Настройка контроля взаимодействий

02 февраля 2024

ID 134913

Kaspersky Industrial CyberSecurity for Networks может отслеживать сетевые взаимодействия устройств в промышленной сети. Для определения разрешенных и неразрешенных сетевых взаимодействий используются правила контроля взаимодействий. Все обнаруженные сетевые взаимодействия, которые не удовлетворяют действующим правилам контроля взаимодействий, считаются неразрешенными. При обнаружении неразрешенных взаимодействий программа регистрирует соответствующие события.

Правило контроля взаимодействий может относиться к одной из следующих технологий:

  • Контроль целостности сети – правило описывает сетевое взаимодействие устройств, использующих заданный набор протоколов и параметров соединения.
  • Контроль системных команд – правило описывает контролируемые системные команды при взаимодействии между устройствами по одному из поддерживаемых протоколов для контроля процесса.

Правило контроля взаимодействий содержит следующую информацию о взаимодействии:

  • стороны, принимающие участие в сетевом взаимодействии;
  • разрешенный протокол или системные команды.

Сетевые взаимодействия между устройствами определяются по MAC- и/или IP-адресам устройств. Если в программу добавлены дополнительные адресные пространства, вы можете настраивать правила контроля взаимодействий для адресов нужных адресных пространств.

При анализе сетевых взаимодействий по технологии Контроль целостности сети программа дополнительно проверяет IP-адреса в этих взаимодействиях на принадлежность известным подсетям. Проверка IP-адресов выполняется для всех взаимодействий IPv4. Программа проверяет каждое взаимодействие на соответствие правилам по технологии Контроль целостности сети (и регистрирует соответствующее событие в случае необходимости) только если такое взаимодействие должно контролироваться согласно таблице ниже.

Подсети IP-адресов, между которыми контролируются взаимодействия

 

Подсеть отправителя

Подсеть получателя

Частная, IT

Частная, OT

Частная, DMZ

Публичная

Link-local

Частная, IT

нет

да

нет

нет

да

Частная, OT

да

да

да

да

да

Частная, DMZ

нет

да

нет

нет

да

Публичная

нет

да

нет

нет

да

Link-local

да

да

да

да

нет

Пример

При контроле взаимодействий по технологии Контроль целостности сети программа проверяет все взаимодействия, в которых в качестве получателей или отправителей сетевых пакетов определены IP-адреса из подсетей с типом Частная, OT. Программа не проверяет взаимодействия, в которых в качестве получателей сетевых пакетов определены IP-адреса из подсетей с типом Частная, DMZ, а в качестве отправителей определены IP-адреса из подсетей с типом Частная, IT.

Технология Контроль системных команд применяется независимо от того, какой подсети принадлежат IP-адреса отправителей и получателей сетевых пакетов с системными командами.

Правила контроля взаимодействий могут быть включены или выключены.

По умолчанию после создания правило включено и применяется для разрешения описанных взаимодействий. При обнаружении взаимодействий, описанных во включенных правилах, программа не регистрирует события.

Выключенные правила предназначены для описания нежелательных сетевых взаимодействий. В режиме обучения для технологий контроля взаимодействий выключенные правила предотвращают автоматическое создание новых включенных правил, описывающих те же сетевые взаимодействия. В режиме наблюдения выключенные правила не учитываются.

Программа обрабатывает правила контроля взаимодействий по технологиям Контроль целостности сети и Контроль системных команд, если включено применение этих технологий. Для этих технологий вы также можете настраивать режим обучения.

Для создания списка правил контроля взаимодействий предусмотрены следующие способы:

Вы можете настраивать правила контроля взаимодействий в разделе Разрешающие правила веб-интерфейса Kaspersky Industrial CyberSecurity for Networks. Раздел содержит таблицу с правилами контроля взаимодействий по технологиям Контроль целостности сети и Контроль системных команд. Также в этой таблице правил могут быть представлены созданные разрешающие правила для событий.

События, регистрируемые по технологиям Контроль целостности сети и Контроль системных команд, относятся к системным типам событий.

Вы можете просматривать события контроля взаимодействий в таблице зарегистрированных событий. События, регистрируемые по технологии Контроль целостности сети, имеют уровень критичности Высокий. Событиям, регистрируемым по технологии Контроль системных команд, присваивается уровень критичности в зависимости от заданного уровня критичности для обнаруженной системной команды.

В этом разделе

Режим обучения для технологий контроля взаимодействий

Режим наблюдения для технологий контроля взаимодействий

Автоматическое формирование правил контроля взаимодействий в режиме обучения

Просмотр правил контроля взаимодействий в таблице разрешающих правил

Создание правил контроля взаимодействий вручную

Изменение параметров правила контроля взаимодействий

Включение и выключение правил контроля взаимодействий

Удаление правил контроля взаимодействий

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!