Проверка регистрации событий с помощью тестового сетевого пакета
Для проверки регистрации событий в Kaspersky Industrial CyberSecurity for Networks вы можете использовать тестовый сетевой пакет. При обнаружении такого пакета в трафике программа регистрирует тестовые события по следующим технологиям:
- Контроль технологического процесса. Событие регистрируется независимо от наличия правил контроля процесса и тегов.
- Контроль целостности сети. Событие регистрируется независимо от наличия правил контроля взаимодействий. При этом должно быть включено применение технологии Контроль целостности сети.
- Обнаружение вторжений. Событие регистрируется независимо от наличия правил обнаружения вторжений. При этом должно быть включено применение метода обнаружения вторжений по правилам.
- Контроль активов. Событие регистрируется независимо от наличия устройств в таблице устройств, известных программе. При этом должно быть включено применение метода обнаружения активности устройств.
Для регистрации используются системные типы событий, которым присвоены следующие коды:
- 4000000001 – для события по технологии Контроль технологического процесса;
- 4000000002 – для события по технологии Контроль целостности сети;
- 4000000003 – для события по технологии Обнаружение вторжений;
- 4000000004 – для события по технологии Контроль активов.
Вы можете просмотреть тестовые события в таблице зарегистрированных событий.
Для проверки функции аудита Kaspersky Industrial CyberSecurity for Networks сохраняет информацию о регистрации тестовых событий в журнале аудита. По каждому зарегистрированному событию создается запись аудита, в которой указана технология регистрации тестового события.
Тестовый сетевой пакет представляет собой пакет протокола UDP с определенными значениями параметров. Параметры заданы таким образом, чтобы исключить вероятность получения такого пакета в обычном трафике промышленной сети.
В параметрах тестового сетевого пакета должны быть заданы следующие данные:
- Заголовок Ethernet II:
- MAC-адрес отправителя:
00:00:00:00:00:00
. - MAC-адрес получателя:
ff:ff:ff:ff:ff:ff
. - EtherType:
0x0800 (IPv4)
.
- MAC-адрес отправителя:
- Заголовок IP:
- IP-адрес отправителя:
127.0.20.20
. - IP-адрес получателя:
127.0.20.20
. - ID:
20
. - TTL:
20
. - Protocol type:
17 (UDP)
. - Флаги:
0x00
.
- IP-адрес отправителя:
- Заголовок UDP:
- Порт отправителя:
20
. - Порт получателя:
20
.
- Порт отправителя:
- Содержимое пакета:
- Длина содержимого пакета, байт:
20
. - Содержимое пакета: "
KICS4Net Sentinel 20
".
- Длина содержимого пакета, байт:
Для формирования и отправки тестового сетевого пакета вы можете использовать программу генерации сетевых пакетов, например Scapy. Отправку тестового сетевого пакета нужно выполнить с узла, трафик которого контролируется Kaspersky Industrial CyberSecurity for Networks.
Пример: Чтобы отправить тестовый сетевой пакет с помощью программы Scapy в операционной системе Linux:
После обнаружения пакета в трафике программа Kaspersky Industrial CyberSecurity for Networks зарегистрирует тестовые события. |