测到对象的日期和时间。
  • 有关警报的其他信息。

如果使用 Sandbox 组件生成警报,则可能会在服务器上存储以下信息:

  • 用于生成警报的应用程序数据库的版本。
  • 检测到的对象的类别。
  • 检测到的对象名称。
  • 检测到的对象的 MD5 哈希。
  • 检测到的对象的信息。

如果警报是由 IOC 或 TAA (IOA) 用户规则生成的,则以下信息可以存储在服务器上:

  • 扫描完成的日期和时间。
  • 生成警报的计算机的 ID。
  • TAA (IOA) 规则的名称。
  • IOC 文件的名称。
  • 检测到的对象的信息。
  • 具有 Endpoint Agent 组件的主机列表。

如果警报是由反恶意软件引擎技术生成的,则以下信息可能存储在服务器上:

  • 用于生成警报的 Kaspersky Anti Targeted Attack Platform 组件的数据库版本。
  • 检测到的对象的类别。
  • 检测到的对象的列表。
  • 检测到的对象的 MD5 哈希。
  • 有关警报的其他信息。

如果警报是由重新扫描生成的,则以下信息可能存储在服务器上:

  • 文件名。

如果警报是由扫描文件生成的,则以下信息可能存储在服务器上:

  • 检测到的文件的全名。
  • 检测到的文件的 MD5 哈希和 SHA256 哈希。
  • 检测到的文件的大小。
  • 有关文件签名的信息。

如果警报是由扫描 FTP 流量生成的,则以下信息可能存储在服务器上:

  • FTP 请求的 URI。

如果警报是由扫描 HTTP 流量生成的,则以下信息可能存储在服务器上:

  • HTTP 请求的 URI。
  • 请求源的 URI。
  • 用户代理。
  • 有关代理服务器的信息。

另请参阅

Central Node 和 Sensor 组件的数据

Sensor 组件的流量数据

事件中的数据

报告中的数据

存储和隔离区中对象的数据

Kaspersky Professional Services
Implementation services. Health check and security system configuration. Contact us if you need expert help.
Kaspersky Premium Support (MSA): High‑priority incident processing
Telephone and web ticket support. Fast response, monitoring and health check. Submit a request and activate the contract (MSA).
Did you find this article helpful?
What can we do better?
Thank you for your feedback! You're helping us improve.
Thank you for your feedback! You're helping us improve.