Интеграция с KICS/KATA

Kaspersky Industrial CyberSecurity for Networks (далее "KICS/KATA") – программа для защиты инфраструктуры промышленных предприятий от угроз информационной безопасности и для обеспечения непрерывности технологических процессов. Программа анализирует трафик промышленной сети для выявления отклонений в значениях технологических параметров, обнаружения признаков сетевых атак, контроля работы и текущего состояния устройств в сети.

KICS/KATA версии 4.0 и выше можно интегрировать с KUMA. После настройки интеграции в KUMA можно выполнять следующие задачи:

• Импортировать из KICS/KATA в KUMA сведения об активах.
• Отправлять из KUMA в KICS/KATA команды на изменение статусов активов.

В отличие от KUMA, в KICS/KATA активы называются устройствами.

Интеграцию KICS/KATA и KUMA необходимо настроить на стороне обеих программ:

1. В KICS for Networks необходимо создать коннектор KUMA и сохранить файл свертки этого коннектора.
2. В KUMA с помощью файла свертки коннектора создается подключение к KICS/KATA.

Описываемая в этом разделе интеграция касается импорта сведений об активах. KICS/KATA можно также настроить на отправку событий в KUMA. Для этого необходимо в KICS/KATA создать коннектор типа SIEM/Syslog, а на стороне KUMA – настроить коллектор.

Настройка интеграции в KICS for Networks

Интеграция поддерживается с KICS for Networks версий 4.0 и выше.

Настройку интеграции KICS for Networks и KUMA рекомендуется проводить после завершения режима обучения правилам контроля процесса. Подробнее см. в документации KICS for Networks.

На стороне KICS for Networks настройка интеграции заключается в создании коннектора типа KUMA. В KICS for Networks коннекторы – это специальные программные модули, которые обеспечивают обмен данными KICS for Networks со сторонними системами, в том числе с KUMA. Подробнее о создании коннекторов см. в документации KICS for Networks.

При добавлении в KICS for Networks коннектора автоматически создается файл свертки для этого коннектора. Это зашифрованный файл конфигурации для подключения к KICS for Networks, который используется при настройке интеграции на стороне KUMA.

Настройка интеграции в KUMA

Настройку интеграции KICS for Networks и KUMA рекомендуется проводить после завершения режима обучения правилам контроля процесса. Подробнее см. в документации KICS for Networks.

Чтобы настроить в KUMA интеграцию с KICS/KATA:

1. Откройте веб-интерфейс KUMA и выберите раздел Параметры → Kaspersky Industrial CyberSecurity for Networks.

   Откроется окно Интеграция с KICS/KATA по тенантам.

2. Выберите или создайте тенант, для которого хотите создать интеграцию с KICS for Networks.

   Откроется окно Интеграция с KICS/KATA.

3. Нажмите на поле Файл свертки и выберите файл свертки коннектора, созданный в KICS for Networks.
4. В поле Пароль файла свертки введите пароль файла свертки.
5. Установите флажок Включить реагирование, если вы хотите изменять статусы активов KICS for Networks с помощью правил реагирования KUMA.
6. Нажмите Сохранить.

В KUMA настроена интеграция с KICS/KATA, в окне отображается IP-адрес узла, на котором будет работать коннектор KICS/KATA, а также его идентификатор.

Включение и выключение интеграции c KICS for Networks

Чтобы включить или выключить для тенанта интеграцию c KICS for Networks:

1. Откройте раздел Параметры → KICS/KATA веб-интерфейса KUMA и выберите тенант, у которого вы хотите включить или выключить интеграцию с KICS for Networks.

   Откроется окно Интеграция с KICS/KATA.

2. Установите или снимите флажок Выключено.
3. Нажмите Сохранить.

Изменение частоты обновления данных

KUMA обращается к KICS for Networks для обновления сведений об активах. Это происходит в следующих случаях:

• Сразу после создания новой интеграции.
• Сразу после изменения параметров существующей интеграции.
• Регулярно по расписанию каждые несколько часов. По умолчанию каждые 3 часа.
• При создании пользователем задачи на обновление данных об активах.

При обращении к KICS for Networks создается задача в разделе Диспетчер задач веб-интерфейса KUMA.

Чтобы изменить расписание импорта сведений об активах KICS for Networks:

1. Откройте в веб-интерфейсе KUMA раздел Параметры → KICS/KATA.
2. Выберите нужный тенант.

   Откроется окно Интеграция с KICS/KATA.

3. В поле Период обновления данных укажите требуемую частоту в часах. Значение по умолчанию – 3.

Расписание импорта изменено.

Особенности импорта информации об активах из KICS for Networks

Импорт активов

Активы импортируются в соответствии с правилами импорта активов. Импортируются только активы со статусами Разрешенное и Неразрешенное.

Активы KICS for Networks идентифицируются по комбинации следующих параметров:

• IP-адрес экземпляра KICS for Networks, с которым настроена интеграция.
• Идентификатор коннектора KICS for Networks, с помощью которого настроена интеграция.
• Идентификатор, присвоенный активу (или "устройству") в экземпляре KICS for Networks.

Импорт сведений об уязвимостях

При импорте активов в KUMA также поступают сведения об активных уязвимостях KICS for Networks. Если в KICS for Networks уязвимость была помечена как устраненная или незначительная, сведения о ней удаляются из KUMA при следующем импорте.

Сведения об уязвимостях активов отображаются в окне Информация об активе в блоке параметров Уязвимости на языке локализации KICS for Networks.

В KICS for Networks уязвимости называются рисками и разделяются на несколько типов. В KUMA импортируются все типы рисков.

Срок хранения импортированных данных

Если сведения о ранее импортированном активе перестают поступать из KICS for Networks, актив удаляется по прошествии 30 дней.

Изменение статуса актива KICS for Networks

После настройки интеграции вы можете менять статусы активов KICS for Networks из KUMA. Статусы можно менять автоматически и вручную.

Статусы активов можно менять, только если вы включили реагирование в настройках подключения к KICS for Networks.

Изменение статуса актива KICS for Networks вручную

Пользователи с ролями Главный Администратор, Администратор тенанта и Аналитик второго уровня в доступных им тенантах могут вручную менять статусы активов, импортированных из KICS for Networks.

Чтобы вручную изменить статус актива KICS for Networks:

1. В разделе Активы веб-интерфейса KUMA нажмите на актив, который вы хотите изменить.

   В правой части окна откроется область Информация об активе.

2. В раскрывающемся списке Статус KICS/KATA выберите статус, который необходимо присвоить активу KICS for Networks. Доступны статусы Разрешенное или Неразрешенное.

Статус актива изменен. Новый статус отображается в KICS for Networks и в KUMA.

Изменение статуса актива KICS for Networks автоматически

Автоматическое изменение статусов активов KICS for Networks реализовано с помощью правил реагирования. Правила необходимо добавить в коррелятор, который будет определять условия их срабатывания.