Что нового

В Kaspersky Industrial CyberSecurity for Networks 4.1 появились следующие возможности и доработки:

• Добавлена функциональность аудита безопасности – для оценки соответствия устройств стандартам безопасности и выполнения других проверок на устройствах. Сканирования устройств можно выполнять как с помощью программы Kaspersky Endpoint Agent, так и посредством удаленного подключения к устройствам по протоколам, которые обеспечивают безопасное управление и передачу данных. Для безопасного хранения и использования идентификационной и аутентификационной информации в программе реализовано хранилище секретов. Подробные сведения о результатах запуска заданий аудита безопасности предоставляются в отчетах, которые можно формировать автоматически или вручную.
• Расширена функциональность контроля активов в части контроля оборудования на устройствах – по данным от EPP-приложений, а также при проведении активных опросов, программа получает и отображает больше сведений об оборудовании (такие, как сведения о процессорах, ОЗУ, локальных дисках) и дополнительно обновляет сведения, которые были получены при анализе трафика или введены вручную. При изменении оборудования или при получении новых сведений в процессе контроля оборудования программа регистрирует соответствующие события.
• Расширены возможности программы по определению категорий устройств – реализованы дополнительные алгоритмы для более точного определения категорий по данным от EPP-приложений и по результатам анализа трафика.
• Добавлена функциональность отображения инцидентов EDR – в событиях по технологии EPP отображаются сведения о цепочках развития угроз, полученные от Kaspersky Endpoint Agent. При просмотре событий активности, входящих в цепочку развития угрозы, вы можете использовать ссылки с хешами файлов и URL-адресов для получения информации о репутации этих объектов на веб-портале Kaspersky Threat Intelligence Portal. Данные о событиях активности вы можете экспортировать в файлы индикаторов компрометации (IOC-файлы) для их дальнейшего использования в задачах поиска IOC, выполняемых с помощью Kaspersky Endpoint Agent.

  IOC-файлы – файлы, содержащие набор индикаторов, при совпадении с которыми программа считает событие обнаружением.

• Добавлены возможности запуска действий по реагированию – на устройствах с установленной программой Kaspersky Endpoint Agent вы можете запускать действия по реагированию, чтобы предотвратить или минимизировать последствия обнаруженных угроз со стороны устройств (например, включить сетевую изоляцию устройства). Запуск действий по реагированию возможен как при работе с событиями, так и при работе с устройствами. При этом все предусмотренные действия по реагированию доступны при работе с событиями, которые являются инцидентами EDR (события, для которых построены цепочки развития угроз).
• Отображение сведений о сетевых сеансах в табличной форме – в дополнение к функциональности карты сетевых взаимодействий в программе отображается таблица сетевых сеансов, предоставляющая больше возможностей для расследования инцидентов и анализа статистики сетевых соединений. Для наполнения таблицы данными в программу добавлен метод Обнаружение сетевых сессий, который можно включать и выключать.
• В состав методов технологии Обнаружение вторжений добавлен метод Обнаружение атак подбора и сканирования – для анализа статистики сетевой активности с целью выявления признаков атак подбора учетных данных, отказа в обслуживании, сканирования, подмены сетевых сервисов и других аномалий. Метод использует встроенные правила, при срабатывании которых программа регистрирует события по технологии Обнаружение вторжений.
• Расширены возможности управления технологиями – при необходимости поэтапного ввода в эксплуатацию компонентов программы вы можете включать и выключать технологии по отдельности на узлах Сервера и сенсоров, а также на точках мониторинга. При настройке режимов использования технологий вы можете указывать дату и время автоматического переключения из режима обучения в режим наблюдения.
• Добавлена возможность загрузки трафика, поступившего на точки мониторинга – загрузка выполняется из внутренних хранилищ с файлами дампа трафика на узлах Сервера и сенсоров, а также из внешних хранилищ, если они подключены на узлах. Для загрузки вы можете использовать различные варианты фильтрации сетевых пакетов, в том числе задавать период трафика для скачивания или выражения для фильтрации. Вы можете загружать трафик из хранилищ при просмотре сведений об узлах и точках мониторинга, а также при просмотре таблицы сетевых сеансов и при работе с картой сетевых взаимодействий.
• Доработан графический интерфейс пользователя – увеличено полезное пространство для отображения сведений и параметров выбранных элементов в областях деталей.
• Расширен список поддерживаемых типов внешних проектов для импорта – в программу можно импортировать новые типы проектов, содержащих конфигурации параметров контроля процесса для устройств.
• Расширена поддержка протоколов прикладного уровня и устройств для контроля процесса – реализованы дополнительные возможности анализа трафика поддерживаемых протоколов и устройств и добавлены новые поддерживаемые протоколы и устройства.