Настройка контроля взаимодействий
Kaspersky Industrial CyberSecurity for Networks может отслеживать сетевые взаимодействия устройств в промышленной сети. Для определения разрешенных и неразрешенных сетевых взаимодействий используются правила контроля взаимодействий. Все обнаруженные сетевые взаимодействия, которые не удовлетворяют действующим правилам контроля взаимодействий, считаются не разрешенными. При обнаружении неразрешенных взаимодействий программа регистрирует соответствующие события.
Правило контроля взаимодействий может относиться к одной из следующих технологий:
- Контроль целостности сети – правило описывает сетевое взаимодействие устройств, использующих заданный набор протоколов и параметров соединения.
- Контроль системных команд – правило описывает контролируемые системные команды при взаимодействии между устройствами по одному из поддерживаемых протоколов для контроля процесса.
Правило контроля взаимодействий содержит следующую информацию о взаимодействии:
- стороны, принимающие участие в сетевом взаимодействии;
- разрешенный протокол или системные команды.
Сетевые взаимодействия между устройствами определяются по MAC- и/или IP-адресам устройств.
При анализе сетевых взаимодействий по технологии Контроль целостности сети программа дополнительно проверяет IP-адреса в этих взаимодействиях на принадлежность известным подсетям. Проверка IP-адресов выполняется для тех взаимодействий, у которых не удалось определить MAC-адреса отправителей и/или получателей сетевых пакетов. Если для одной из сторон сетевого взаимодействия определен только IP-адрес, программа проверяет это взаимодействие по таблице подсетей для контроля взаимодействий. Далее программа проверяет это взаимодействие на соответствие правилам по технологии Контроль целостности сети (и регистрирует соответствующее событие в случае необходимости) только если такое взаимодействие должно контролироваться согласно таблице.
Таблица подсетей для контроля взаимодействий по технологии Контроль целостности сети
Технология Контроль системных команд применяется независимо от того, какой подсети принадлежат IP-адреса отправителей и получателей сетевых пакетов с системными командами.
Правила контроля взаимодействий могут быть включены или выключены.
По умолчанию после создания правило включено и применяется для разрешения описанных взаимодействий. При обнаружении взаимодействий, описанных во включенных правилах, программа не регистрирует события.
Выключенные правила предназначены для описания нежелательных сетевых взаимодействий. В режиме обучения для технологий контроля взаимодействий выключенные правила предотвращают автоматическое создание новых включенных правил, описывающих те же сетевые взаимодействия. В режиме наблюдения выключенные правила не учитываются.
Программа обрабатывает правила контроля взаимодействий по технологиям Контроль целостности сети и Контроль системных команд, если включено применение этих технологий.
Для создания списка правил контроля взаимодействий предусмотрены следующие способы:
- автоматическое формирование правил в режиме обучения;
- создание правил вручную.
Вы можете настраивать правила контроля взаимодействий в разделе Разрешающие правила веб-интерфейса Kaspersky Industrial CyberSecurity for Networks. Раздел содержит таблицу с правилами контроля взаимодействий по технологиям Контроль целостности сети и Контроль системных команд. Также в этой таблице правил могут быть представлены созданные разрешающие правила для событий.
События, регистрируемые по технологиям Контроль целостности сети и Контроль системных команд, относятся к системным типам событий.
Вы можете просматривать события контроля взаимодействий в таблице зарегистрированных событий. События, регистрируемые по технологии Контроль целостности сети, имеют уровень важности Важные. Событиям, регистрируемым по технологии Контроль системных команд, присваивается уровень важности в зависимости от заданного уровня важности для обнаруженной системной команды.
