При анализе трафика промышленной сети программа регистрирует события и инциденты.
Событие в Kaspersky Industrial CyberSecurity for Networks – это запись, содержащая информацию об обнаружении в трафике промышленной сети определенных изменений или условий, которые требуют внимания специалиста по безопасности АСУ ТП. События регистрируются и передаются на Сервер Kaspersky Industrial CyberSecurity for Networks. Сервер обрабатывает полученные события и сохраняет их в базе данных.
Инцидент – это событие особого типа, которое регистрируется при получении определенной последовательности событий. Инциденты группируют события, имеющие некоторые общие признаки или относящиеся к одному процессу.
Программа регистрирует инциденты по правилам корреляции событий. Правило корреляции событий описывает условия для проверки последовательностей событий. При обнаружении последовательности событий, удовлетворяющих условиям правила, программа регистрирует инцидент, в котором указано название сработавшего правила. Для регистрации инцидентов используются системные типы событий, которым присвоены коды 8000000000, 8000000001, 8000000002 и 8000000003.
Правила корреляции событий встроены в программу и применяются независимо от политики безопасности, которая загружена в Консоль или применена на Сервере.
После установки программы используются исходные правила корреляции событий. Для повышения эффективности работы правил специалисты "Лаборатории Касперского" регулярно обновляют базы с наборами правил. Вы можете обновлять правила корреляции, устанавливая обновления.
Сервер Kaspersky Industrial CyberSecurity for Networks регистрирует события и инциденты и передает сведения о них в сторонние системы в соответствии с параметрами, заданными для регистрации типов событий. Вы можете настроить эти параметры в Консоли программы на закладке Настройка событий. Сведения о настройке см. в разделе Настройка событий.
Параметры хранения событий и инцидентов настраиваются в окне Управление журналами Консоли программы. По умолчанию база данных хранит 100 000 записей в течение 365 дней. Если количество записей или период хранения превышают предельные значения, самые старые записи удаляются. При необходимости вы можете изменить количество хранимых записей, а также время их хранения.
Программа сохраняет события и инциденты в базе данных на Сервере.
Удаление или изменение любого файла в директориях СУБД может привести к нарушению работоспособности программы.
Вы можете просматривать информацию о событиях и инцидентах в следующих разделах веб-интерфейса Kaspersky Industrial CyberSecurity for Networks: