Содержание
- О Kaspersky Industrial CyberSecurity for Networks
- Что нового
- Архитектура программы
- Типовые схемы развертывания
- Установка и удаление программы
- Подготовка к установке программы
- Используемые порты для установки и работы компонентов
- Использование скрипта централизованной установки компонентов программы
- Централизованная установка компонентов программы
- Команды меню централизованной установки
- Изменение параметров и централизованная переустановка компонентов программы
- Централизованная установка компонентов программы в неинтерактивном режиме
- Усиление защиты компьютеров с установленными компонентами программы
- Централизованное удаление компонентов программы
- Использование скрипта локальной установки компонентов программы
- Использование скрипта локального удаления компонентов программы
- Установка плагина управления Kaspersky Industrial CyberSecurity for Networks для Kaspersky Security Center
- Обновление предыдущей версии программы
- Подготовка программы к работе
- Начальная настройка программы после установки Сервера
- Запуск и остановка программы
- Интерфейс программы
- Лицензирование программы
- О Лицензионном соглашении
- О Политике конфиденциальности
- О лицензии
- О лицензионном сертификате
- О лицензионном ключе для активации функциональности обновления
- О файле лицензионного ключа для активации функциональности обновления
- Добавление лицензионного ключа при подключении к Серверу через веб-интерфейс
- Просмотр информации о добавленном лицензионном ключе
- Удаление лицензионного ключа
- Предоставление данных
- Администрирование Kaspersky Industrial CyberSecurity for Networks
- Управление узлами с установленными компонентами программы
- Управление точками мониторинга на узлах
- Контроль состояния Kaspersky Industrial CyberSecurity for Networks
- Контроль состояния программы при подключении через веб-интерфейс
- Просмотр сообщений программы
- Просмотр записей аудита действий пользователей
- Просмотр сведений об узлах с установленными компонентами программы и о сетевых интерфейсах на узлах
- Просмотр статуса сервисов, обеспечивающих работу компонентов программы
- Перезагрузка компьютера с установленными компонентами программы
- Проверка регистрации событий с помощью тестового сетевого пакета
- Синхронизация времени на узлах Kaspersky Industrial CyberSecurity for Networks с источником времени для устройств промышленной сети
- Обновление сертификатов SSL-соединений
- Обновление баз и программных модулей
- Разделение доступа к функциям программы
- Об учетных записях пользователей программы
- Функции программы, доступные при подключении к Серверу через веб-интерфейс
- Просмотр сведений об учетных записях пользователей программы
- Создание учетной записи пользователя программы
- Изменение роли учетной записи пользователя программы
- Удаление учетной записи пользователя программы
- Изменение пароля учетной записи
- Настройка контроля активов
- Методы и режимы контроля активов
- Выбор применяемых методов и изменение режима контроля активов
- Выбор источников для контроля уязвимостей устройств
- Добавление устройств вручную
- Объединение устройств
- Удаление устройств
- Изменение статусов устройств вручную
- Формирование списка подсетей для контроля активов
- Просмотр сведений об устройствах с IP-адресами из выбранных подсетей
- О распределении устройств по группам
- Автоматическая группировка устройств по заданному критерию
- Распределение устройств по группам вручную
- Перемещение узлов и групп в другие группы на карте сети
- Формирование дерева групп устройств вручную
- Установка и удаление меток для устройств
- Изменение сведений об устройстве
- Добавление, изменение и удаление пользовательских полей для устройства
- Настройка контроля процесса
- Поддерживаемые устройства и протоколы
- Устройства для контроля процесса
- Параметры контроля процесса для устройств
- Об автоматическом определении параметров контроля процесса для устройств
- Включение и выключение автоматического определения параметров контроля процесса для устройств
- Добавление параметров контроля процесса для устройства вручную
- Изменение параметров контроля процесса для устройства
- Выбор отслеживаемых системных команд
- Очистка параметров контроля процесса, заданных для устройства
- Импорт конфигураций устройств и тегов из внешних проектов
- Теги
- Правила контроля процесса
- Правила с заданными условиями для значений тегов
- Правила с Lua-скриптами
- Режим обучения правилам контроля процесса
- Включение и выключение контроля процесса по правилам
- Просмотр таблицы правил контроля процесса
- Выбор правил контроля процесса
- Создание правила контроля процесса с параметрами условий
- Создание правила контроля процесса с Lua-скриптом
- Изменение параметров правила контроля процесса
- Создание, просмотр и изменение глобального Lua-скрипта
- Удаление правил контроля процесса
- Просмотр сведений об устройствах, связанных с правилами контроля процесса
- Просмотр тегов, связанных с правилами контроля процесса
- Настройка контроля взаимодействий
- Режим обучения для технологий контроля взаимодействий
- Режим наблюдения для технологий контроля взаимодействий
- Выбор применяемых технологий контроля взаимодействий
- Автоматическое формирование правил контроля взаимодействий в режиме обучения
- Просмотр правил контроля взаимодействий в таблице разрешающих правил
- Выбор правил контроля взаимодействий в таблице разрешающих правил
- Создание правил контроля взаимодействий вручную
- Изменение параметров правила контроля взаимодействий
- Включение и выключение правил контроля взаимодействий
- Удаление правил контроля взаимодействий
- Настройка обнаружения вторжений
- Правила обнаружения вторжений
- Дополнительные методы обнаружения вторжений
- Включение и выключение обнаружения вторжений по правилам
- Включение и выключение дополнительных методов обнаружения вторжений
- Просмотр таблицы с наборами правил обнаружения вторжений
- Выбор наборов правил обнаружения вторжений
- Включение и выключение наборов правил обнаружения вторжений
- Загрузка и замена пользовательских наборов правил обнаружения вторжений
- Удаление пользовательских наборов правил обнаружения вторжений
- Управление журналами
- Управление технологиями
- Настройка получения данных от EPP-программ
- Управление коннекторами
- Настройка типов событий
- Просмотр таблицы типов событий
- Выбор типов событий в таблице
- Изменение параметров системного типа события
- Настройка автоматического сохранения трафика для системных типов событий
- Настройка передачи событий через коннекторы
- Общие переменные для подстановки значений в Kaspersky Industrial CyberSecurity for Networks
- Управление политикой безопасности
- Использование Kaspersky Industrial CyberSecurity for Networks API
- Решение типовых задач
- Мониторинг системы в онлайн-режиме
- Контроль активов
- Таблица устройств
- Просмотр таблицы устройств
- Просмотр подсетей для контроля активов
- Выбор устройств в таблице устройств
- Выбор подсетей в таблице подсетей
- Просмотр сведений об устройстве
- Автоматическое добавление и обновление устройств
- Автоматическое изменение статусов устройств
- Дерево групп устройств
- Контроль чтения и записи проектов ПЛК
- Просмотр событий, связанных с устройствами
- Экспорт устройств в файл
- Экспорт подсетей в файл
- Работа с картой сети
- Узлы на карте сети
- Группы устройств на карте сети
- Соединения на карте сети
- Просмотр подробных сведений об объектах
- Изменение масштаба карты сети
- Позиционирование карты сети
- Закрепление и открепление узлов и групп
- Изменение местоположения узлов и групп вручную
- Автоматическое распределение узлов и групп
- Фильтрация объектов на карте сети
- Сохранение и загрузка параметров отображения карты сети
- Поиск узлов на карте сети
- Просмотр событий, связанных с узлами известных программе устройств
- Просмотр событий, связанных с соединением
- Просмотр сведений в таблице устройств по выбранным узлам
- Просмотр сведений в таблице устройств по выбранному соединению
- Мониторинг событий и инцидентов
- Уровни важности событий
- Технологии регистрации событий
- Статусы событий
- Таблица зарегистрированных событий
- Выбор событий в таблице событий
- Просмотр событий, включенных в инцидент
- Фильтрация событий
- Поиск событий
- Сброс заданных параметров фильтрации и поиска в таблице событий
- Сортировка событий
- Настройка таблицы зарегистрированных событий
- Просмотр подробных данных о событии
- Просмотр сведений об устройствах, связанных с событиями
- Переход на карту сети для отображения информации по событиям
- Изменение статусов событий
- Создание разрешающих правил для событий
- Установка меток
- Копирование событий в текстовый редактор
- Экспорт событий в файл
- Загрузка трафика для событий
- Контроль уязвимостей устройств
- Сценарий реализации для процесса непрерывного управления уязвимостями
- Сведения об устройствах, используемые для проверки уязвимостей
- Просмотр устройств с обнаруженными уязвимостями
- Просмотр таблицы уязвимостей
- Выбор уязвимостей в таблице уязвимостей
- Просмотр сведений об уязвимости
- Автоматическое изменение состояний уязвимостей
- Изменение состояний уязвимостей вручную
- Просмотр сведений об устройствах с обнаруженной уязвимостью
- Просмотр событий, связанных с уязвимостью
- Экспорт уязвимостей в файл
- Контроль технологического процесса
- Обнаружение проблем безопасности в протоколах шифрования
- Управление программой через Kaspersky Security Center
- Включение и настройка функциональности взаимодействия с Kaspersky Security Center
- Добавление лицензионного ключа в Kaspersky Industrial CyberSecurity for Networks из Kaspersky Security Center
- Получение обновлений с Сервера администрирования Kaspersky Security Center
- Мониторинг событий через Kaspersky Security Center
- Контроль состояния безопасности АСУ ТП: Kaspersky Security Center и SCADA
- Подключение к компьютеру Сервера из Kaspersky Security Center
- Централизованный контроль систем с Kaspersky Industrial CyberSecurity for Networks в Kaspersky Security Center Web Console
- О веб-плагине управления Kaspersky Industrial CyberSecurity for Networks
- Сценарий подготовки к использованию технологии единого входа (SSO)
- Предоставление пользователям Kaspersky Security Center прав доступа, соответствующих ролям пользователей в Kaspersky Industrial CyberSecurity for Networks
- Веб-виджеты для мониторинга систем и Серверов Kaspersky Industrial CyberSecurity for Networks
- Поиск устройств и событий по базам данных Серверов Kaspersky Industrial CyberSecurity for Networks
- Размещение компонентов Kaspersky Industrial CyberSecurity for Networks на картах
- Просмотр информации о Серверах на картах
- Устранение неисправностей
- Не выполняется установка программы из-за недоступного репозитория для DNF
- Не выполняется установка компонента программы на выбранном узле
- Обнаружены проблемы в работе программы
- Новое сообщение программы
- Закончилось свободное пространство на жестком диске
- При включении точки мониторинга возникает ошибка
- Отсутствует трафик на точке мониторинга
- Не загружается трафик для событий или инцидентов
- Профилактические и пусконаладочные работы на АСУ ТП
- Непредвиденная перезагрузка системы
- После переустановки Сервера администрирования Kaspersky Security Center не выполняется синхронизация Агента администрирования
- Не выполняется подключение к Серверу через веб-интерфейс
- При подключении к Серверу браузер выводит предупреждение о сертификате
- Обращение в Службу технической поддержки
- Источники информации о программе
- Приложения
- Действия для устранения уязвимости CVE-2024-23836 в системе обнаружения вторжений
- Миграция операционной системы CentOS Linux 8 на CentOS Stream 8
- Настройка синхронизации времени по протоколам NTP и PTP
- Поддерживаемые типы кадров ASDU в протоколах стандартов IEC 60870-5-104 и IEC 60870-5-101
- Отправка событий Kaspersky Industrial CyberSecurity for Networks в SIEM-системы
- Файлы для импорта проекта универсального формата
- Системные типы событий в Kaspersky Industrial CyberSecurity for Networks
- Системные типы событий по технологии Контроль технологического процесса
- Системные типы событий по технологии Контроль системных команд
- Системные типы событий по технологии Контроль целостности сети
- Системные типы событий по технологии Обнаружение вторжений
- Системные типы событий по технологии Контроль активов
- Системные типы событий по технологии Внешние системы
- Системные типы событий по технологии Защита конечных устройств
- Глоссарий
- ARP-спуфинг
- CVE
- Endpoint Protection Platform (EPP)
- EPP-программа
- SCADA
- SIEM
- АСУ ТП
- Внешние системы
- Выделенная сеть Kaspersky Industrial CyberSecurity
- Интеллектуальное электронное устройство (IED)
- Инцидент
- Карта сети
- Контроль активов
- Контроль системных команд
- Контроль технологического процесса
- Контроль целостности сети
- Обнаружение вторжений
- Политика безопасности
- Правило контроля взаимодействий
- Правило контроля процесса
- Правило корреляции событий
- Правило обнаружения вторжений
- Программируемый логический контроллер (ПЛК)
- Проект ПЛК
- Промышленная сеть
- Роль учетной записи
- Сенсор Kaspersky Industrial CyberSecurity for Networks
- Сервер Kaspersky Industrial CyberSecurity for Networks
- Системная команда
- Событие
- Соединение на карте сети
- Тег
- Технология единого входа (SSO)
- Тип события
- Точка мониторинга
- Узел
- Устройство
- Уязвимость устройства
- Информация о стороннем коде
- Уведомления о товарных знаках
О Kaspersky Industrial CyberSecurity for Networks
Kaspersky Industrial CyberSecurity for Networks – программа для защиты инфраструктуры промышленных предприятий от угроз информационной безопасности и для обеспечения непрерывности технологических процессов. Kaspersky Industrial CyberSecurity for Networks анализирует трафик промышленной сети для выявления отклонений в значениях технологических параметров, обнаружения признаков сетевых атак, контроля работы и текущего состояния устройств в сети. Программа входит в состав решения Kaspersky Industrial CyberSecurity.
Kaspersky Industrial CyberSecurity for Networks выполняет следующие функции:
- Контролирует активы предприятия, представленные устройствами промышленной сети. Обнаруживает активность устройств и сведения об устройствах на основании данных, полученных при анализе сетевых пакетов и/или от программ "Лаборатории Касперского", которые выполняют функции защиты рабочих станций и серверов.
- Проверяет взаимодействия между устройствами промышленной сети на соответствие заданным правилам контроля взаимодействий. Формирование правил контроля взаимодействий может выполняться автоматически в режиме обучения.
- Отображает сетевые взаимодействия между устройствами промышленной сети в виде карты сети. При отображении объекты визуально выделяются по различным признакам (например, объекты, требующие внимания).
- Обнаруживает уязвимости устройств по сохраненным сведениям об устройствах.
- Извлекает из сетевых пакетов значения параметров технологического процесса, управляемого автоматизированной системой управления технологическим процессом (далее также "АСУ ТП"), и проверяет допустимость этих значений по заданным правилам контроля процесса. Формирование правил контроля процесса может выполняться автоматически в режиме обучения.
- Обнаруживает в трафике системные команды, переданные или полученные устройствами, которые участвуют в автоматизации технологического процесса. Оповещает об обнаруженных неразрешенных системных командах и ситуациях, которые могут быть признаками нарушения безопасности промышленной сети.
- Контролирует операции чтения и записи проектов для программируемых логических контроллеров, сохраняет полученную информацию о проектах и сравнивает эту информацию с ранее полученной информацией.
- Анализирует трафик промышленной сети на наличие признаков атак, не оказывая влияния на промышленную сеть и не привлекая внимания потенциального нарушителя. Обнаруживает признаки атак с помощью заданных правил обнаружения вторжений и встроенных алгоритмов проверки аномалий в сетевых пакетах.
- Регистрирует события и передает сведения о них в сторонние системы, а также в Kaspersky Security Center.
- Анализирует зарегистрированные события и при обнаружении определенных последовательностей событий регистрирует инциденты по встроенным правилам корреляции. Инциденты группируют события, имеющие некоторые общие признаки или относящиеся к одному процессу.
- Сохраняет в базе данных трафик, относящийся к зарегистрированным событиям. Трафик может сохраняться автоматически (если для событий включено автоматическое сохранение трафика) или по запросу на загрузку трафика.
- Предоставляет возможности работы через графический интерфейс пользователя и через интерфейс прикладного программирования (API).
- Предоставляет данные для централизованного контроля систем с Kaspersky Industrial CyberSecurity for Networks в Kaspersky Security Center Web Console.
Комплект поставки
В комплект поставки Kaspersky Industrial CyberSecurity for Networks входят следующие файлы:
- скрипт централизованной установки компонентов программы: kics4net-deploy-<номер версии программы>.bundle.sh;
- скрипт локальной установки компонентов программы: kics4net-install.sh;
- скрипт локального удаления компонентов программы: kics4net-remove.sh;
- пакеты для установки компонентов программы в операционной системе CentOS:
- пакет для установки Сервера и сенсоров: kics4net-<номер версии программы>.x86_64.rpm;
- пакет для установки системных коннекторов: kics4net-connectors-<номер версии программы>.x86_64.rpm;
- пакет для установки сервиса интеграции: kics4net-epp-proxy-<номер версии программы>.x86_64.rpm;
- пакет для установки системы полнотекстового поиска: kics4net-fts-<номер версии программы>.x86_64.rpm;
- пакет для установки СУБД: kics4net-postgresql-<номер версии СУБД>.x86_64.rpm;
- пакет для установки системы обнаружения вторжений: kics4net-suricata-<номер версии системы>.x86_64.rpm;
- пакет для установки веб-сервера для сенсора программы: kics4net-websensor-<номер версии программы>.x86_64.rpm;
- пакет для установки веб-сервера для Сервера программы: kics4net-webserver-<номер версии программы>.x86_64.rpm;
- пакет для установки Агента администрирования из состава комплекта поставки Kaspersky Security Center: klnagent64-<номер версии Агента администрирования>.x86_64.rpm;
- пакеты для установки плагина управления Kaspersky Industrial CyberSecurity for Networks для Kaspersky Security Center: kics4net-sc-plugin_<номер версии плагина>_<код локализации>.msi;
- пакет документации с описаниями запросов для Kaspersky Industrial CyberSecurity for Networks API: publicapi_doc.tar.gz;
- пакет спецификаций для Kaspersky Industrial CyberSecurity for Networks API: publicapi_swagger.tar.gz;
- файлы с текстом Лицензионного соглашения на русском и английском языках;
- файлы с текстом Политики конфиденциальности на русском и английском языках;
- файлы с информацией о версии (Release Notes) на русском и английском языках.
Аппаратные и программные требования
Аппаратные требования
Kaspersky Industrial CyberSecurity for Networks имеет следующие минимальные требования к аппаратному обеспечению компьютеров для установки компонентов программы:
- Компьютер, который будет выполнять функции Сервера:
- центральный процессор: Intel Core i7;
- объем оперативной памяти: 32 ГБ;
- объем свободного пространства на жестком диске: 750 ГБ и дополнительно по 250 ГБ для каждой точки мониторинга на этом компьютере.
- Компьютер, который будет выполнять функции сенсора:
- центральный процессор: Intel Core i5 / i7;
- объем оперативной памяти: 4 ГБ и по 2 ГБ для каждой точки мониторинга на этом компьютере;
- объем свободного пространства на жестком диске: 50 ГБ и по 250 ГБ для каждой точки мониторинга на этом компьютере.
Рекомендуется использовать высокоскоростные жесткие диски (например, SSD-диски).
При использовании сенсоров пропускная способность выделенной сети Kaspersky Industrial CyberSecurity между Сервером и каждым сенсором должна быть не менее 50% от суммарного входящего трафика на сенсор (по всем точкам мониторинга сенсора).
Пример: На сенсоре используются две точки мониторинга, на одну из которых поступает трафик 100 Мбит/c, на другую 200 Мбит/c. В этом случае пропускная способность канала между сенсором и Сервером должна быть не менее 150 Мбит/c ((200+100)/2=150). |
Программные требования
Kaspersky Industrial CyberSecurity for Networks имеет следующие требования к программному обеспечению компьютеров для установки компонентов программы:
- Операционная система CentOS Linux версии 8.3 или CentOS Stream 8 (возможна миграция операционной системы CentOS Linux версии 8.3 на CentOS Stream 8 после установки Kaspersky Industrial CyberSecurity for Networks).
При установке операционной системы рекомендуется выделить под системный (корневой) раздел все место на жестком диске за вычетом минимально необходимого места для boot- и swap-разделов. Также для повышения производительности работы программного обеспечения вы можете монтировать директорию /var/ на высокоскоростной жесткий диск (при наличии дополнительного дискового устройства, например SSD-диска). При этом монтировать директорию /var/ на другой диск требуется полностью. Не допускается монтировать на разные диски поддиректории, вложенные в директорию /var/ (в частности, директорию /var/opt/).
- Операционная система одной и той же версии должна быть установлена на всех компьютерах, на которых устанавливаются компоненты программы.
- Для установки компонентов программы в операционной системе CentOS должны быть выполнены следующие условия:
- Для работы компонентов программы на компьютере, который будет выполнять функции Сервера, в операционной системе CentOS дополнительно должны быть выполнены следующие условия:
- Установлен интерпретатор языка Python версии 3.6 и выше, а также пакеты для работы коннекторов и скриптов преобразования данных python3-tqdm, python3-certifi, python3-dateutil, python3-pyyaml, python3-pytz, python3-urllib3, python3-psycopg2, python3-cffi (если коннекторы будут работать на других компьютерах, перечисленные пакеты также требуется установить на эти компьютеры)
- Установлен почтовый сервер (Mail Transfer Agent – MTA) Postfix для отправки сообщений электронной почты через коннектор электронной почты
- Установлен интерпретатор языка Perl версии 5.10 и выше (если устанавливается Агент администрирования Kaspersky Security Center).
Для установки компонентов программы рекомендуется использовать отдельные компьютеры, на которых установлено только программное обеспечение из состава операционной системы. Если на компьютерах установлено прикладное программное обеспечение сторонних производителей, производительность компонентов Kaspersky Industrial CyberSecurity for Networks может быть снижена.
Для установки плагина управления Kaspersky Industrial CyberSecurity for Networks для Kaspersky Security Center на компьютере Сервера администрирования Kaspersky Security Center должно быть установлено обновление Windows KB2999226. Установка обновления требуется, если проблемы, устраняемые этим обновлением, актуальны для установленной версии операционной системы и конфигурации установленного программного обеспечения на компьютере Сервера администрирования (см. описание к указанному обновлению).
Для подключения через веб-интерфейс могут использоваться следующие браузеры:
- Google Chrome версии 91 и выше.
- Mozilla Firefox версии 89 и выше.
- Microsoft Edge версии 91 и выше.
Программа Kaspersky Industrial CyberSecurity for Networks совместима с Kaspersky Security Center версии 12 или 13.2. Возможность использования веб-плагина управления Kaspersky Industrial CyberSecurity for Networks становится доступна после установки Kaspersky Security Center Web Console версии 13.2.571 и патча для этой программы, который активирует функциональность взаимодействия с веб-плагином управления Kaspersky Industrial CyberSecurity for Networks (версия патча: 13.2.571.1). Вы можете запросить указанные версии программ у вашего технического менеджера (TAM).
В программе Kaspersky Industrial CyberSecurity for Networks поддерживается совместная работа с Kaspersky Industrial CyberSecurity for Nodes версии 2.6 и выше. Поддерживается работа в режиме интеграции с Kaspersky Industrial CyberSecurity for Nodes версии 3.0 (в этом режиме Kaspersky Industrial CyberSecurity for Networks получает данные от Kaspersky Industrial CyberSecurity for Nodes).
Обзор функциональности Kaspersky Industrial CyberSecurity for Networks
Функциональность для анализа трафика промышленной сети
В Kaspersky Industrial CyberSecurity for Networks анализ трафика промышленной сети обеспечивает следующая функциональность:
- Контроль активов. Эта функциональность позволяет отслеживать активность устройств и изменение сведений об устройствах на основании данных, полученных в сетевых пакетах. Для автоматического получения сведений об устройствах программа анализирует трафик промышленной сети по правилам определения сведений об устройствах и протоколов взаимодействия устройств. Дополнительно программа может определять параметры устройств для контроля процесса. Также совместно с функциональностью контроля процесса обеспечивается контроль чтения и записи проектов для программируемых логических контроллеров. Для контроля устройств в программе формируется таблица, которая содержит сведения, полученные автоматически из трафика или указанные вручную.
- Контроль взаимодействий. Эта функциональность позволяет отслеживать взаимодействия между устройствами промышленной сети. Обнаруженные взаимодействия проверяются на соответствие разрешающим правилам контроля взаимодействий. При обнаружении взаимодействия, которое описано во включенном правиле, программа считает это взаимодействие разрешенным и не регистрирует событие.
- Контроль технологического процесса (далее также "контроль процесса"). Эта функциональность позволяет отслеживать в трафике значения параметров технологического процесса и системные команды, передаваемые или получаемые устройствами. Для отслеживания значений параметров технологического процесса используются правила контроля процесса, по которым программа определяет недопустимые значения. Списки отслеживаемых системных команд формируются при настройке параметров устройств для контроля процесса.
- Обнаружение вторжений. Эта функциональность позволяет обнаруживать в трафике признаки атак или нежелательную сетевую активность. Для обнаружения используются правила обнаружения вторжений и встроенные алгоритмы проверки сетевых пакетов. При обнаружении в трафике условий, заданных в активном правиле обнаружения вторжений, программа регистрирует событие срабатывания правила. С помощью встроенных алгоритмов проверки сетевых пакетов программа обнаруживает признаки подмены адресов в ARP-пакетах и различные аномалии в протоколах TCP и IP.
Настройку функциональности для анализа трафика промышленной сети выполняет пользователь программы с ролью Администратор.
Функциональность для решения типовых задач оператора
Для решения типовых задач при наблюдении за состоянием технологического процесса и устройств в Kaspersky Industrial CyberSecurity for Networks можно использовать учетные записи пользователей программы с ролью Оператор. Эти пользователи могут использовать следующую функциональность:
- Отображение сведений для мониторинга системы в онлайн-режиме. Эта функциональность позволяет просматривать наиболее значимые изменения в системе, произошедшие к текущему моменту. При мониторинге системы в онлайн-режиме вы можете контролировать потребление аппаратных ресурсов, различные динамические данные и основные сведения об устройствах и событиях.
- Отображение данных на карте сети. Эта функциональность позволяет визуально отображать обнаруженные взаимодействия между устройствами промышленной сети. При просмотре карты сети вы можете быстро определить проблемные объекты или объекты с другими признаками и просмотреть сведения об этих объектах. Для удобного представления информации предусмотрены возможности распределения устройств на карте сети автоматически или вручную.
- Отображение сведений о событиях и инцидентах. Эта функциональность позволяет загрузить зарегистрированные события и инциденты из базы данных Сервера и отобразить эти сведения как в таблице событий, так и в виде взаимодействовавших объектов на карте сети. По умолчанию, чтобы обеспечить возможность мониторинга новых событий и инцидентов, программа загружает события и инциденты с наиболее поздним временем последнего появления. Также вы можете загружать события и инциденты за любой период. При просмотре таблицы событий вы можете изменять статусы событий и инцидентов, копировать и экспортировать данные, загружать трафик и выполнять другие действия.
- Отображение значений тегов в онлайн-режиме. Эта функциональность позволяет просматривать текущие значения параметров технологического процесса, которые обнаружены в трафике на текущий момент. Информация о получаемых значениях отображается в таблице тегов, сформированной для контроля процесса.
- Отображение сведений об обнаруженных уязвимостях устройств. Эта функциональность позволяет обнаруживать уязвимости в контролируемых устройствах промышленной сети. Для обнаружения уязвимостей программа сравнивает имеющиеся сведения об устройствах с определенными полями в базе данных уязвимостей. Информацию об уязвимостях можно просматривать как при работе с устройствами, так и в общей таблице уязвимостей.
- Отображение сведений для централизованного контроля в Kaspersky Security Center Web Console. Эта функциональность позволяет просматривать сведения о состоянии безопасности информационных систем, в которых функционируют компоненты программы (включая варианты развертывания с несколькими Серверами Kaspersky Industrial CyberSecurity for Networks). При работе с Kaspersky Security Center Web Console вы можете просматривать сведения в веб-виджетах и на картах размещения компонентов, выполнять поиск устройств и событий в Kaspersky Industrial CyberSecurity for Networks, а также выполнять переходы из Kaspersky Security Center Web Console на страницы веб-интерфейса Серверов.
Функциональность для управления работой программы
Для управление работой программы в части общей настройки и контроля использования пользователь программы с ролью Администратор может использовать следующую функциональность:
- Управление технологиями. Эта функциональность позволяет включать и выключать использование технологий и методов для анализа трафика промышленной сети, а также изменять режим работы технологий и методов. Вы можете включать, выключать и изменять режим работы технологий и методов независимо друг от друга.
- Управление узлами и точками мониторинга. Эта функциональность позволяет добавить в программу узлы сенсоров и точки мониторинга для получения трафика из промышленной сети. Также с помощью этой функциональности можно временно приостанавливать и возобновлять наблюдение за сегментами промышленной сети, выключая и включая соответствующие точки мониторинга (например, на время проведения профилактических и пусконаладочных работ на АСУ ТП).
- Функциональность настройки получения данных от EPP-программ. Эта функциональность позволяет выбрать узлы с установленными компонентами программы, которые будут получать и обрабатывать данные от других программ "Лаборатории Касперского", выполняющих функции защиты рабочих станций и серверов. Эти программы входят в состав системы защиты конечных устройств (англ. Endpoint Protection Platform, EPP) и устанавливаются на конечные устройства внутри IT-инфраструктуры организации (далее также "EPP-программы"). При получении данных от EPP-программ Kaspersky Industrial CyberSecurity for Networks может регистрировать события, добавлять устройства и обновлять сведения об устройствах.
- Разделение доступа к функциям программы. Эта функциональность позволяет разграничить доступ пользователей к функциям программы. Разграничение доступа выполняется на основе ролей учетных записей пользователей программы.
- Контроль состояния программы. Эта функциональность позволяет контролировать текущее состояние Kaspersky Industrial CyberSecurity for Networks, а также просматривать сообщения программы и записи аудита действий пользователей за любой период. Доступ к журналу с сообщениями программы имеют также пользователи с ролью Оператор.
- Обновление баз и программных модулей. Эта функциональность позволяет загружать и устанавливать обновления, повышающие эффективность анализа трафика и обеспечивающие максимальную защиту от угроз в промышленной сети. Функциональность обновления доступна после добавления лицензионного ключа в Kaspersky Industrial CyberSecurity for Networks или в Kaspersky Security Center. Вы можете запускать установку обновлений автоматически в соответствии с заданным расписанием или вручную.
- Функциональность настройки типов регистрируемых событий. Эта функциональность позволяет сформировать и настроить список типов событий для регистрации в Kaspersky Industrial CyberSecurity for Networks и передачи в сторонние системы (например, в SIEM-систему), а также в Kaspersky Security Center.
- Управление журналами. Эта функциональность позволяет изменить параметры сохранения данных в журналах работы программы. Вы можете настраивать параметры хранения записей в журналах и параметры сохранения трафика в базе данных. Также вы можете изменять уровни ведения журналов работы процессов.
- Использование интерфейса прикладного программирования. Эта функциональность позволяет использовать в сторонних программах набор функций, реализуемых через Kaspersky Industrial CyberSecurity for Networks API. С помощью Kaspersky Industrial CyberSecurity for Networks API вы можете получать данные о событиях, о тегах, отправлять события в Kaspersky Industrial CyberSecurity for Networks и выполнять другие действия.
Рекомендации по обеспечению безопасной работы Kaspersky Industrial CyberSecurity for Networks
Чтобы обеспечить безопасную работу программы на предприятии, рекомендуется усилить защиту компьютеров, на которых установлены Сервер и сенсоры Kaspersky Industrial CyberSecurity for Networks, после установки Kaspersky Industrial CyberSecurity for Networks. Требуемый уровень защиты для безопасной работы программы реализуется операционной системой и ее средствами защиты. Для поддержания безопасного состояния рекомендуется регулярно устанавливать обновления баз и программных модулей Kaspersky Industrial CyberSecurity for Networks и обновления безопасности операционной системы.
К оборудованию, на котором работает программа, рекомендуется ограничить физический доступ, чтобы предотвратить следующие возможные последствия:
- несанкционированное выключение оборудования (или его отключение от сети);
- подключение технических средств для перехвата передаваемых данных;
- кража жестких дисков с данными;
- уничтожение или подмена данных на жестких дисках с использованием другого оборудования.
При внедрении Kaspersky Industrial CyberSecurity for Networks рекомендуются следующие меры:
- Ограничение удаленного и локального доступа к компьютерам с установленными компонентами Kaspersky Industrial CyberSecurity for Networks.
- Регулярная проверка и обновление парольных политик для действующих учетных записей в операционных системах на компьютерах с установленными компонентами программы. Парольные политики должны соответствовать рекомендациям по обеспечению требуемого уровня безопасности операционной системы.
- Обеспечение доступа к интерфейсам программы исключительно для персонала, обладающего полномочиями для установки и настройки программы, а также для пользователей, которые решают типовые задачи с помощью программы (операторы).
- Контроль физического доступа к оборудованию, на котором работает программа, и к используемому сетевому оборудованию с помощью технических средств или службы охраны.
- Мониторинг контролируемых помещений с помощью средств охранной сигнализации и видеонаблюдения.
При передаче событий программы в сторонние системы (кроме Kaspersky Security Center), безопасность передачи данных не обеспечивается программой. Рекомендуется обеспечить безопасность передачи данных другими средствами.
Для использования средств управления работой программы дополнительно рекомендуются следующие меры по обеспечению информационной безопасности интранет-системы:
- Обеспечение защиты трафика внутри интранет-системы.
- Обеспечение защиты подключений к внешним сетям.
- Использование цифровых сертификатов, изданных доверенными центрами сертификации.
- Использование учетных данных, удовлетворяющих требованиям к именам и паролям учетных записей пользователей программы.
- Обеспечение конфиденциальности и уникальности паролей.
При угрозе компрометации пароля пользователь программы должен своевременно изменить свой пароль.
- Настроенная синхронизация времени на узлах Kaspersky Industrial CyberSecurity for Networks.
- Завершение сеанса подключения через веб-интерфейс перед окончанием работы с браузером.
Для принудительного завершения сеанса подключения нужно использовать пункт Выход в меню пользователя.
Что нового
В Kaspersky Industrial CyberSecurity for Networks 3.1 появились следующие возможности и доработки:
- Добавлена функциональность для централизованного контроля состояния безопасности информационных систем, в которых функционирует программа – при использовании веб-плагина управления Kaspersky Industrial CyberSecurity for Networks в Kaspersky Security Center 13.2 Web Console появляются возможности мониторинга систем и Серверов с помощью специальных веб-виджетов, поиска событий и устройств, а также размещения компонентов программы на картах (географических, схематических или на любых других изображениях).
- Реализована поддержка (англ. Single Sign-On, SSO) для пользователей, которым доступна возможность работы с Kaspersky Security Center Web Console (включая пользователей Active Directory) – эти пользователи могут переходить со страницы Kaspersky Security Center Web Console на страницу веб-интерфейса Сервера Kaspersky Industrial CyberSecurity for Networks и подключаться к Серверу со своими учетными данными. Для аутентификации пользователей требуется предварительно настроить использование технологии единого входа в Kaspersky Security Center и Kaspersky Industrial CyberSecurity for Networks.
- Добавлена возможность работы в режиме интеграции с программой защиты конечных устройств (англ. ) – Kaspersky Industrial CyberSecurity for Nodes. При настройке получения данных от этих программ дополнительно требуется установить программу Kaspersky Endpoint Agent. При работе в режиме интеграции Kaspersky Industrial CyberSecurity for Networks получает данные от узлов, защищенных Kaspersky Industrial CyberSecurity for Nodes, и на основе этих данных уточняет информацию о составе устройств, событиях безопасности и сетевых взаимодействиях. Данные от EPP-программ позволяют проводить инвентаризацию промышленной сети и отслеживать взаимодействия устройств даже без использования точек мониторинга на узлах с установленными компонентами программы (если на эти узлы добавлены серверы интеграции для получения данных). Переданные события безопасности от Kaspersky Industrial CyberSecurity for Nodes расширяют возможности Kaspersky Industrial CyberSecurity for Networks по обнаружению инцидентов и позволяют выявлять большее количество атак во всех контролируемых сегментах вычислительных сетей. Для регистрации событий по данным от EPP-программ используются системные типы событий по технологиям Защита конечных устройств и Контроль активов. Данные о EPP-программах, установленных на устройствах, отображаются в таблице устройств, на узлах карты сети и на виджете в разделе Мониторинг.
- Дополнена база данных для контроля уязвимостей устройств – для обнаруженных уязвимостей в таблице раздела Уязвимости указываются источники, из которых загружены сведения в базу данных. Для обнаружения уязвимостей только определенных источников вы можете выбрать нужные источники путем включения и выключения использования источников.
- Расширены функциональные возможности интерфейса прикладного программирования (API) – при работе с событиями можно изменять их статусы, устанавливать метки и отправлять запросы на загрузку трафика для событий. При работе с разрешающими правилами можно отправлять запросы на получение списка правил, а также включение, выключение и удаление правил. Добавлены возможности получения сведений о текущих состояниях и режимах работы технологий. Добавлена возможность получения информации о добавленном лицензионном ключе.
- Расширен список поддерживаемых типов внешних проектов для импорта – в программу можно импортировать различные типы проектов, содержащих конфигурации параметров контроля процесса для устройств.
- Расширена поддержка протоколов прикладного уровня и устройств для контроля процесса – реализованы дополнительные возможности анализа трафика поддерживаемых протоколов и устройств и добавлены новые поддерживаемые протоколы и устройства.
Архитектура программы
Kaspersky Industrial CyberSecurity for Networks включает в себя следующие компоненты:
- Сервер – основной компонент, который принимает данные, обрабатывает и предоставляет их пользователям программы. Полученная информация (например, события и сведения об устройствах) сохраняется на Сервере в базе данных. В каждой схеме развертывания Kaspersky Industrial CyberSecurity for Networks может использоваться только один Сервер.
- Сенсор – компонент, который под управлением Сервера получает и анализирует данные из вычислительных сетей, подключенных к сетевым интерфейсам компьютера. Результаты анализа данных сенсор передает на Сервер. По запросам Сервера сенсор может отправлять на Сервер полученные данные в том виде, в котором они поступили для анализа (например, трафик, относящийся к зарегистрированным событиям). Сенсоры устанавливаются на отдельных компьютерах. Если компьютер выполняет функции Сервера, на этот компьютер невозможно установить сенсор. В программе может использоваться до 32 сенсоров.
Безопасность соединений Сервера и сенсоров обеспечивается с использованием сертификатов. С помощью сертификатов также обеспечивается безопасность и других соединений с компонентами программы (например, подключение к компоненту через веб-интерфейс или подключение сторонних систем через специальные программные модули – коннекторы).
Сервер Kaspersky Industrial CyberSecurity for Networks выполняет следующие функции:
- управляет сенсорами и принимает от них результаты анализа данных, полученных из вычислительных сетей;
- обрабатывает и сохраняет полученные сведения об устройствах и их взаимодействиях;
- регистрирует и сохраняет события;
- выполняет дополнительный анализ накопленной информации для обнаружения угроз и инцидентов (например, по правилам корреляции событий);
- контролирует работоспособность программы;
- контролирует действия пользователей программы;
- обрабатывает поступающие запросы через веб-интерфейс и коннекторы и предоставляет запрашиваемые данные.
Сенсор Kaspersky Industrial CyberSecurity for Networks выполняет следующие функции:
- анализирует трафик промышленной сети, который поступает на сетевые интерфейсы компьютера с точками мониторинга:
- выделяет из трафика данные о взаимодействиях устройств и о технологических параметрах;
- выявляет признаки атак в трафике;
- через подключения к другим вычислительным сетям получает данные от программ "Лаборатории Касперского", выполняющих функции защиты рабочих станций и серверов (EPP-программ);
- регистрирует события по результатам анализа данных;
- передает события, информацию о трафике, об устройствах и о технологических параметрах на Сервер Kaspersky Industrial CyberSecurity for Networks.
Компоненты программы получают копию трафика промышленной сети от точек мониторинга. Точки мониторинга могут использоваться как на сенсорах, так и на Сервере. Вы можете добавить точки мониторинга на сетевые интерфейсы, обнаруженные на узлах с установленными компонентами программы. Точки мониторинга требуется добавить на сетевые интерфейсы, через которые поступает трафик из промышленной сети.
Вы можете добавить не более 8 точек мониторинга на сенсоре и не более 4 точек мониторинга на Сервере. Всего в программе вы можете использовать не более 32 точек мониторинга.
Все сетевые интерфейсы, на которые добавлены точки мониторинга, должны быть подключены к промышленной сети таким образом, чтобы исключить возможность влияния на промышленную сеть. Например, для подключения можно использовать порты сетевых коммутаторов промышленной сети, настроенные на передачу зеркалированного трафика (Switched Port Analyzer, SPAN).
Для соединения с Сервером сенсоров и других компонентов решения Kaspersky Industrial CyberSecurity (Kaspersky Industrial CyberSecurity for Nodes, Kaspersky Security Center) рекомендуется использовать выделенную сеть Kaspersky Industrial CyberSecurity. Сетевое оборудование для взаимодействия компонентов в выделенной сети должно быть установлено отдельно от промышленной сети. В общем случае к выделенной сети следует подключить следующие компьютеры и устройства:
- узел Сервера Kaspersky Industrial CyberSecurity for Networks;
- узлы сенсоров Kaspersky Industrial CyberSecurity for Networks;
- компьютеры для подключения к Серверу и сенсорам через веб-интерфейс;
- компьютеры с Kaspersky Industrial CyberSecurity for Nodes;
- компьютеры с Kaspersky Endpoint Agent;
- компьютер с Kaspersky Security Center;
- сетевой коммутатор.
Типовые схемы развертывания
В Kaspersky Industrial CyberSecurity for Networks предусмотрены следующие способы установки компонентов:
- установка Сервера без внешних сенсоров;
- установка Сервера и внешних сенсоров.
При необходимости для подключения Сервера и/или сенсоров к промышленной сети может использоваться диод данных.
При любом способе установки рекомендуется использовать специальную выделенную сеть для соединения компонентов решения Kaspersky Industrial CyberSecurity (Kaspersky Industrial CyberSecurity for Networks, Kaspersky Industrial CyberSecurity for Nodes, Kaspersky Security Center). Минимальное требование к пропускной способности выделенной сети при установке Сервера и сенсоров Kaspersky Industrial CyberSecurity for Networks см. в разделе Аппаратные и программные требования.
Установка Сервера без внешних сенсоров
При установке Сервера без внешних сенсоров все данные для обработки и анализа поступают только на компьютер, выполняющий функции Сервера. Вы можете применить этот способ установки, если компьютер имеет достаточное количество сетевых интерфейсов для получения данных из различных источников.
На компьютере должны быть сетевые интерфейсы для поступления трафика из всех сегментов промышленной сети. Всего таких сетевых интерфейсов должно быть не более четырех, в связи с ограничением на количество точек мониторинга на Сервере.
Также компьютер должен иметь еще один сетевой интерфейс для подключения к Серверу с других компьютеров через веб-интерфейс. На этом сетевом интерфейсе не должно быть точки мониторинга. Этот сетевой интерфейс может использоваться и для подключений через коннекторы, а также для получения данных от EPP-программ.
На рисунке ниже показан пример схемы развертывания Сервера без сенсоров. Сетевые интерфейсы компьютера, выполняющего функции Сервера, подключаются к SPAN-портам сетевых коммутаторов (SPAN-порты и соединения обозначены желтым цветом) и получают копию трафика из трех сегментов промышленной сети. Выделенная сеть Kaspersky Industrial CyberSecurity обозначена линиями зеленого цвета.
Пример схемы развертывания Сервера без сенсоров
В начало
Установка Сервера и внешних сенсоров
Способ установки Сервера и внешних сенсоров предполагает использование от 2 до 33 компьютеров для установки компонентов программы. На одном из компьютеров устанавливается Сервер. На остальных компьютерах устанавливаются сенсоры, которые будут получать данные из вычислительных сетей.
Для получения трафика из промышленной сети требуется добавить точки мониторинга на компьютеры:
- не более 8 точек мониторинга на сенсоре;
- не более 4 точек мониторинга на Сервере;
- не более 32 точек мониторинга в программе.
Точки мониторинга добавляются на соответствующие сетевые интерфейсы компьютеров. Компьютер должен иметь по одному сетевому интерфейсу на каждую точку мониторинга.
Также компьютеры должны иметь отдельные сетевые интерфейсы, которые будут использоваться в следующих целях:
- соединение с Сервером (на компьютерах, которые выполняют функции сенсоров);
- подключение с других компьютеров через веб-интерфейс;
- получение данных от EPP-программ;
- подключение через коннекторы (на компьютере, который выполняет функции Сервера).
Для этих целей на каждом компьютере могут использоваться как несколько отдельных сетевых интерфейсов, так и один общий сетевой интерфейс. На этих сетевых интерфейсах не должно быть точек мониторинга.
На рисунке ниже показан пример схемы развертывания Сервера и трех сенсоров. Сетевые интерфейсы компьютеров, выполняющих функции сенсоров, подключаются к SPAN-портам сетевых коммутаторов (SPAN-порты и соединения обозначены желтым цветом) и получают копию трафика из соответствующих сегментов промышленной сети. Выделенная сеть Kaspersky Industrial CyberSecurity обозначена линиями зеленого цвета.
Пример схемы развертывания Сервера и трех сенсоров
В начало
Подключение Kaspersky Industrial CyberSecurity for Networks к промышленной сети через диод данных
Для подключения Kaspersky Industrial CyberSecurity for Networks к промышленной сети вы можете дополнительно использовать специальные устройства, обеспечивающие одностороннюю передачу данных из промышленной сети. Такие устройства называются диодами данных. Диоды данных могут быть установлены на линиях соединений точек мониторинга Kaspersky Industrial CyberSecurity for Networks и SPAN-портов сетевых коммутаторов.
На рисунке ниже показан пример подключения через диод данных к точке мониторинга на Сервере. В этой схеме развертывания применяется способ установки Сервера без внешних сенсоров.
Пример подключения Сервера через диод данных
В примере (см. рис. ниже) показано подключение нескольких сенсоров Kaspersky Industrial CyberSecurity for Networks через диоды данных. В этой схеме развертывания применяется способ установки Сервера и трех сенсоров.
Пример подключения сенсоров через диоды данных
В начало
Установка и удаление программы
Этот раздел содержит пошаговые инструкции по установке и удалению Kaspersky Industrial CyberSecurity for Networks.
Подготовка к установке программы
Перед началом установки Kaspersky Industrial CyberSecurity for Networks убедитесь, что компьютеры удовлетворяют аппаратным и программным требованиям. Также убедитесь, что соблюдаются рекомендации по обеспечению безопасной работы в отношении оборудования, аппаратного и программного обеспечения компьютеров.
Для работы компонентов программы рекомендуется использовать отдельные компьютеры, на которых установлено только программное обеспечение из состава операционной системы. Если на компьютерах установлено прикладное программное обеспечение сторонних производителей, производительность компонентов Kaspersky Industrial CyberSecurity for Networks может быть снижена.
Для установки компонентов программы на каждом компьютере должна быть учетная запись пользователя с root-правами, от имени которого будет выполняться установка. Вы можете добавить нужные учетные записи с помощью стандартных средств операционной системы.
В зависимости от используемого скрипта установки компонентов программы и от типа устанавливаемых компонентов программы вы можете выполнить следующие действия для подготовки к установке программы:
- Подготовка к централизованной установке компонентов
- Подготовка к локальной установке Сервера
- Подготовка к локальной установке сенсора
Используемые порты для установки и работы компонентов
Для установки и работы компонентов Kaspersky Industrial CyberSecurity for Networks должны быть доступны определенные порты и протоколы, которые будут использоваться для передачи данных. Вам нужно настроить доступность портов и протоколов в параметрах сетевого оборудования или программного обеспечения, с помощью которого контролируется сетевой трафик.
На рисунке ниже показаны порты и протоколы, используемые компонентами программы.
Используемые порты и протоколы
Назначение используемых портов описано в таблице ниже.
Назначение используемых портов
Порт |
Протокол |
Описание |
|---|---|---|
Компьютер для установки компонентов программы |
||
22 |
TCP (SSH) |
Используется для подключения к узлам и установки компонентов Сервера и сенсоров. |
Компьютер, выполняющий функции Сервера |
||
22 |
TCP (SSH) |
Используется для взаимодействия с компьютером для установки компонентов программы. |
80 |
TCP (HTTP) |
Используется для подключения через веб-интерфейс. |
443 |
TCP (HTTPS) |
Используется для следующих целей:
|
8080 |
TCP (HTTP) |
Используется для подключения через Kaspersky Industrial CyberSecurity for Networks API. |
8081 |
TCP (HTTP) |
Используется для получения данных от EPP-программ (если на узел Сервера добавлен сервер интеграции). |
514 |
TCP |
Используется для подключения сторонних систем через коннекторы. |
13000 |
TCP |
Используется для подключения к Серверу администрирования Kaspersky Security Center. |
13520 |
TCP |
Используется для подключений сенсоров. |
15000 |
UDP |
Используется для взаимодействия программы с Kaspersky Security Center. |
Компьютер, выполняющий функции сенсора |
||
22 |
TCP (SSH) |
Используется для взаимодействия с компьютером для установки компонентов программы. |
80 |
TCP (HTTP) |
Используется для подключения через веб-интерфейс. |
8081 |
TCP (HTTP) |
Используется для получения данных от EPP-программ (если на узел сенсора добавлен сервер интеграции). |
Использование скрипта централизованной установки компонентов программы
В этом разделе приведены сведения о возможностях использования скрипта централизованной установки компонентов программы kics4net-deploy-<номер версии программы>.bundle.sh. Вы можете использовать этот скрипт для централизованной установки и удаления Сервера и сенсоров Kaspersky Industrial CyberSecurity for Networks.
Если установка или удаление компонентов программы выполняются с помощью скрипта kics4net-deploy-<номер версии программы>.bundle.sh, применять скрипты локальной установки или локального удаления, входящие в комплект поставки программы, не обязательно.
Централизованная установка компонентов программы
В этом разделе описана процедура централизованной установки компонентов программы с помощью скрипта kics4net-deploy-<номер версии программы>.bundle.sh.
Перед централизованной установкой компонентов требуется выполнить действия для подготовки к установке программы.
Скрипт централизованной установки компонентов программы использует данные, сохраненные в файле параметров установки. Для запуска скрипта не требуются root-права для текущей учетной записи на компьютере, с которого будет выполняться установка.
При централизованной установке компонентов программы по умолчанию выполняется проверка контрольных сумм пакетов в директории с сохраненными файлами из комплекта поставки. Проверка позволяет определить целостность файлов с пакетами для установки программы путем сравнения вычисленных контрольных сумм пакетов с эталонными значениями. Если хотя бы для одного пакета вычисленная контрольная сумма не совпала с эталонным значением, скрипт установки прерывает свою работу.
Рекомендуется выполнять централизованную установку компонентов программы с включенной проверкой контрольных сумм пакетов. При необходимости вы можете выключить проверку контрольных сумм пакетов, однако в этом случае не гарантируется правильная установка компонентов программы.
Чтобы централизованно установить компоненты Kaspersky Industrial CyberSecurity for Networks на компьютеры:
- На компьютере, с которого будет выполняться установка, перейдите в директорию с сохраненными файлами из комплекта поставки Kaspersky Industrial CyberSecurity for Networks.
- Введите команду запуска скрипта централизованной установки компонентов программы:
bash kics4net-deploy-<номер версии программы>.bundle.shЕсли по каким-либо причинам требуется выключить проверку контрольных сумм пакетов для установки программы, вы можете ввести команду запуска скрипта с параметром
--skip-checksum-validation. Этот параметр предназначен только для тестирования и не должен использоваться при нормальной установке компонентов программы.На экране отобразится предложение выбрать язык для меню установки.
- Выберите язык, который вы хотите использовать в меню установки.
Выбор используемого языка для меню установки не влияет на язык локализации компонентов Kaspersky Industrial CyberSecurity for Networks. Возможность выбора языка локализации компонентов программы доступна при начальной настройке Kaspersky Industrial CyberSecurity for Networks после установки Сервера.
- Если при запуске скрипта не был указан параметр
--skip-checksum-validation, после выбора языка для меню установки выполняется проверка контрольных сумм пакетов в директории с сохраненными файлами из комплекта поставки. Дождитесь завершения проверки контрольных сумм пакетов.Если хотя бы для одного пакета вычисленная контрольная сумма не совпала с эталонным значением, скрипт установки прерывает свою работу. В этом случае замените поврежденные файлы на исходные файлы из комплекта поставки и снова запустите скрипт централизованной установки компонентов программы.
- В меню выбора варианта установки выберите пункт Выполнить новую установку.
На экране отобразится главное меню централизованной установки.
- Выполните следующие действия:
- С помощью пункта меню Добавить Сервер добавьте узел Сервера Kaspersky Industrial CyberSecurity for Networks.
- При установке Сервера с сенсорами добавьте узлы сенсоров с помощью пункта меню Добавить сенсор.
- С помощью пункта меню Изменить пользователя, от имени которого выполняется установка укажите учетную запись пользователя с root-правами, от имени которого будет выполняться централизованная установка компонентов программы. Эта учетная запись будет использоваться на тех узлах, для которых не указана дополнительная учетная запись при настройке дополнительных параметров.
- По окончании настройки параметров выберите пункт Сохранить параметры и начать установку.
На экране отобразится приглашение для ввода пароля пользователя, от имени которого выполняется установка.
- Введите пароль пользователя, от имени которого выполняется установка. Пароль требуется ввести дважды: сначала в приглашении
SSH passwordи затем в приглашенииBECOME password.Скрипт установки начнет установку компонентов. Во время установки на экране выводятся служебные сообщения о выполняемых операциях.
Дождитесь завершения работы скрипта kics4net-deploy-<номер версии программы>.bundle.sh.
После завершения установки компонентов Kaspersky Industrial CyberSecurity for Networks программа не выполняет функции по контролю промышленной сети. Чтобы использовать программу, вам нужно выполнить действия для подготовки программы к работе.
Команды меню централизованной установки
В этом разделе приведены сведения об основных командах меню централизованной установки. Меню выводится на экран при запуске скрипта централизованной установки компонентов программы kics4net-deploy-<номер версии программы>.bundle.sh. Этот файл требуется запускать в директории, созданной при подготовке к установке программы.
С помощью меню централизованной установки вы можете создать или изменить конфигурацию параметров установки программы и запустить процедуру установки или удаления компонентов.
Меню установки имеет иерархическую структуру пунктов. На первом уровне представлены пункты главного меню. Для выбора нужного пункта требуется ввести его номер и нажать на клавишу ENTER. Если выбранный пункт выполняет переход к другой группе пунктов, на экране появляется вложенное меню.
Пункты меню, которые задают значения параметров, могут иметь значения по умолчанию или ранее заданные значения. Такие значения отображаются в квадратных скобках в конце названия пункта.
Главное меню содержит следующие группы команд:
- команды управления установкой Сервера
- команды управления установкой сенсоров
- общие команды установки
- команды выхода из меню установки
Изменение параметров и централизованная переустановка компонентов программы
Вы можете централизованно выполнить переустановку компонентов Kaspersky Industrial CyberSecurity for Networks. Переустановка компонентов может потребоваться, например, в следующих случаях:
- для добавления нового сенсора;
- для изменения параметров, которые могут быть заданы с помощью скрипта централизованной установки компонентов программы.
Для централизованной переустановки компонентов программы скрипт kics4net-deploy-<номер версии программы>.bundle.sh использует файл параметров установки, который был сохранен на компьютере. Если на этом компьютере файл параметров установки поврежден или не найден в исходной директории, скрипт централизованной установки программы выполняет поиск копии файла на этом компьютере и на других компьютерах с установленными компонентами программы.
Чтобы централизованно переустановить компоненты Kaspersky Industrial CyberSecurity for Networks:
- Запустите скрипт централизованной установки программы, выполнив пункты 1–4 процедуры установки.
- В меню выбора варианта установки выберите пункт Изменить параметры текущей установки.
На экране отобразится главное меню централизованной установки.
- Выполните следующие действия (в зависимости от нужного результата):
- С помощью пункта меню Изменить параметры Сервера укажите нужные параметры Сервера.
Вы не можете изменить IP-адрес Сервера. Если вы хотите изменить IP-адрес, вам нужно сначала удалить имеющийся Сервер и затем добавить его заново с новым IP-адресом с помощью пункта меню Добавить Сервер (этот пункт меню появляется, если Сервер не добавлен).
- При установке Сервера с сенсорами укажите нужные параметры сенсоров с помощью пункта меню Изменить параметры сенсора.
Вы не можете изменить IP-адрес ранее добавленного сенсора. Если вы хотите изменить IP-адрес, вам нужно сначала удалить имеющийся сенсор и затем добавить его заново с новым IP-адресом с помощью пункта меню Добавить сенсор. Вы также можете использовать этот пункт меню для добавления новых сенсоров.
- С помощью пункта меню Изменить пользователя, от имени которого выполняется установка укажите имя пользователя с root-правами, от имени которого будет выполняться централизованная установка компонентов программы на компьютерах. Эта учетная запись будет использоваться на тех узлах, для которых не указана дополнительная учетная запись при настройке дополнительных параметров Сервера или сенсоров.
- С помощью пункта меню Изменить параметры Сервера укажите нужные параметры Сервера.
- По окончании настройки параметров выберите пункт Сохранить параметры и начать установку.
На экране отобразится приглашение для ввода пароля пользователя, от имени которого выполняется установка.
- Введите пароль пользователя, от имени которого выполняется установка. Пароль требуется ввести дважды: сначала в приглашении
SSH passwordи затем в приглашенииBECOME password.Скрипт установки начнет установку компонентов. Во время установки на экране выводятся служебные сообщения о выполняемых операциях.
Дождитесь завершения работы скрипта kics4net-deploy-<номер версии программы>.bundle.sh.
Централизованная установка компонентов программы в неинтерактивном режиме
Вы можете централизованно установить компоненты программы в неинтерактивном режиме, то есть без интерактивного ввода параметров установки. Для неинтерактивной централизованной установки требуется использовать специальные параметры при запуске скрипта централизованной установки компонентов программы kics4net-deploy-<номер версии программы>.bundle.sh.
Для неинтерактивной централизованной установки требуется подготовить файл параметров установки. Вы можете подготовить файл параметров установки с помощью скрипта kics4net-deploy-<номер версии программы>.bundle.sh.
Чтобы подготовить файл параметров централизованной установки с помощью скрипта:
- Настройте параметры централизованной установки, выполнив пункты 1–6 процедуры установки.
- Сохраните файл параметров установки с помощью пункта меню Сохранить параметры и выйти без установки.
Файл параметров установки inventory.json сохранится в директории /home/<user>/.config/kaspersky/kics4net-deploy/ (при этом компоненты программы не будут установлены).
- При необходимости скопируйте файл параметров централизованной установки в другую директорию.
После подготовки файла параметров централизованной установки вы можете централизованно установить компоненты программы в неинтерактивном режиме.
При централизованной установке компонентов программы в неинтерактивном режиме не выполняется проверка контрольных сумм пакетов в директории с сохраненными файлами из комплекта поставки. Вы можете проверить контрольные суммы пакетов, выполнив пункты 1–4 процедуры установки перед запуском централизованной установки компонентов в неинтерактивном режиме.
Чтобы централизованно установить компоненты программы в неинтерактивном режиме:
- На компьютере, с которого будет выполняться централизованная установка, перейдите в директорию с сохраненными файлами из комплекта поставки Kaspersky Industrial CyberSecurity for Networks.
- Введите команду:
bash kics4net-deploy-<номер версии программы>.bundle.sh --silent-modeгде
silent-mode– параметр включения неинтерактивного режима установки (обязательный параметр).Дополнительно к обязательному параметру вы можете указать следующие параметры запуска скрипта установки:
-i <путь к файлу параметров установки>– указывает полный путь и имя файла параметров централизованной установки. Если параметр не задан, используется файл inventory.json в директории /home/<user>/.config/kaspersky/kics4net-deploy/.--enable-debug-grpc-server– устанавливает отладочный gRPC-сервер. Этот gRPC-сервер используется для тестирования и не требуется при нормальном использовании программы.Если запуск скрипта выполнен с параметром
--enable-debug-grpc-server, это приводит к выходу программы из сертифицированного состояния.
После ввода команды запуска скрипта на экране отобразится приглашение для ввода пароля пользователя, от имени которого выполняется централизованная установка.
- Введите пароль пользователя, от имени которого выполняется централизованная установка. Пароль требуется ввести дважды: сначала в приглашении
SSH passwordи затем в приглашенииBECOME password.Скрипт централизованной установки начнет установку компонентов. Во время установки на экране выводятся служебные сообщения о выполняемых операциях.
Дождитесь завершения работы скрипта kics4net-deploy-<номер версии программы>.bundle.sh.
В начало
Усиление защиты компьютеров с установленными компонентами программы
После установки Kaspersky Industrial CyberSecurity for Networks рекомендуется усилить защиту операционных систем на компьютерах с установленными компонентами программы. Для усиления защиты вы можете использовать скрипт централизованной установки компонентов программы kics4net-deploy-<номер версии программы>.bundle.sh или скрипт для локального запуска kics4net-harden.sh, который находится на компьютере с установленным компонентом программы в директории /opt/kaspersky/kics4net/sbin/.
С помощью скрипта вы можете выполнить следующие действия:
- включить запрет запуска сервисов операционной системы, которые не требуются для работы компонентов программы (например, avahi-daemon и cups);
- изменить параметры сетевой конфигурации, влияющие на защищенность операционной системы (например, включить запрет обработки сетевых пакетов перенаправления по протоколу ICMP).
Скрипт централизованной установки компонентов программы выполняет действия по усилению защиты на всех компьютерах, на которых установлены компоненты программы.
Для усиления защиты скрипт использует файл параметров централизованной установки, который был сохранен на компьютере. Если на этом компьютере файл параметров централизованной установки поврежден или не найден в исходной директории, скрипт выполняет поиск копии файла на этом компьютере и на других компьютерах с установленными компонентами программы.
Чтобы усилить защиту компьютеров с помощью скрипта kics4net-deploy-<номер версии программы>.bundle.sh:
- На компьютере, с которого выполнялась централизованная установка, перейдите в директорию с сохраненными файлами из комплекта поставки Kaspersky Industrial CyberSecurity for Networks.
- Введите команду:
bash kics4net-deploy-<номер версии программы>.bundle.sh --harden <параметр>где
<параметр>– один из следующих параметров запуска:-s– параметр для включения запрета запуска сервисов операционной системы;-n– параметр для изменения параметров сетевой конфигурации;-a– параметр для включения запрета запуска сервисов операционной системы и изменения параметров сетевой конфигурации.
- В приглашениях
SSH passwordиBECOME passwordвведите пароль учетной записи пользователя, от имени которого выполняется централизованная установка.
Дождитесь завершения работы скрипта kics4net-deploy-<номер версии программы>.bundle.sh. При успешном завершении на экране отобразится информация о выполненных действиях на компьютерах с установленными компонентами программы.
В начало
Централизованное удаление компонентов программы
Удаление компонентов Kaspersky Industrial CyberSecurity for Networks может выполняться централизованно с помощью скрипта централизованной установки компонентов программы. Этот скрипт позволяет удалять компоненты программы на узлах Сервера и сенсоров по отдельности или полностью удалить программу как текущей версии, так и предыдущих версий (начиная с версии 2.0).
Для удаления компонентов скрипт kics4net-deploy-<номер версии программы>.bundle.sh использует файл параметров централизованной установки, который был сохранен на компьютере. Если на этом компьютере файл параметров централизованной установки поврежден или не найден в исходной директории, скрипт установки программы выполняет поиск копии файла на этом компьютере и на других компьютерах с установленными компонентами программы.
Чтобы централизованно удалить компоненты программы на отдельных узлах:
- Запустите скрипт централизованной установки компонентов программы, выполнив пункты 1–4 процедуры установки.
- В меню выбора варианта установки выберите пункт Изменить параметры текущей установки.
На экране отобразится главное меню централизованной установки.
- Выполните следующие действия (в зависимости от нужного результата):
- С помощью пункта меню Удалить Сервер удалите узел Сервера.
После удаления узла Сервера нужно добавить другой узел Сервера, чтобы обеспечить работоспособность программы.
- С помощью пункта меню Удалить сенсор удалите узел сенсора (если в программу добавлено несколько сенсоров, выберите нужный узел в списке узлов с добавленными сенсорами).
- С помощью пункта меню Удалить Сервер удалите узел Сервера.
- По окончании настройки параметров выберите пункт Сохранить параметры и начать установку.
- В приглашениях
SSH passwordиBECOME passwordвведите пароль учетной записи пользователя, от имени которого выполняется централизованное удаление компонентов программы.
Дождитесь завершения работы скрипта kics4net-deploy-<номер версии программы>.bundle.sh.
Чтобы полностью удалить программу:
- Запустите скрипт централизованной установки компонентов программы, выполнив пункты 1–4 процедуры установки.
- В меню выбора варианта установки выберите пункт Изменить параметры текущей установки.
На экране отобразится главное меню централизованной установки
- С помощью пункта меню Удалить Сервер удалите узел Сервера.
- Если в программу добавлены сенсоры, с помощью пункта меню Удалить сенсор последовательно удалите все узлы сенсоров.
- С помощью пункта меню Параметры удаления настройте дополнительные параметры централизованного удаления. При выборе этого пункта выводятся следующие запросы:
- Удалить программу вместе с данными. Если вы хотите удалить все данные, сохраненные программой в системе, введите символ
y. Если удалять данные не требуется, введите символn. - Удалить Агент администрирования. Если вы хотите удалить компонент Kaspersky Security Center Агент администрирования, введите символ
y. Если удалять этот компонент не требуется, введите символn. Запрос выводится при обнаружении установленного Агента администрирования.
- Удалить программу вместе с данными. Если вы хотите удалить все данные, сохраненные программой в системе, введите символ
- Выберите пункт Сохранить параметры и начать установку.
- В приглашениях
SSH passwordиBECOME passwordвведите пароль пользователя, от имени которого выполняется централизованное удаление.
Дождитесь завершения работы скрипта kics4net-deploy-<номер версии программы>.bundle.sh.
При удалении Kaspersky Industrial CyberSecurity for Networks не происходит автоматическое удаление дополнительных файлов из комплекта поставки, которые были скопированы на компьютеры вручную (например, пакет с описаниями спецификаций для Kaspersky Industrial CyberSecurity for Networks API). При необходимости эти файлы можно удалить вручную.
В начало
Использование скрипта локальной установки компонентов программы
В этом разделе описана процедура локальной установки компонента программы (Сервера или сенсора) на компьютере с помощью скрипта kics4net-install.sh.
Перед локальной установкой компонентов требуется выполнить действия для подготовки к установке программы.
Скрипт локальной установки компонентов программы может установить на компьютере только один из компонентов: Сервер или сенсор. Если на компьютере уже установлен компонент программы (например, Сервер), на этом компьютере невозможно установить компонент другого типа (в приведенном примере невозможно установить сенсор). При попытке установить на компьютер компонент того же типа, скрипт локальной установки выполняет переустановку компонента.
При установке Сервера автоматически устанавливается компонент Агент администрирования Kaspersky Security Center. Установка Агента администрирования Kaspersky Security Center не выполняется при обнаружении этого компонента, используемого другой программой "Лаборатории Касперского" (чтобы не нарушить взаимодействие этой программы с Сервером администрирования Kaspersky Security Center). При этом функциональность взаимодействия Kaspersky Industrial CyberSecurity for Networks с Kaspersky Security Center может быть доступна не в полном объеме, если версия установленного Агента администрирования отличается от версии этого компонента в комплекте поставки Kaspersky Industrial CyberSecurity for Networks.
Чтобы локально установить компонент Kaspersky Industrial CyberSecurity for Networks на компьютер:
- Выполните вход в систему с учетными данными пользователя с root-правами, от имени которого вы хотите запустить скрипт локальной установки.
- Перейдите в директорию с сохраненными файлами из комплекта поставки Kaspersky Industrial CyberSecurity for Networks.
- Введите команду запуска скрипта локальной установки компонентов программы:
bash kics4net-install.sh --<тип компонента>где
<тип компонента>– один из следующих параметров запуска:server– для установки Сервера;sensor– для установки сенсора.
Скрипт начнет установку компонента. Во время установки на экране выводятся служебные сообщения о выполняемых операциях.
Дождитесь завершения работы скрипта kics4net-install.sh.
Использование скрипта локального удаления компонентов программы
В этом разделе описана процедура локального удаления компонента программы (Сервера или сенсора) на компьютере с помощью скрипта kics4net-remove.sh.
Скрипт локального удаления компонентов программы удаляет на компьютере файлы установленного компонента за исключением данных, сохраненных программой в системе.
Чтобы локально удалить компонент Kaspersky Industrial CyberSecurity for Networks на компьютере:
- Выполните вход в систему с учетными данными пользователя с root-правами, от имени которого вы хотите запустить скрипт локального удаления.
- Перейдите в директорию с сохраненными файлами из комплекта поставки Kaspersky Industrial CyberSecurity for Networks.
- Введите команду запуска скрипта локального удаления компонентов программы:
bash kics4net-remove.shСкрипт начнет удаление компонента. Во время удаления на экране выводятся служебные сообщения о выполняемых операциях.
Дождитесь завершения работы скрипта kics4net-remove.sh.
В начало
Установка плагина управления Kaspersky Industrial CyberSecurity for Networks для Kaspersky Security Center
Плагин управления Kaspersky Industrial CyberSecurity for Networks для Kaspersky Security Center (далее также "плагин управления") должен быть установлен на том компьютере, где установлен Сервер администрирования Kaspersky Security Center. Установку плагина управления нужно выполнять под учетной записью, которая входит в группу локальных администраторов.
Вы можете установить плагин управления одним из следующих способов:
- с помощью мастера;
- из командной строки.
После установки плагин управления Kaspersky Industrial CyberSecurity for Networks для Kaspersky Security Center отображается в списке установленных плагинов управления в свойствах Сервера администрирования Kaspersky Security Center. Подробную информацию о работе с Сервером администрирования Kaspersky Security Center вы можете получить в справочной системе для Kaspersky Security Center.
Чтобы установить плагин управления с помощью мастера:
- На компьютере, где установлен Сервер администрирования Kaspersky Security Center, запустите файл kics4net-sc-plugin_<номер версии плагина>_<код локализации>.msi из комплекта поставки Kaspersky Industrial CyberSecurity for Networks.
Для запуска используйте файл с кодом локализации, который соответствует языку локализации Kaspersky Security Center.
- Следуйте указаниям мастера установки.
Чтобы установить плагин управления из командной строки:
- На компьютере, где установлен Сервер администрирования Kaspersky Security Center, откройте интерфейс командной строки.
- Перейдите к папке, в которой находится файл kics4net-sc-plugin_<номер версии плагина>_<код локализации>.msi из комплекта поставки Kaspersky Industrial CyberSecurity for Networks.
- В командной строке введите команду:
kics4net-sc-plugin_<номер версии плагина>_<код локализации>.msi <параметры запуска msi-файлов>где:
<код локализации>– код локализации плагина управления. Для запуска используйте файл с кодом локализации, который соответствует языку локализации Kaspersky Security Center.<параметры запуска msi-файлов>– один или несколько стандартных параметров запуска, которые предусмотрены для установщика Windows. Вы можете получить сведения о доступных параметрах, выполнив запуск файла с параметром/help.
Обновление предыдущей версии программы
Вы можете обновить предыдущую версию Kaspersky Industrial CyberSecurity for Networks (начиная с версии 3.0). Обновление на текущую версию можно выполнить следующими способами:
- Централизованно на всех узлах, на которых выполнялась установка предыдущей версии программы.
Этот способ выполняется с помощью скрипта централизованной установки компонентов программы путем выполнения процедуры централизованной переустановки компонентов (не удаляя узлы Сервера и сенсоров, на которых вы хотите обновить программу).
- Локально на каждом узле, на котором установлен компонент предыдущей версии программы.
Этот способ выполняется с помощью скрипта локальной установки компонентов программы.
Подготовка программы к работе
После установки компонентов Kaspersky Industrial CyberSecurity for Networks вам нужно подготовить программу к работе. Процесс подготовки состоит из следующих основных этапов:
- Начальная настройка программы
На этом этапе выполняется настройка основных параметров программы после установки Сервера. После выполнения этого этапа Сервер будет доступен для подключения и работы с программой через веб-интерфейс.
- Добавление и подключение сенсоров
Этот этап выполняется для способа установки Сервера и внешних сенсоров. После выполнения этого этапа узлы с установленными сенсорами будут готовы к дальнейшей настройке.
- Добавление точек мониторинга
На этом этапе добавляются точки мониторинга на узлах с установленными компонентами программы. После выполнения этого этапа программа начинает анализировать трафик, поступающий из сегментов промышленной сети на сетевые интерфейсы с точками мониторинга.
- Добавление пользователей программы
На этом этапе создаются учетные записи пользователей программы в дополнение к учетной записи, созданной при начальной настройке программы. После выполнения этого этапа в программе будет несколько учетных записей пользователей, с помощью которых вы сможете разграничить доступ к функциям программы и контролировать выполняемые действия по записям аудита.
- Добавление лицензионного ключа
Этот этап выполняется для добавления в программу лицензионного ключа для активации функциональности обновления. После выполнения этого этапа вы сможете настроить и использовать функциональность обновления баз и программных модулей.
- Настройка обновления баз и программных модулей
Этот этап выполняется, если в программу добавлен лицензионный ключ. После выполнения этого этапа вы сможете устанавливать обновления баз и программных модулей.
- Настройка контроля активов
На этом этапе формируются списки известных программе устройств и подсетей. После выполнения этого этапа в программе будет настроено отслеживание нужных устройств в промышленной сети.
- Настройка контроля процесса
На этом этапе в программе настраиваются параметры устройств для контроля технологического процесса. После выполнения этого этапа вы сможете контролировать с помощью программы параметры технологического процесса (в том числе с помощью правил) и отслеживать передаваемые системные команды.
- Настройка контроля взаимодействий
На этом этапе в программе формируются правила для определения разрешенных и неразрешенных сетевых взаимодействий. После выполнения этого этапа в программе будут настроены правила, разрешающие взаимодействия между определенными устройствами и системные команды (правила, по которым программа не регистрирует события).
- Настройка обнаружения вторжений
Этот этап выполняется для настройки обнаружения вторжений с помощью программы. После выполнения этого этапа вы сможете использовать правила обнаружения вторжений (как встроенные, так и дополнительно загруженные в программу) и отслеживать аномалии трафика с признаками атак.
Начальная настройка программы после установки Сервера
После установки Сервера, выполненной с помощью скрипта централизованной установки или другим способом, программа ожидает завершения начальной настройки. Завершить начальную настройку может любой пользователь, подключившийся к Серверу через веб-интерфейс.
Чтобы выполнить начальную настройку программы после установки Сервера:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс. Для подключения используйте IP-адрес компьютера Сервера.
- Выберите раздел Начальная настройка.
- В поле Язык локализации программы выберите язык локализации компонентов Kaspersky Industrial CyberSecurity for Networks (и данных, которые предоставляют эти компоненты).
- В блоке параметров Учетная запись Администратора задайте имя и пароль учетной записи первого пользователя программы. Этому пользователю будет назначена роль Администратор. Для этого пользователя не требуется регистрация в качестве учетной записи операционной системы компьютера Сервера или другого компьютера.
В качестве имени учетной записи вы можете ввести произвольное имя с использованием прописных и строчных букв латинского алфавита, цифр, точки, а также специальных символов: _ и - (например, Admin_1). Имя должно содержать от 3 до 20 символов, начинаться с буквы и заканчиваться любым поддерживаемым символом, кроме точки.
Пароль должен удовлетворять следующим требованиям:
- содержит от 8 до 256 символов ASCII;
- содержит одну или несколько прописных букв латинского алфавита;
- содержит одну или несколько строчных букв латинского алфавита;
- содержит одну или несколько цифр;
- содержит не более трех одинаковых символов подряд.
- В поле Сервер программы введите имя Сервера в составе решения Kaspersky Industrial CyberSecurity.
Имя Сервера должно быть уникальным (не совпадать с именами сенсоров на других узлах) и может содержать не более 100 символов. Вы можете использовать буквы латинского алфавита, цифры, пробел, а также специальные символы
_и-(например,Server_1). Имя Сервера должно начинаться и заканчиваться любым допустимым символом, кроме пробела. - Ознакомьтесь с условиями Лицензионного соглашения и Политики конфиденциальности. Для этого последовательно откройте документы по соответствующим ссылкам в названиях флажков Я подтверждаю, что полностью прочитал, понимаю и принимаю положения и условия настоящего Лицензионного соглашения и Я понимаю и соглашаюсь, что мои данные будут обрабатываться и пересылаться (в том числе в третьи страны), согласно Политике конфиденциальности. Я подтверждаю, что полностью прочитал и понимаю условия Политики конфиденциальности.
- Если вы полностью согласны с условиями Лицензионного соглашения и Политики конфиденциальности, то установите оба флажка.
Если вы не согласны с условиями Лицензионного соглашения и/или Политики конфиденциальности, то закройте страницу веб-интерфейса и удалите установленные компоненты программы на компьютерах.
- Нажмите на кнопку Продолжить.
После применения заданных параметров откроется страница веб-интерфейса в основном режиме работы программы. Для текущего сеанса подключения будут использованы учетные данные первого пользователя программы.
При необходимости вы можете вернуть Сервер в начальное состояние с помощью скрипта для локального перевода узла в начальное состояние kics4net-reset-to-defaults.sh. Скрипт находится на компьютере с установленным компонентом программы в директории /opt/kaspersky/kics4net/sbin/.
В начало
Запуск и остановка программы
Компонент программы, установленный на компьютере, запускается автоматически при загрузке операционной системы компьютера. Для работы компонента программы требуется выполнить его настройку. Настройка работы компонентов выполняется при подготовке программы к работе.
Программа выполняет функции по анализу трафика промышленной сети, если получает трафик через точки мониторинга. Вы можете выключать и включать точки мониторинга, чтобы приостанавливать и возобновлять анализ трафика, поступающего на эти точки мониторинга.
Узлы с установленными компонентами Kaspersky Industrial CyberSecurity for Networks получают и обрабатывают данные от EPP-программ, если на этих узлах добавлены серверы интеграции. Вы можете выключать и включать серверы интеграции, чтобы приостанавливать и возобновлять получение данных от EPP-программ
Для управления работой программы и просмотра сведений вы можете подключаться к Серверу через веб-интерфейс. По окончании работы с Сервером рекомендуется выполнять действия для завершения сеанса подключения.
Для настройки подключения сенсора к Серверу и просмотра сведений о состоянии подключения вы можете подключаться к сенсору через веб-интерфейс. При подключении к сенсору не требуется вводить учетные данные пользователя, поэтому действия для завершения сеанса подключения не предусмотрены.
Подключение к Серверу через веб-интерфейс
Вы можете подключиться к Серверу через веб-интерфейс с помощью любого поддерживаемого браузера. Подключение возможно с компьютера, который имеет доступ по сети к компьютеру Сервера Kaspersky Industrial CyberSecurity for Networks.
Чтобы подключиться к Серверу Kaspersky Industrial CyberSecurity for Networks:
- Откройте браузер и введите в адресной строке:
https://<имя Сервера>:<порт>где:
<имя Сервера>– IP-адрес или имя компьютера Сервера, используемые веб-сервером на компьютере Сервера;<порт>– номер порта, указанный для веб-сервера.
Если для веб-сервера не указан номер порта (до начальной настройки программы) или указан номер порта по умолчанию (443), в адресной строке достаточно ввести только IP-адрес или имя компьютера Сервера. В этом случае протокол HTTPS и номер порта будут определены автоматически.
- При появлении страницы ввода учетных данных введите имя и пароль пользователя программы и нажмите на кнопку Войти.
В окне браузера откроется страница веб-интерфейса Сервера Kaspersky Industrial CyberSecurity for Networks. В имени закладки браузера со страницей веб-интерфейса будет указано имя Сервера, заданное при начальной настройке программы после установки.
Сеанс подключения к Серверу ограничен по времени. Время действия сеанса составляет 10 часов. Если с момента подключения прошло 10 часов, происходит переход с текущей страницы веб-интерфейса программы на страницу ввода учетных данных. В этом случае для продолжения работы вам потребуется снова ввести имя и пароль пользователя программы.
В начало
Завершение сеанса подключения к Серверу через веб-интерфейс
По окончании работы с Сервером Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс выполните действия для завершения сеанса подключения в браузере.
Если вы закрыли окно браузера без завершения сеанса подключения, сеанс останется действующим. Время действия сеанса составляет 10 часов. В течение этого времени программа может предоставить доступ к веб-интерфейсу Сервера Kaspersky Industrial CyberSecurity for Networks без запроса учетных данных пользователя, если для повторного подключения используются те же компьютер, браузер и учетная запись операционной системы.
Чтобы завершить сеанс подключения к Серверу Kaspersky Industrial CyberSecurity for Networks:
- На странице веб-интерфейса Сервера Kaspersky Industrial CyberSecurity for Networks откройте меню пользователя:
- Если меню свернуто, нажмите на кнопку
. - Если меню развернуто, нажмите на кнопку справа от имени текущего пользователя.
- Если меню свернуто, нажмите на кнопку
- В меню пользователя выберите пункт Выход.
В окне браузера отобразится страница ввода учетных данных.
В начало
Подключение к сенсору через веб-интерфейс
Вы можете подключиться к сенсору Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс. На странице веб-интерфейса сенсора вы можете выполнять следующие действия:
- загружать на сенсор файл свертки для подключения сенсора к Серверу Kaspersky Industrial CyberSecurity for Networks;
- просматривать отпечаток запроса на подпись сертификата для сравнения с отпечатком на странице веб-интерфейса Сервера, если подключение сенсора к Серверу выполняется автоматически по сети;
- просматривать сведения о состоянии подключения сенсора к Серверу.
Для подключения к сенсору через веб-интерфейс вы можете использовать любой поддерживаемый браузер. Подключение возможно с компьютера, который имеет доступ по сети к компьютеру сенсора.
Чтобы подключиться к сенсору Kaspersky Industrial CyberSecurity for Networks,
откройте браузер и введите в адресной строке:https://<имя сенсора>:<порт>
где:
<имя сенсора>– IP-адрес или имя компьютера сенсора, используемые веб-сервером сенсора;<порт>– номер порта, используемый веб-сервером сенсора.
Если для веб-сервера сенсора используется номер порта по умолчанию (443), в адресной строке достаточно ввести только IP-адрес или имя компьютера сенсора. В этом случае протокол HTTPS и номер порта будут определены автоматически.
В окне браузера откроется страница веб-интерфейса сенсора Kaspersky Industrial CyberSecurity for Networks. В имени закладки браузера со страницей веб-интерфейса будет указано имя сенсора, заданное при добавлении сенсора.
В начало
Интерфейс программы
Этот раздел содержит информацию об основных элементах интерфейса программы.
Веб-интерфейс Сервера Kaspersky Industrial CyberSecurity for Networks
При подключении к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс в браузере открывается страница веб-интерфейса Сервера. Содержание страницы веб-интерфейса зависит от режима работы программы и от роли учетной записи подключенного пользователя.
В зависимости от режима работы программы страница веб-интерфейса может содержать следующие элементы управления или сообщения:
- В режиме начальной настройки программы – элементы управления для настройки Сервера после его установки и для просмотра и принятия Лицензионного соглашения и Политики конфиденциальности.
- В основном режиме работы программы – элементы управления для настройки и использования функциональности программы.
- В режиме обслуживания программы – сообщение о выполняемой операции, до окончания которой Сервер недоступен для подключений.
В основном режиме работы программы ее доступная функциональность на странице веб-интерфейса зависит от роли учетной записи подключенного пользователя. Если роль пользователя не предоставляет права на использование функций управления работой программы, соответствующие элементы управления не отображаются на странице веб-интерфейса, либо становятся недоступны.
О веб-интерфейсе Сервера в режиме начальной настройки программы
После установки программы при первом подключении к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс программа не запрашивает учетные данные пользователя для входа. Вместо страницы ввода учетных данных открывается страница, содержащая элементы управления для настройки Сервера и для просмотра и принятия Лицензионного соглашения и Политики конфиденциальности.
В левой части страницы веб-интерфейса отображается меню. Справа отображается содержимое выбранного раздела.
Меню веб-интерфейса содержит следующие элементы:
– разворачивает и сворачивает меню. Если меню свернуто, элементы отображаются без текстовых пояснений.
– открывает раздел Начальная настройкаВ разделе Начальная настройка веб-интерфейса Сервера (см. рис. ниже) вы можете указать основные параметры Сервера программы, которые требуются для начала работы программы после ее установки.
Раздел Начальная настройка
Раздел содержит окно, с помощью которого вы можете настроить основные параметры Сервера, создать первого пользователя с ролью Администратор и ознакомиться и принять условия Лицензионного соглашения и Политики конфиденциальности. После выполнения этих действий данная страница веб-интерфейса автоматически закрывается (в том числе и в других сеансах подключения к Серверу через веб-интерфейс) и происходит переход на страницу веб-интерфейса Сервера в основном режиме работы программы.
– открывает раздел с краткой информацией о программе.
О веб-интерфейсе Сервера в основном режиме работы программы
В основном режиме работы программы после подключения к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс открывается страница, содержащая средства для работы с программой. Состав доступных средств и их функциональность зависят от роли пользователя, под которым выполнено подключение к Серверу.
В левой части страницы веб-интерфейса отображается меню. Справа отображается содержимое выбранного раздела.
Меню веб-интерфейса содержит следующие элементы:
- – разворачивает и сворачивает меню. Если меню свернуто, элементы отображаются без текстовых пояснений.
– открывает список уведомлений о проблемах в работе программы. О наличии уведомлений информирует значок, цвет которого соответствует статусу уведомлений.
– открывает список фоновых операций. Список содержит информацию о выполнении операций, занимающих длительное время (например, формирование файла при экспорте большого количества событий). О количестве активных фоновых операций и о статусе их выполнения информирует значок. Значок имеет красный цвет, если есть операции, при выполнении которых возникли ошибки. 
– открывает раздел МониторингВ разделе Мониторинг веб-интерфейса Сервера программы (см. рис. ниже) вы можете просматривать в онлайн-режиме сведения о текущем состоянии системы.
Раздел Мониторинг
– открывает раздел АктивыВ разделе Активы веб-интерфейса Сервера программы (см. рис. ниже) вы можете просматривать и изменять сведения об устройствах и параметры подсетей, известных программе.
Раздел Активы
Раздел Активы содержит закладки с таблицами устройств и подсетей.
При выборе устройства или подсети открывается область деталей в правой части раздела. Область деталей содержит сведения о выбранных элементах и инструменты для работы с ними.
– открывает раздел Карта сетиВ разделе Карта сети веб-интерфейса Сервера программы (см. рис. ниже) вы можете просматривать сведения о взаимодействиях устройств.
Раздел Карта сети
Раздел Карта сети содержит основную панель инструментов в верхней части, область отображения объектов карты сети и дополнительные панели инструментов для управления размещением объектов. В нижней части раздела расположена временная шкала для фильтрации объектов по периоду времени.
При выборе объектов открывается область деталей в правой части раздела. Область деталей содержит сведения о выбранных объектах и инструменты для работы с ними.
– открывает раздел СобытияВ разделе События веб-интерфейса Сервера программы (см. рис. ниже) вы можете просматривать и обрабатывать события и инциденты, зарегистрированные программой.
Раздел События
Раздел События содержит панель инструментов и таблицу событий.
При выборе событий открывается область деталей в правой части раздела. Область деталей содержит сведения о выбранных событиях и инструменты для работы с ними.
– открывает раздел Контроль процессаВ разделе Контроль процесса веб-интерфейса Сервера программы (см. рис. ниже) вы можете просматривать и изменять теги и правила контроля процесса.
Раздел Контроль процесса
Раздел Контроль процесса содержит закладки с таблицами тегов и правил контроля процесса.
При выборе тегов или правил открывается область деталей в правой части раздела.
– открывает раздел Разрешающие правилаВ разделе Разрешающие правила веб-интерфейса Сервера программы (см. рис. ниже) вы можете просматривать и изменять разрешающие правила для программы.
Раздел Разрешающие правила
Раздел Разрешающие правила содержит панель инструментов и таблицу разрешающих правил для контроля взаимодействий и для событий.
При выборе правил открывается область деталей в правой части раздела. Область деталей содержит сведения о выбранных правилах и инструменты для работы с ними.
– открывает раздел Обнаружение вторженийВ разделе Обнаружение вторжений веб-интерфейса Сервера программы (см. рис. ниже) вы можете управлять наборами правил обнаружения вторжений.
Раздел Обнаружение вторжений
Раздел Обнаружение вторжений содержит панель инструментов и таблицу с наборами правил.
– открывает раздел УязвимостиВ разделе Уязвимости веб-интерфейса Сервера программы (см. рис. ниже) вы можете просматривать и обрабатывать уязвимости, обнаруженные в устройствах.
Раздел Уязвимости
Раздел Уязвимости содержит панель инструментов и таблицу уязвимостей.
При выборе уязвимостей открывается область деталей в правой части раздела. Область деталей содержит сведения о выбранных уязвимостях и инструменты для работы с ними.
- – открывает раздел Параметры
В разделе Параметры веб-интерфейса Сервера программы (см. рис. ниже) вы можете просматривать и изменять параметры работы программы.
Раздел Параметры
При выборе раздела Параметры на странице веб-интерфейса появляется дополнительное меню. В этом меню вы можете перейти к следующим подразделам:
- Технологии.
В этом разделе вы можете управлять технологиями и методами для анализа трафика в Kaspersky Industrial CyberSecurity for Networks. Раздел Технологии отображается, если подключение к Серверу выполнено под учетной записью Администратора.
- Развертывание.
В этом разделе вы можете просматривать сведения об узлах с установленными компонентами программы и о точках мониторинга на узлах. Если подключение к Серверу выполнено под учетной записью Администратора, в этом разделе также доступно управление узлами и управление точками мониторинга.
- Пользователи.
В этом разделе вы можете управлять учетными записями пользователей программы. Раздел Пользователи отображается, если подключение к Серверу выполнено под учетной записью Администратора.
- Типы событий.
В этом разделе вы можете просматривать и изменять параметры типов событий.
- Коннекторы.
В этом разделе вы можете управлять коннекторами для программы.
- Серверы подключений.
В этом разделе вы можете просматривать и изменять параметры веб-сервера на компьютере Сервера (например, для использования доверенного сертификата), сервера REST API и серверов интеграции на узлах.
- Kaspersky Security Center.
В этом разделе вы можете просматривать и изменять параметры подключения к Серверу администрирования Kaspersky Security Center (если добавлена функциональность взаимодействия программы с Kaspersky Security Center).
- Сообщения программы.
В этом разделе вы можете просматривать сообщения о работе программы.
- Аудит.
В этом разделе вы можете просматривать записи журнала аудита, а также включать и выключать аудит действий пользователей. Раздел Аудит отображается, если подключение к Серверу выполнено под учетной записью пользователя с ролью Администратор.
- Обновление.
В этом разделе вы можете настроить и запустить обновление баз и модулей программы.
- Лицензирование.
В этом разделе вы можете управлять лицензионным ключом для обновления баз и модулей программы.
- Политика безопасности.
В этом разделе вы можете управлять политикой безопасности программы.
- Ведение журналов.
В этом разделе вы можете настроить уровни ведения журналов работы процессов.
- Технологии.
- – открывает раздел с краткой информацией о программе.
– отображается, если какие-либо функции программы выключены или включен режим обучения для функций. Если меню развернуто, рядом отображается сообщение о выключенных функциях защиты. При нажатии на значок или текст открывается окно с информацией о выключенных функциях защиты.- Сервер подключения – отображает имя Сервера, к которому выполнено подключение (имя, заданное при начальной настройке программы после установки).
- – если меню свернуто, открывает и закрывает меню пользователя. Если меню развернуто, рядом отображается имя текущего пользователя и его роль (в этом случае для открытия и закрытия меню пользователя вы можете использовать кнопку справа). Меню пользователя состоит из следующих разделов:
- Язык – позволяет выбрать язык веб-интерфейса программы: русский или английский.
Выбранный язык локализации веб-интерфейса программы не влияет на язык локализации Сервера Kaspersky Industrial CyberSecurity for Networks. Этот компонент использует язык локализации, заданный при установке или переустановке Kaspersky Industrial CyberSecurity for Networks. Вследствие этого язык локализации данных, которые предоставляет Сервер, может отличаться от выбранного языка локализации веб-интерфейса. Например, события и сообщения, которые поступают от Сервера (в том числе некоторые сообщения об ошибках), выводятся на языке локализации Сервера.
- Тема оформления – позволяет выбрать тему цветового оформления страницы веб-интерфейса:
- Светлая – элементы отображаются на белом фоне.
- Темная – элементы отображаются на темном фоне.
- Учетная запись – группирует пункты меню для выполнения действий с учетной записью текущего пользователя:
- Изменить пароль – открывает окно для изменения пароля текущего пользователя.
- Выход – завершает сеанс подключения к Серверу и открывает страницу ввода учетных данных для подключения.
- Дополнительная информация – содержит пункт Справка для перехода на страницу онлайн-справки Kaspersky Industrial CyberSecurity for Networks.
- Язык – позволяет выбрать язык веб-интерфейса программы: русский или английский.
Веб-интерфейс сенсора Kaspersky Industrial CyberSecurity for Networks
При подключении к сенсору Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс в браузере открывается страница веб-интерфейса сенсора. Содержание страницы веб-интерфейса зависит от состояния подключения сенсора к Серверу программы.
В зависимости от состояния подключения сенсора к Серверу программы страница веб-интерфейса может содержать следующие элементы управления или данные:
- До подключения сенсора к Серверу – элементы управления для выбора файла свертки и/или данные для автоматического подключения сенсора по сети.
- После подключения сенсора к Серверу – данные о Сервере и сенсоре (с возможностью перехода на страницу веб-интерфейса Сервера) и состояние соединения.
Лицензирование программы
Этот раздел содержит информацию о лицензировании Kaspersky Industrial CyberSecurity for Networks.
О Лицензионном соглашении
Лицензионное соглашение – это юридическое соглашение между вами и АО "Лаборатория Касперского", в котором указано, на каких условиях вы можете использовать программу.
Внимательно ознакомьтесь и примите условия Лицензионного соглашения перед началом работы с программой.
Вы можете ознакомиться с условиями Лицензионного соглашения следующими способами:
- при начальной настройке программы;
- открыв документ license_ru.txt, входящий в комплект поставки программы (копия этого документа также сохраняется в директории установки программы).
Прочитайте и примите условия Лицензионного соглашения при начальной настройке программы. Если вы не согласны с условиями Лицензионного соглашения, вы должны прервать начальную настройку программы и не должны использовать программу.
В начало
О Политике конфиденциальности
Политика конфиденциальности – это документ, который информирует вас об условиях обработки ваших данных.
Внимательно ознакомьтесь и примите условия Политики конфиденциальности перед началом работы с программой.
Вы можете ознакомиться с условиями Политики конфиденциальности следующими способами:
- при начальной настройке программы;
- открыв документ privacy_policy_ru.txt, входящий в комплект поставки программы (копия этого документа также сохраняется в директории установки программы).
Прочитайте и примите условия Политики конфиденциальности при начальной настройке программы. Если вы не согласны с условиями Политики конфиденциальности, вы должны прервать начальную настройку программы и не должны использовать программу.
В начало
О лицензии
Лицензия – это право на использование программы, предоставляемое вам на основании Лицензионного соглашения. Вы можете использовать функциональность программы при условии приобретения Лицензионного сертификата.
Предусмотрены следующие типы лицензий:
- Base – для использования всей функциональности Сервера и сенсоров, кроме функциональности обновления баз и программных модулей.
Этот тип лицензии не ограничен по времени и не требует добавления лицензионного ключа в программу.
- Limited Updates – для использования функциональности обновления баз и программных модулей на Сервере и сенсорах.
Этот тип лицензии ограничен по времени. Для активации функциональности обновления вам нужно добавить в программу лицензионный ключ. По истечении срока действия лицензии этого типа программа продолжает работу, но функциональность обновления становится недоступна. В этом случае, чтобы продолжить использование программы с доступной функциональностью обновления, вам нужно добавить новый лицензионный ключ.
Информацию о добавленном лицензионном ключе вы можете просмотреть при подключении к Серверу через веб-интерфейс.
Функциональность обновления (включая загрузку обновлений антивирусных сигнатур и обновлений кодовой базы) будет недоступна в программном обеспечении на территории США с 12:00AM по восточному летнему времени (EDT) 10 сентября 2024 года в соответствии с ограничительными мерами.
Услуги технической поддержки предоставляются при наличии действующего Договора об оказании технической поддержки. Для получения услуг технической поддержки вам требуется назначить контактных лиц, имеющих право открывать заявки на оказание услуг технической поддержки.
В начало
О лицензионном сертификате
Лицензионный сертификат – это документ, который передается вам при приобретении лицензии и подтверждает право на использование программы.
В Лицензионном сертификате для Kaspersky Industrial CyberSecurity for Networks содержится следующая информация:
- лицензионный ключ или номер заказа;
- информация о пользователе, которому предоставляется лицензия;
- информация о программе и компоненте, на который распространяется лицензия;
- ограничение на количество единиц лицензирования (например, сенсоров);
- дата начала срока действия лицензии;
- дата окончания срока действия лицензии или срок действия лицензии;
- тип лицензии.
О лицензионном ключе для активации функциональности обновления
Лицензионный ключ (далее также "ключ") – последовательность бит, с помощью которой вы можете активировать и затем использовать функциональность обновления баз и программных модулей в соответствии с условиями Лицензионного соглашения. Лицензионный ключ создается специалистами "Лаборатории Касперского".
Вы можете добавить лицензионный ключ в программу, применив файл лицензионного ключа. Лицензионный ключ отображается в интерфейсе программы в виде уникальной буквенно-цифровой последовательности, после того как вы добавили его в программу.
Лицензионный ключ может быть заблокирован "Лабораторией Касперского", если условия Лицензионного соглашения нарушены. Если лицензионный ключ заблокирован, для использования функциональности обновления баз и программных модулей требуется добавить другой лицензионный ключ.
В начало
О файле лицензионного ключа для активации функциональности обновления
Файл лицензионного ключа – это файл с расширением key, который вам предоставляет "Лаборатория Касперского". Файл лицензионного ключа предназначен для добавления лицензионного ключа, активирующего функциональность обновления баз и программных модулей.
Вы получаете файл лицензионного ключа после приобретения Kaspersky Industrial CyberSecurity for Networks. Способ получения файла лицензионного ключа определяется дистрибьютором "Лаборатории Касперского", у которого вы приобрели программу (например, файл лицензионного ключа может быть отправлен по указанному вами адресу электронной почты).
Вы также можете добавить в программу лицензионный ключ из файла лицензионного ключа, полученного при приобретении Kaspersky Industrial CyberSecurity for Networks предыдущей версии. Лицензионный ключ можно добавить в программу до даты окончания его срока годности.
Чтобы активировать функциональность обновления баз и программных модулей с помощью файла лицензионного ключа, не требуется подключение к серверам активации "Лаборатории Касперского".
В начало
Добавление лицензионного ключа при подключении к Серверу через веб-интерфейс
Вы можете добавить лицензионный ключ в Kaspersky Industrial CyberSecurity for Networks при подключении к Серверу через веб-интерфейс или с использованием функциональности автоматического распространения лицензионных ключей в Kaspersky Security Center.
Добавлять лицензионный ключ могут только пользователи с ролью Администратор.
Чтобы добавить лицензионный ключ:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Лицензирование.
- Нажмите на кнопку Добавить лицензионный ключ. Кнопка отсутствует, если лицензионный ключ уже был добавлен в программу.
Откроется стандартное окно используемого браузера для выбора файла лицензионного ключа.
- Укажите путь к файлу лицензионного ключа с расширением key.
- Нажмите на кнопку открытия файла.
Лицензионный ключ из выбранного файла будет загружен в программу.
В начало
Просмотр информации о добавленном лицензионном ключе
При подключении к Серверу через веб-интерфейс вы можете просматривать информацию о добавленном лицензионном ключе. Информация о лицензионном ключе отображается в разделе Параметры → Лицензирование. Дополнительно в списке уведомлений о проблемах в работе программы могут отображаться предупреждения о статусе лицензионного ключа.
Чтобы просмотреть информацию о лицензионном ключе,
выберите раздел Параметры → Лицензирование.
Для добавленного лицензионного ключа отображается следующая информация:
- Ключ – уникальная буквенно-цифровая последовательность.
- Описание – сведения о доступной функциональности.
- Дата активации – дата первого добавления лицензионного ключа в программу.
- Срок действия – дата окончания срока годности лицензионного ключа.
- Истекает – количество оставшихся дней до окончания срока годности.
- Информация о статусе ключа или предупреждение о возникшей проблеме.
Удаление лицензионного ключа
При подключении к Серверу через веб-интерфейс вы можете удалить добавленный лицензионный ключ из программы (например, если требуется заменить текущий лицензионный ключ на другой). После удаления лицензионного ключа в программе будет недоступна функциональность обновления баз и программных модулей. Эта функциональность снова активируется при следующем добавлении лицензионного ключа.
Удалять лицензионный ключ могут только пользователи с ролью Администратор.
Чтобы удалить добавленный лицензионный ключ:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Лицензирование.
- Нажмите на кнопку Удалить.
Откроется окно с запросом подтверждения.
- Подтвердите удаление лицензионного ключа.
Лицензионный ключ будет удален из программы.
Предоставление данных
Принимая условия Лицензионного соглашения и Политики конфиденциальности, вы соглашаетесь на обработку в автоматическом режиме информации о персональных данных для обеспечения работы программы. Сведения о получении, обработке и хранении персональных данных вы можете узнать, прочитав тексты Лицензионного соглашения и Политики конфиденциальности.
Программа не передает пользовательские персональные данные в "Лабораторию Касперского". Пользовательские персональные данные обрабатываются на компьютерах, на которых установлены компоненты программы.
Программа обрабатывает и сохраняет следующие данные, имеющие отношение к пользовательским персональным данным:
- имена учетных записей пользователей, созданных в программе (пользователи программы);
- IP-адреса или имена компьютеров с установленными компонентами программы;
- IP-адреса, MAC-адреса и другие сведения об устройствах, полученные программой;
- IP-адрес или имя компьютера с Kaspersky Security Center;
- IP-адреса или имена компьютеров, которые подключаются к программе через коннекторы;
- адреса электронной почты получателей, указанные в коннекторах электронной почты;
- данные в трафике промышленной сети, передаваемые между устройствами и содержащие пользовательские персональные данные (эти данные обрабатываются программой вместе с остальными данными при анализе трафика промышленной сети);
- данные о возможно зараженных объектах или возможных угрозах, полученные от EPP-программ и содержащие IP-адреса, интернет-адреса и адреса электронной почты.
Обработка перечисленных данных выполняется с целями анализа нарушений технологического процесса, обнаружения угроз и аномалий сетевого трафика, которые могут являться признаками атак.
Программа сохраняет полученные данные в журналах.
Если администратор программы настроил отправку данных программы в сторонние системы, то обработка и хранение полученных данных в сторонней системе выполняется в соответствии с ее функциональностью и назначением.
Если с помощью скрипта централизованной установки программы созданы файлы для предоставления информации в Службу технической поддержки "Лаборатории Касперского", в этих файлах сохраняются следующие данные:
- Содержимое директорий для хранения данных программы:
- файлы журналов работы процессов, относящихся к компонентам программы, к СУБД и к системе обнаружения вторжений;
- файлы рабочих данных Сервера и сенсоров;
- файл параметров установки, созданный скриптом централизованной установки программы;
- журнал аудита и журнал сообщений программы.
- Политика безопасности, примененная на Сервере.
- Информация о текущем статусе сервисов, которые обеспечивают работу компонентов программы:
- kics4net;
- kics4net-postgresql;
- kics4net-webserver;
- kics4net-websensor;
- kics4net-epp-proxy;
- klnagent.
- Информация о версии и дистрибутиве операционной системы на компьютерах с установленными компонентами программы (для получения информации используется команда
uname -a). - Информация о сетевых интерфейсах на компьютерах с установленными компонентами программы (для получения информации используется команда
ifconfig). - Записи, сохраненные службой аудита auditd в файле /var/log/audit/audit.log.
- Параметры, статус и режим работы межсетевого экрана в операционной системе.
- Если указаны соответствующие параметры при запуске скрипта централизованной установки программы, дополнительно сохраняются следующие файлы и данные:
- файлы дампа трафика;
- данные о конфигурации системы обнаружения вторжений;
- данные о сертификатах, используемых в Kaspersky Industrial CyberSecurity for Networks (кроме сертификатов, изданных доверенными центрами сертификации).
Программа не отслеживает доступ к файлу параметров установки, созданному скриптом централизованной установки программы. При этом факты запуска компонентов программы и других подключений к Серверу, при которых происходит проверка учетных данных пользователей, отслеживаются программой.
При получении обновлений с серверов "Лаборатории Касперского" программа отправляет данные, необходимые для автоматического выбора нужных обновлений. Отправляемые данные не содержат пользовательских персональных данных. Программа отправляет следующие данные:
- версию Kaspersky Industrial CyberSecurity for Networks;
- код языка локализации компонентов Kaspersky Industrial CyberSecurity for Networks;
- идентификаторы обновляемых элементов;
- идентификатор установки Kaspersky Industrial CyberSecurity for Networks;
- идентификатор типа, версии и разрядности операционной системы.
Полученная информация защищается "Лабораторией Касперского" в соответствии с установленными законом требованиями и действующими правилами "Лаборатории Касперского". Данные передаются по зашифрованным каналам связи.
В начало
Директории для хранения данных программы
Удаление или изменение любого файла в указанных директориях может привести к нарушению работоспособности программы.
Сервер Kaspersky Industrial CyberSecurity for Networks использует для хранения данных следующие директории и их поддиректории:
- Основные директории Сервера:
- /opt/kaspersky/kics4net/ – директория установки Сервера;
- /var/opt/kaspersky/kics4net/ – для хранения сертификатов и рабочих данных Kaspersky Industrial CyberSecurity for Networks;
- /var/log/kaspersky/kics4net/ – для хранения журналов работы процессов, относящихся к Серверу;
- /etc/opt/kaspersky/kics4net/ – для хранения файлов с паролями к внешним системам.
- Директории СУБД:
- /opt/kaspersky/kics4net-postgresql/ – директория установки СУБД;
- /var/opt/kaspersky/kics4net-postgresql/ – для хранения рабочих данных СУБД (конфигурация СУБД, базы данных и другие сведения);
- /var/log/kaspersky/kics4net-postgresql/ – для хранения журналов работы процессов СУБД;
- /etc/opt/kaspersky/kics4net-postgresql/ – для хранения дополнительных файлов.
- Директории системы обнаружения вторжений:
- /opt/kaspersky/kics4net-suricata/ – директория установки системы обнаружения вторжений;
- /opt/kaspersky/kics4net/share/ids/ – для хранения рабочих данных системы обнаружения вторжений (конфигурация системы обнаружения вторжений, правила и другие сведения);
- /var/log/kaspersky/kics4net-suricata/ – для хранения журналов работы процессов, относящихся к системе обнаружения вторжений.
- Директории веб-сервера:
- /opt/kaspersky/kics4net-webserver/ – директория установки веб-сервера;
- /var/opt/kaspersky/kics4net-webserver/ – для хранения рабочих данных веб-сервера (файлы сертификатов и другие сведения);
- /var/log/kaspersky/kics4net-webserver/ – для хранения журналов работы процессов веб-сервера (также веб-сервер сохраняет данные о работе процессов в системном журнале операционной системы);
- /etc/opt/kaspersky/kics4net-webserver/ – для хранения файлов с паролями к внешним системам и конфигурационных файлов.
- Директории системы полнотекстового поиска:
- /opt/kaspersky/kics4net-fts/ – директория установки системы полнотекстового поиска;
- /var/opt/kaspersky/kics4net-fts/ – для хранения рабочих данных системы полнотекстового поиска (конфигурация системы полнотекстового поиска и другие сведения);
- /var/log/kaspersky/kics4net-fts/ – для хранения журналов работы процессов, относящихся к системе полнотекстового поиска;
- /etc/opt/kaspersky/kics4net-fts/ – для хранения файлов с паролями к внешним системам и конфигурационных файлов.
- Директории сервиса интеграции:
- /opt/kaspersky/kics4net-epp-proxy/ – директория установки сервиса интеграции;
- /var/opt/kaspersky/kics4net-epp-proxy/ – для хранения рабочих данных сервиса интеграции (файлы сертификатов и другие сведения);
- /var/log/kaspersky/kics4net-epp-proxy/ – для хранения журналов работы процессов, относящихся к сервису интеграции;
- /etc/opt/kaspersky/kics4net-epp-proxy/ – для хранения конфигурационных файлов.
- Директории системных коннекторов:
- /opt/kaspersky/kics4net-connectors/ – директория установки системных коннекторов;
- /var/opt/kaspersky/kics4net-connectors/ – для хранения рабочих данных системных коннекторов (файлы сертификатов и другие сведения).
- Директории с файлами для централизованной установки компонентов программы:
- /home/<user>/.config/kaspersky/kics4net-deploy/ – для хранения журналов работы процессов установки и файла параметров установки (если централизованная установка компонентов программы выполнялась с этого компьютера);
- /var/opt/kaspersky/kics4net-deploy/ – для хранения копии файла параметров установки, созданного при централизованной установке программы.
- Директории Агента администрирования:
- /opt/kaspersky/klnagent64/ – директория установки Агента администрирования;
- /var/opt/kaspersky/klnagent/ – для хранения рабочих данных Агента администрирования;
- /var/log/kaspersky/klnagent64/ – для хранения журналов работы процессов Агента администрирования;
- /etc/opt/kaspersky/klnagent/ – для хранения файлов конфигурации Агента администрирования.
- Стандартные директории операционной системы:
- /usr/lib/systemd/system/ – для размещения конфигурационных файлов сервисов (например, kics4net.service);
- /var/run/ – для хранения переменных данных о состоянии системы после загрузки. Компоненты программы могут размещать файлы в самой директории (например, файл klnagent.pid) или в поддиректориях (например, в поддиректории /kics4net/).
Сенсор Kaspersky Industrial CyberSecurity for Networks использует для хранения данных следующие директории и их поддиректории:
- Основные директории сенсора:
- /opt/kaspersky/kics4net/ – директория установки сенсора;
- /var/opt/kaspersky/kics4net/ – для хранения сертификатов и рабочих данных Kaspersky Industrial CyberSecurity for Networks;
- /var/log/kaspersky/kics4net/ – для хранения журналов работы процессов, относящихся к сенсору.
- Директории системы обнаружения вторжений:
- /opt/kaspersky/kics4net-suricata/ – директория установки системы обнаружения вторжений;
- /opt/kaspersky/kics4net/share/ids/ – для хранения рабочих данных системы обнаружения вторжений (конфигурация системы обнаружения вторжений, правила и другие сведения);
- /var/log/kaspersky/kics4net-suricata/ – для хранения журналов работы процессов, относящихся к системе обнаружения вторжений.
- Директории веб-сервера:
- /opt/kaspersky/kics4net-websensor/ – директория установки веб-сервера;
- /var/opt/kaspersky/kics4net-websensor/ – для хранения рабочих данных веб-сервера (файлы сертификатов и другие сведения);
- /var/log/kaspersky/kics4net-websensor/ – для хранения журналов работы процессов веб-сервера (также веб-сервер сохраняет данные о работе процессов в системном журнале операционной системы);
- /etc/opt/kaspersky/kics4net-websensor/ – для хранения файлов с паролями к внешним системам и конфигурационных файлов.
- Директории сервиса интеграции:
- /opt/kaspersky/kics4net-epp-proxy/ – директория установки сервиса интеграции;
- /var/opt/kaspersky/kics4net-epp-proxy/ – для хранения рабочих данных сервиса интеграции (файлы сертификатов и другие сведения);
- /var/log/kaspersky/kics4net-epp-proxy/ – для хранения журналов работы процессов, относящихся к сервису интеграции;
- /etc/opt/kaspersky/kics4net-epp-proxy/ – для хранения конфигурационных файлов.
- Директории с файлами для централизованной установки компонентов программы:
- /home/<user>/.config/kaspersky/kics4net-deploy/ – для хранения журналов работы процессов установки и файла параметров установки (если централизованная установка компонентов программы выполнялась с этого компьютера);
- /var/opt/kaspersky/kics4net-deploy/ – для хранения копии файла параметров установки, созданного при централизованной установке программы.
- Стандартные директории операционной системы:
- /usr/lib/systemd/system/ – для размещения конфигурационных файлов сервисов (например, kics4net.service);
- /var/run/ – для хранения переменных данных о состоянии системы после загрузки. Компоненты программы могут размещать файлы в самой директории или в поддиректориях.
Для изменения файлов программы нужно иметь root-права в операционной системе.
В начало
О журналах
Kaspersky Industrial CyberSecurity for Networks сохраняет данные о своей работе в журналах. В зависимости от типа журнала программа сохраняет данные в базе данных Сервера или в файлах в локальных директориях на узле Сервера или сенсора.
Журналы, сохраняемые в базе данных Сервера
Программа размещает в базе данных Сервера следующие журналы:
Вы можете просматривать содержимое перечисленных журналов при подключении к Серверу через веб-интерфейс.
При необходимости вы также можете настроить передачу данных из этих журналов в сторонние системы через коннекторы.
Журналы, сохраняемые в файлах
Информация о работе процессов программы сохраняется в виде файлов в локальных директориях. Файлы с журналами работы процессов могут содержать следующую информацию:
- данные о запуске и остановке процессов Kaspersky Industrial CyberSecurity for Networks;
- диагностические сообщения, которые могут потребоваться при обращении в Службу технической поддержки;
- сообщения об ошибках.
Информация о работе процессов сохраняется в соответствии с заданными уровнями ведения журналов работы процессов.
Вы можете просматривать файлы с журналами работы процессов с помощью текстового редактора. Для доступа к журналам нужно иметь root-права в операционной системе.
Файлы с журналами работы процессов хранятся в незашифрованном виде. Рекомендуется обеспечить защиту информации от несанкционированного доступа.
В начало
Администрирование Kaspersky Industrial CyberSecurity for Networks
Этот раздел содержит информацию о действиях для администрирования Kaspersky Industrial CyberSecurity for Networks.
Управление узлами с установленными компонентами программы
Этот раздел содержит информацию об управлении узлами, на которых установлены компоненты Kaspersky Industrial CyberSecurity for Networks: Сервер или сенсор. При управлении узлами вы можете добавлять и удалять сенсоры, а также изменять различные параметры узлов.
Управлять узлами с установленными компонентами программы могут только пользователи с ролью Администратор.
Для контроля состояния Kaspersky Industrial CyberSecurity for Networks вы можете просматривать сведения об узлах и сетевых интерфейсах на узлах.
Добавление и подключение сенсора с использованием веб-интерфейса сенсора
После установки и начальной настройки Сервера Kaspersky Industrial CyberSecurity for Networks вы можете добавлять сенсоры в программу. Добавление сенсоров выполняется на странице веб-интерфейса Сервера.
Для добавления сенсора на компьютере должны быть установлены соответствующие пакеты из комплекта поставки программы. Вы можете установить эти пакеты с помощью скрипта централизованной установки компонентов программы или скрипта локальной установки.
При добавлении сенсора на Сервере формируется конфигурационный пакет, содержащий сертификат и конфигурационные данные для сенсора. Подключение добавленного сенсора выполняется с использованием веб-интерфейса сенсора. Веб-интерфейс сенсора позволяет загрузить конфигурационный пакет и подключить сенсор следующими способами:
- С помощью файла свертки. Для этого способа конфигурационный пакет сохраняется в виде файла, в котором сертификат защищен паролем. Этот файл называется файлом свертки. Файл свертки требуется безопасно доставить на компьютер, имеющий доступ по сети к компьютеру сенсора, и загрузить на странице веб-интерфейса сенсора. После загрузки файла свертки сенсор автоматически подключается к Серверу, на котором был создан этот файл.
- Автоматически по сети. Этот способ позволяет передать конфигурационный пакет по сети на указанный IP-адрес компьютера сенсора. Сенсор обрабатывает конфигурационный пакет, формирует на его основе запрос на подпись сертификата (CSR) и отправляет этот запрос на Сервер. После получения запроса на странице веб-интерфейса Сервера отображается отпечаток полученного запроса в виде последовательности символов. Такой же отпечаток запроса в это время отображается и на странице веб-интерфейса сенсора. Вам нужно убедиться в идентичности отпечатков перед завершением добавления сенсора.
Изменение имени узла с установленным компонентом программы
Вы можете изменить заданное имя узла с установленным компонентом программы (Сервера или сенсора).
Чтобы изменить имя узла:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Развертывание.
- Выберите карточку нужного узла.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Изменить.
- В поле с текущим именем узла введите новое имя.
Имя узла должно быть уникальным (не совпадать с именами других узлов) и может содержать не более 100 символов. Вы можете использовать буквы латинского алфавита, цифры, пробел, а также специальные символы _ и - (например, Server_1). Имя узла должно начинаться и заканчиваться любым допустимым символом, кроме пробела.
- Нажмите на кнопку Сохранить.
Изменение параметров хранения данных программы на узле
Вы можете изменить заданные ограничения максимального объема для хранения данных программы на узле.
Чтобы изменить ограничения максимального объема:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Развертывание.
- Выберите карточку нужного узла.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Изменить.
- В блоке Параметры хранения задайте ограничения максимального объема для данных программы. Набор типов данных, доступных для настройки, зависит от типа узла (Сервер или сенсор).
Вы можете выбрать единицу измерения для ограничения объема: МБ или ГБ.
Для некоторых типов данных (например, для событий) вы можете задать ограничение времени хранения в днях.
- Нажмите на кнопку Сохранить.
Создание нового файла свертки для сенсора
При необходимости вы можете создать для сенсора новый файл свертки (например, если требуется обновить сертификат, используемый для соединения сенсора с Сервером).
Чтобы создать новый файл свертки для сенсора:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Развертывание.
- Выберите карточку узла того сенсора, для которого вы хотите создать новый файл свертки.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Получить новый файл свертки.
Откроется окно с запросом подтверждения.
- В окне запроса нажмите на кнопку OK.
Сервер сформирует новый файл свертки для выбранного сенсора, после чего браузер сохранит загруженный файл. В зависимости от параметров, заданных в браузере, на экране может появиться окно для изменения пути и имени сохраняемого файла.
- На компьютере сенсора переведите сенсор в начальное состояние с помощью скрипта для локального перевода узла в начальное состояние kics4net-reset-to-defaults.sh. Скрипт находится на компьютере с установленным компонентом программы в директории /opt/kaspersky/kics4net/sbin/.
- Подключитесь к сенсору через веб-интерфейс.
- На странице веб-интерфейса сенсора загрузите новый файл свертки.
Загрузка нового файла свертки выполняется аналогично, как при добавлении сенсора с помощью файла свертки.
Удаление сенсора
Вы можете удалить сенсор из программы. При удалении сенсора на Сервере программы удаляются регистрационные данные этого сенсора, в результате чего подключение сенсора к этому Серверу будет невозможно.
После удаления сенсора на этом узле остаются файлы компонента сенсора. В дальнейшем вы можете заново добавить этот узел в качестве сенсора без необходимости установки соответствующих пакетов. Причем добавление сенсора возможно как к текущему Серверу, так и к любому другому Серверу Kaspersky Industrial CyberSecurity for Networks, с которым есть соединение.
Чтобы удалить сенсор:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Развертывание.
- Выберите карточку узла того сенсора, который вы хотите удалить.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Удалить.
Откроется окно с запросом подтверждения.
- В окне запроса нажмите на кнопку OK.
Управление точками мониторинга на узлах
Для получения и обработки трафика промышленной сети в Kaspersky Industrial CyberSecurity for Networks используются
. Точки мониторинга можно добавлять и удалять на любом узле с установленными компонентами программы (в том числе на узле, который выполняет функции Сервера). При этом не требуется перезагружать компьютер, на котором установлены компоненты программы, или выполнять переустановку компонентов на этом компьютере.Каждая точка мониторинга должна быть связана с сетевым интерфейсом, на который поступает копия трафика из определенного сегмента промышленной сети. Для добавления точек мониторинга вы можете использовать сетевые интерфейсы, которые удовлетворяют следующим условиям:
- Тип сетевого интерфейса: Ethernet.
- MAC-адрес: отличается от 00:00:00:00:00:00.
- Сетевой интерфейс предназначен для получения копии трафика промышленной сети и этот интерфейс не используется в других целях (например, для соединения узлов с установленными компонентами программы).
Вы можете добавлять точки мониторинга как на физические сетевые интерфейсы, так и на логические интерфейсы, объединяющие несколько физических (bond-интерфейсы). При этом невозможно добавить точку мониторинга на физический сетевой интерфейс, который является одним из интерфейсов объединенного логического интерфейса.
Точки мониторинга можно включать и выключать. Вы можете выключить точку мониторинга, чтобы временно прекратить наблюдение за сегментом промышленной сети, из которого поступает копия трафика на сетевой интерфейс. Как только вам потребуется продолжить наблюдение за сегментом промышленной сети, вы можете включить точку мониторинга.
После выключения или удаления точки мониторинга программа в течение некоторого времени может регистрировать события, в которых указана эта точка мониторинга. Это связано с возможной задержкой обработки поступившего трафика во время высокой загруженности Сервера.
Вы можете управлять точками мониторинга и просматривать сведения о точках мониторинга, сетевых интерфейсах и узлах в разделе Параметры → Развертывание веб-интерфейса Kaspersky Industrial CyberSecurity for Networks.
Добавление точки мониторинга
Для получения и обработки трафика, поступающего из промышленной сети на сетевой интерфейс узла, вам нужно добавить точку мониторинга на этот сетевой интерфейс.
Добавлять точки мониторинга на сетевые интерфейсы могут только пользователи с ролью Администратор.
Чтобы добавить точку мониторинга на сетевой интерфейс:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Развертывание.
- Откройте область деталей по ссылке Добавить точку мониторинга в карточке нужного сетевого интерфейса. Ссылка отображается, если точка мониторинга не добавлена на сетевой интерфейс.
В правой части окна веб-интерфейса появится область деталей.
- В поле ввода в верхней части области деталей введите имя точки мониторинга.
Вы можете использовать прописные и строчные буквы латинского алфавита, цифры, символы
_и-.Имя точки мониторинга должно удовлетворять следующим требованиям:
- является уникальным (не присвоено другой точке мониторинга);
- содержит от 1 до 100 символов.
- Нажмите на значок
справа от поля ввода.
Включение точек мониторинга
Программа не получает и не обрабатывает трафик, поступающий на сетевой интерфейс выключенной точки мониторинга. Вам нужно включить точку мониторинга, если вы хотите возобновить получение и обработку трафика.
Вы можете включать точки мониторинга как по отдельности, так и одновременно на одном узле или на всех узлах.
Включать точки мониторинга могут только пользователи с ролью Администратор.
Чтобы включить точки мониторинга:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Развертывание.
- Выполните одно из следующих действий:
- Если вы хотите включить одну точку мониторинга, нажмите на кнопку Включить в карточке сетевого интерфейса с точкой мониторинга. Кнопка доступна, если точка мониторинга выключена.
- Если вы хотите включить все точки мониторинга на узле, нажмите на кнопку Включить все в карточке узла, к которому относятся выключенные точки мониторинга. Кнопка доступна, если на узле есть сетевые интерфейсы с выключенными точками мониторинга.
- Если вы хотите включить все точки мониторинга на всех узлах, используйте ссылку Включить на всех узлах в панели инструментов.
- Дождитесь применения изменений.
Выключение точек мониторинга
Вы можете выключить точку мониторинга, если требуется временно приостановить получение и обработку трафика на сетевом интерфейсе этой точки мониторинга.
Вы можете выключать точки мониторинга как по отдельности, так и одновременно на одном узле или на всех узлах.
Выключать точки мониторинга могут только пользователи с ролью Администратор.
Чтобы выключить точки мониторинга:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Развертывание.
- Выполните одно из следующих действий:
- Если вы хотите выключить одну точку мониторинга, нажмите на кнопку Выключить в карточке сетевого интерфейса с точкой мониторинга. Кнопка доступна, если точка мониторинга включена.
- Если вы хотите выключить все точки мониторинга на узле, нажмите на кнопку Выключить все в карточке узла, к которому относятся включенные точки мониторинга. Кнопка доступна, если на узле есть сетевые интерфейсы с включенными точками мониторинга.
- Если вы хотите выключить все точки мониторинга на всех узлах, используйте ссылку Выключить на всех узлах в панели инструментов.
- Дождитесь применения изменений.
Переименование точки мониторинга
Вы можете переименовать точку мониторинга, связанную с сетевым интерфейсом.
Новое имя точки мониторинга появится в событиях, зарегистрированных после ее переименования. В ранее зарегистрированных событиях отображается старое имя точки мониторинга.
Переименовать точку мониторинга могут только пользователи с ролью Администратор.
Чтобы переименовать точку мониторинга:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Развертывание.
- Выберите карточку сетевого интерфейса с точкой мониторинга, которую вы хотите переименовать.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на значок
, который расположен справа от текущего имени точки мониторинга, и введите новое имя в появившемся поле.Вы можете использовать прописные и строчные буквы латинского алфавита, цифры, символы
_и-.Имя точки мониторинга должно удовлетворять следующим требованиям:
- является уникальным (не присвоено другой точке мониторинга);
- содержит от 1 до 100 символов.
- Нажмите на значок справа от поля ввода.
Удаление точки мониторинга
Вы можете удалить точку мониторинга, связанную с сетевым интерфейсом. Удаление точки мониторинга может потребоваться, если этот сетевой интерфейс больше не будет использоваться для получения трафика промышленной сети.
В случае, если требуется временно приостановить получение трафика на сетевом интерфейсе точки мониторинга (например, на время проведения профилактических и пусконаладочных работ), вы можете выключить точку мониторинга, не удаляя ее.
В базе данных не удаляется трафик, полученный с точки мониторинга до ее удаления. Также информация об этой точке мониторинга сохраняется в таблице зарегистрированных событий.
Удалить точку мониторинга могут только пользователи с ролью Администратор.
Чтобы удалить точку мониторинга:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Развертывание.
- Выберите карточку сетевого интерфейса с точкой мониторинга, которую вы хотите удалить.
В правой части окна веб-интерфейса появится область деталей.
- В области деталей нажмите на кнопку Удалить.
Откроется окно с запросом подтверждения. Если точка мониторинга включена, программа предложит выключить точку мониторинга.
- В окне запроса подтвердите удаление точки мониторинга.
Определение Ethernet-порта, связанного с сетевым интерфейсом
Компьютер, на котором установлены компоненты программы, может иметь несколько Ethernet-портов для подключения к локальной сети. С помощью программы вы можете включить режим индикации для сетевого интерфейса и определить, какой Ethernet-порт связан с этим интерфейсом. При включенном режиме индикации рядом с Ethernet-портом в течение 15 секунд мигает LED-индикатор.
Если сетевой интерфейс не поддерживает LED-индикацию (например, рядом с Ethernet-портом отсутствует LED-индикатор или сетевой интерфейс является объединенным логическим интерфейсом), при включении режима индикации возникает ошибка.
Включать режим индикации Ethernet-порта могут только пользователи с ролью Администратор.
Чтобы определить Ethernet-порт, связанный с сетевым интерфейсом:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Развертывание.
- Нажмите на кнопку LED-тест в карточке сетевого интерфейса.
Если сетевой интерфейс поддерживает LED-индикацию, в карточке сетевого интерфейса начнет мигать значок подключения сетевого кабеля. Одновременно на соответствующем сетевом адаптере компьютера начнет мигать LED-индикатор рядом с Ethernet-портом.
Пока включен режим индикации для одного сетевого интерфейса, вы не можете включить режим индикации для другого сетевого интерфейса на этом же узле.
В начало
Контроль состояния Kaspersky Industrial CyberSecurity for Networks
Этот раздел содержит инструкции для контроля состояния программы.
Контроль состояния программы при подключении через веб-интерфейс
Вы можете просматривать информацию о текущем состоянии программы при подключении к Серверу через веб-интерфейс. Для контроля состояния программы предусмотрены соответствующие виджеты в разделе Мониторинг.
Информация о выключенных функциях защиты
В окне браузера в нижней части меню отображается значок и уведомление, если выключены некоторые функции защиты (см. рис. ниже).
Сообщение о выключенных функциях защиты в окне браузера
Значок отображается в следующих случаях:
- выключена одна или несколько точек мониторинга;
- выключена одна или несколько функций защиты (например, обнаружение вторжений по правилам);
- включен режим обучения для одной или нескольких функций защиты (например, для технологии Контроль целостности сети).
Чтобы просмотреть информацию о выключенных функциях защиты,
нажмите на значок или текст сообщения о выключенных функциях защиты.
Уведомления о проблемах в работе программы
В верхней части меню веб-интерфейса расположена кнопка для открытия списка уведомлений о проблемах в работе программы (см. рис. ниже).
Список уведомлений о проблемах в работе программы в окне браузера
Если в списке есть уведомления о критических проблемах (например, появились сообщения о нарушении работы программы), отображается значок красного цвета. Если в списке есть только уведомления о некритических проблемах, отображается значок желтого цвета.
Список содержит только актуальные уведомления. Если проблема устранена (например, восстановлено потерянное соединение с Сервером), соответствующее уведомление автоматически удаляется из списка.
Вы можете просмотреть подробную информацию об уведомлениях (кроме уведомлений о недоступности Сервера или базы данных).
Чтобы просмотреть информацию об уведомлении, выполните следующие действия
- В меню нажмите на кнопку .
- В списке уведомлений нажмите на текст уведомления.
В окне браузера откроется раздел с информацией, которая относится к уведомлению (например, в разделе Параметры → Сообщения программы).
В начало
Просмотр сообщений программы
В журнале сообщений программы сохраняется информация об ошибках в работе программы и операциях, выполненных системными процессами Kaspersky Industrial CyberSecurity for Networks.
Вы можете просматривать сообщения программы при подключении к Серверу через веб-интерфейс. При необходимости вы также можете настроить отправку сообщений программы в сторонние системы через коннекторы.
Чтобы просмотреть сообщения программы:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс.
- Выберите раздел Параметры → Сообщения программы.
В таблице отобразятся сообщения программы, которые соответствуют заданным параметрам фильтрации и поиска.
Графы таблицы сообщений программы содержат следующую информацию:
- Дата и время – дата и время регистрации сообщения программы.
- Статус – название статуса сообщения. Для сообщений предусмотрены следующие статусы:
- Начало работы, Нормальная работа – для информационных сообщений.
- Состояние неизвестно, Сбой – для сообщений о некритических сбоях в работе программы.
- Серьезный сбой, Критический сбой, Неустранимый сбой – для сообщений о нарушении работы программы.
- Узел – имя или IP-адрес узла, от которого поступило сообщение.
- Системный процесс – процесс программы, который вызвал регистрацию сообщения.
- Сообщение – числовой идентификатор и текст сообщения.
При просмотре таблицы сообщений программы вы можете использовать следующие функции:
- Фильтрация по стандартным периодам
- Фильтрация по заданному периоду
- Фильтрация по графам таблицы
При фильтрации по графе Дата и время вы можете использовать один из стандартных периодов или задать определенный период.
Чтобы отфильтровать таблицу сообщений программы по графе Статус или Системный процесс:
- В разделе Параметры → Сообщения программы нажмите на значок фильтрации в нужной графе.
При фильтрации по статусам вы также можете воспользоваться раскрывающимся списком Статусы в панели инструментов.
Откроется окно фильтрации.
- Установите флажки напротив значений, по которым вы хотите выполнить фильтрацию.
- Нажмите на кнопку OK.
Чтобы отфильтровать таблицу сообщений программы по графе Узел или Сообщение:
- В разделе Параметры → Сообщения программы нажмите на значок фильтрации в нужной графе.
Откроется окно фильтрации.
- В полях Включая и Исключая введите значения для сообщений программы, которые вы хотите включить в фильтрацию и/или исключить из фильтрации.
- Если вы хотите применить несколько условий фильтрации, объединенных логическим оператором ИЛИ, в окне фильтрации графы нажмите на кнопку Добавить условие и введите условие в открывшемся поле.
- Если вы хотите удалить одно из созданных условий фильтрации, в окне фильтрации графы нажмите на значок
. - Нажмите на кнопку OK.
- В разделе Параметры → Сообщения программы нажмите на значок фильтрации в нужной графе.
- Поиск сообщений программы
- Сброс заданных параметров фильтрации и поиска
- Сортировка сообщений программы
Просмотр записей аудита действий пользователей
Kaspersky Industrial CyberSecurity for Networks может сохранять информацию о действиях, совершенных пользователями в программе. Информация сохраняется в журнале аудита, если включен аудит действий пользователей.
Вы можете просматривать записи аудита при подключении к Серверу через веб-интерфейс. При необходимости вы также можете настроить отправку сообщений программы в сторонние системы через коннекторы.
Просматривать записи аудита могут только пользователи с ролью Администратор.
Чтобы просмотреть записи аудита:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Аудит.
В таблице отобразятся записи аудита, которые соответствуют заданным параметрам фильтрации и поиска.
Графы таблицы записей аудита содержат следующую информацию:
- Дата и время – дата и время регистрации данных о действии пользователя.
- Действие – зарегистрированное действие, которое совершил пользователь.
- Результат – результат выполнения зарегистрированного действия (успешно или неуспешно).
- Пользователь – имя пользователя, который совершил зарегистрированное действие.
- Узел пользователя – IP-адрес узла, на котором совершено зарегистрированное действие.
- Описание – дополнительные сведения о зарегистрированном действии.
При просмотре таблицы записей аудита вы можете использовать следующие функции:
- Настройка отображения и порядка граф в таблице записей аудита
- Фильтрация по стандартным периодам
- Фильтрация по заданному периоду
- Фильтрация по графам таблицы
Вы можете отфильтровать таблицу записей аудита по значениям во всех графах, кроме графы Описание.
При фильтрации по графе Дата и время вы можете использовать один из стандартных периодов или задать определенный период.
Чтобы отфильтровать таблицу записей аудита по графе Действие:
- В разделе Параметры → Аудит нажмите на значок фильтрации в графе Действие.
Откроется окно фильтрации.
- В поле Действия укажите нужное действие из числа предусмотренных действий для аудита. Для этого начните вводить название действия и выберите нужное действие в раскрывшемся списке (список подходящих действий автоматически раскрывается при изменении значения в поле Действия).
Вы можете отсортировать открывшийся список действий по ссылке Сортировка.
- Если вы хотите добавить еще одно действие, нажмите на кнопку Добавить действие и укажите другое действие в открывшемся поле.
- Если вы хотите удалить одно из указанных действий, в окне фильтрации нажмите на значок . Вы также можете удалить все указанные действия по ссылке Фильтр по умолчанию в окне фильтрации.
- Нажмите на кнопку OK.
Чтобы отфильтровать таблицу записей аудита по графе Результат:
- В разделе Параметры → Аудит нажмите на значок фильтрации в графе Результат.
Для фильтрации по результатам действий вы также можете воспользоваться соответствующими кнопками в панели инструментов.
Откроется окно фильтрации.
- Установите флажки напротив значений, по которым вы хотите выполнить фильтрацию.
- Нажмите на кнопку OK.
Чтобы отфильтровать таблицу записей аудита по графе Пользователь или Узел пользователя:
- В разделе Параметры → Аудит нажмите на значок фильтрации в нужной графе.
Откроется окно фильтрации.
- В полях Включая и Исключая введите значения для записей аудита, которые вы хотите включить в фильтрацию и/или исключить из фильтрации.
- Если вы хотите применить несколько условий фильтрации, объединенных логическим оператором ИЛИ, в окне фильтрации графы нажмите на кнопку Добавить условие и введите условие в открывшемся поле.
- Если вы хотите удалить одно из созданных условий фильтрации, в окне фильтрации графы нажмите на значок .
- Нажмите на кнопку OK.
- В разделе Параметры → Аудит нажмите на значок фильтрации в графе Действие.
- Поиск записей аудита
- Сброс заданных параметров фильтрации и поиска
- Сортировка записей аудита
Просмотр сведений об узлах с установленными компонентами программы и о сетевых интерфейсах на узлах
Просматривать сведения об узлах с установленными компонентами программы и о сетевых интерфейсах на узлах могут как пользователи с ролью Администратор, так и пользователи с ролью Оператор.
Чтобы просмотреть сведения об узлах и сетевых интерфейсах:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс.
- Выберите раздел Параметры → Развертывание.
В окне веб-интерфейса отобразятся карточки узлов (слева) и карточки сетевых интерфейсов, обнаруженных на этих узлах (справа от каждого узла).
- Если вы хотите просмотреть подробные сведения об узле или сетевом интерфейсе, выберите карточку нужного узла или сетевого интерфейса.
В правой части окна веб-интерфейса появится область деталей.
Отображаемые сведения об узлах с установленными компонентами программы
В карточке узла отображаются следующие сведения:
- Заданное имя узла.
- Текущее состояние узла в виде значка и текстового описания. Возможны следующие состояния:
ОК. Узел доступен и от этого узла не поступали сообщения программы о некритических сбоях или нарушении работы.
Некритический сбой. Узел доступен и от этого узла поступили сообщения программы со статусами Состояние неизвестно или Сбой.
Нарушена работа. Узел доступен и от этого узла поступили сообщения программы со статусами Серьезный сбой, Критический сбой или Неустранимый сбой.- Нет соединения. Узел недоступен.
- Компонент программы, установленный на узле: Сервер или Сенсор.
Подробные сведения об узле отображаются в области деталей
Отображаемые сведения о сетевых интерфейсах
В карточке сетевого интерфейса отображаются следующие сведения:
- Значок подключения сетевого кабеля к Ethernet-порту сетевого интерфейса. Предусмотрены следующие значки:
– сетевой кабель подключен;
– сетевой кабель отключен.
Значок мигает при включенном режиме индикации Ethernet-порта.
- Имя сетевого интерфейса в операционной системе.
- MAC-адрес.
- IP-адрес. Если на сетевом интерфейсе обнаружено несколько IP-адресов, то в карточке сетевого интерфейса отображается только один из них.
- Скорость поступления входящего трафика на сетевой интерфейс.
- Сведения о точке мониторинга, если она добавлена:
- Имя точки мониторинга.
- Текущее состояние точки мониторинга в виде значка и текстового описания. Возможны следующие состояния:
- ОК. Точка мониторинга доступна.
- Переключение. Происходит переключение режима работы точки мониторинга.
- Ошибка. Обнаружена ошибка при переключении режима работы точки мониторинга.
- Текущий режим работы точки мониторинга. Предусмотрены следующие режимы:
- Включена.
- Выключена.
Подробные сведения о сетевом интерфейсе отображаются в области деталей
Для выбранного сетевого интерфейса в области деталей отображаются следующие сведения:
- Значок подключения сетевого кабеля к Ethernet-порту сетевого интерфейса (в области деталей отображается в поле Подключение). Предусмотрены следующие значки:
- – сетевой кабель подключен;
- – сетевой кабель отключен.
Значок мигает при включенном режиме индикации Ethernet-порта.
- Имя сетевого интерфейса в операционной системе (в области деталей отображается в поле Сетевой интерфейс).
- MAC-адрес (в области деталей отображается в поле MAC-адрес).
- IP-адрес. Если на сетевом интерфейсе обнаружено несколько IP-адресов, то в карточке сетевого интерфейса отображается только один из них, а в области деталей отображаются не более 16 IP-адресов.
- Скорость поступления входящего трафика на сетевой интерфейс.
Если на сетевой интерфейс добавлена точка мониторинга, дополнительно отображаются следующие сведения:
- Имя точки мониторинга.
- Текущее состояние точки мониторинга в виде значка и текстового описания (в области деталей значок и текстовое описание отображаются в поле Состояние). Возможны следующие состояния:
- ОК. Точка мониторинга доступна.
- Переключение. Происходит переключение режима работы точки мониторинга.
- Ошибка. Обнаружена ошибка при переключении режима работы точки мониторинга.
- Текущий режим работы точки мониторинга. В карточке сетевого интерфейса информация о текущем режиме отображается рядом с полем текущего состояния (кроме состояния Переключение). В области деталей информация о текущем состоянии отображается в поле Режим. Предусмотрены следующие режимы:
- Включена.
- Выключена.
Просмотр статуса сервисов, обеспечивающих работу компонентов программы
Вы можете просмотреть статус сервисов, которые обеспечивают работу компонентов программы. Если сервис активен, это означает, что его запуск выполнен успешно.
Чтобы просмотреть статус сервиса:
- На компьютере, на котором установлен компонент программы, откройте консоль операционной системы.
- Введите команду:
sudo service <имя сервиса> statusгде
<имя сервиса>– имя сервиса, информацию о котором вы хотите просмотреть. Вы можете указать следующие сервисы:kics4net– основной сервис (присутствует на компьютере, который выполняет функции Сервера или сенсора);kics4net-epp-proxy– сервис интеграции (присутствует на компьютере, который выполняет функции Сервера или сенсора);kics4net-postgresql– сервис СУБД (присутствует только на компьютере, который выполняет функции Сервера);kics4net-fts– сервис системы полнотекстового поиска (присутствует только на компьютере, который выполняет функции Сервера);kics4net-webserver– сервис веб-сервера (присутствует только на компьютере, который выполняет функции Сервера);kics4net-websensor– сервис веб-сервера (присутствует только на компьютере, который выполняет функции сенсора).Пример:
sudo service kics4net status
Если сервис не активен, вы можете перезагрузить компьютер или перезапустить сервис.
В начало
Перезагрузка компьютера с установленными компонентами программы
При перезагрузке компьютера, который выполняет функции Сервера или сенсора, происходит автоматический запуск компонентов программы. Перезагрузка не влияет на последующую работу этих компонентов (кроме некоторых ситуаций, когда возникает сбой после непредвиденной перезагрузки).
Перезагрузка может потребоваться, например, в следующих случаях:
- Закончилось свободное пространство на жестком диске компьютера.
- Произошла непредвиденная перезагрузка компьютера, после которой работа компонентов программы не восстановлена.
- Не активен один из сервисов программы.
- Не восстанавливается потерянное соединение Сервера с сенсором. В этом случае следует перезагрузить компьютер, выполняющий функции сенсора.
Вы можете перезагрузить компьютер с установленными компонентами программы с помощью штатных команд операционной системы.
Если по каким-либо причинам невозможно выполнить перезагрузку компьютера, вы можете перезапустить сервисы, обеспечивающие работу компонентов программы.
Чтобы перезапустить сервисы:
- Откройте консоль операционной системы.
- В зависимости от того, какие функции выполняет компьютер, выполните соответствующие действия:
- Если компьютер выполняет функции Сервера, введите команды в следующей последовательности:
sudo service kics4net-epp-proxy restartsudo service kics4net-fts restartsudo service kics4net-postgresql restartsudo service kics4net restartsudo service kics4net-webserver restart - Если компьютер выполняет функции сенсора, введите команду:
sudo service kics4net-epp-proxy restartsudo service kics4net restartsudo service kics4net-websensor restart
- Если компьютер выполняет функции Сервера, введите команды в следующей последовательности:
Проверка регистрации событий с помощью тестового сетевого пакета
Для проверки регистрации событий в Kaspersky Industrial CyberSecurity for Networks вы можете использовать тестовый сетевой пакет. При обнаружении такого пакета в трафике программа регистрирует тестовые события по следующим технологиям:
- Контроль технологического процесса. Событие регистрируется независимо от наличия правил контроля процесса и тегов.
- Контроль целостности сети. Событие регистрируется независимо от наличия правил контроля взаимодействий. При этом должно быть включено применение технологии Контроль целостности сети.
- Обнаружение вторжений. Событие регистрируется независимо от наличия правил обнаружения вторжений. При этом должно быть включено применение метода обнаружения вторжений по правилам.
- Контроль активов. Событие регистрируется независимо от наличия устройств в таблице устройств, известных программе. При этом должно быть включено применение метода обнаружения активности устройств.
Для регистрации используются системные типы событий, которым присвоены следующие коды:
- 4000000001 – для события по технологии Контроль технологического процесса;
- 4000000002 – для события по технологии Контроль целостности сети;
- 4000000003 – для события по технологии Обнаружение вторжений;
- 4000000004 – для события по технологии Контроль активов.
Вы можете просмотреть тестовые события в таблице зарегистрированных событий.
Для проверки функции аудита Kaspersky Industrial CyberSecurity for Networks сохраняет информацию о регистрации тестовых событий в журнале аудита. По каждому зарегистрированному событию создается запись аудита, в которой указана технология регистрации тестового события.
Тестовый сетевой пакет представляет собой пакет протокола UDP с определенными значениями параметров. Параметры заданы таким образом, чтобы исключить вероятность получения такого пакета в обычном трафике промышленной сети.
В параметрах тестового сетевого пакета должны быть заданы следующие данные:
- Заголовок Ethernet II:
- MAC-адрес отправителя:
00:00:00:00:00:00. - MAC-адрес получателя:
ff:ff:ff:ff:ff:ff. - EtherType:
0x0800 (IPv4).
- MAC-адрес отправителя:
- Заголовок IP:
- IP-адрес отправителя:
127.0.20.20. - IP-адрес получателя:
127.0.20.20. - ID:
20. - TTL:
20. - Protocol type:
17 (UDP). - Флаги:
0x00.
- IP-адрес отправителя:
- Заголовок UDP:
- Порт отправителя:
20. - Порт получателя:
20.
- Порт отправителя:
- Содержимое пакета:
- Длина содержимого пакета, байт:
20. - Содержимое пакета: "
KICS4Net Sentinel 20".
- Длина содержимого пакета, байт:
Для формирования и отправки тестового сетевого пакета вы можете использовать программу генерации сетевых пакетов, например Scapy. Отправку тестового сетевого пакета нужно выполнить с узла, трафик которого контролируется Kaspersky Industrial CyberSecurity for Networks.
Пример: Чтобы отправить тестовый сетевой пакет с помощью программы Scapy в операционной системе Linux:
После обнаружения пакета в трафике программа Kaspersky Industrial CyberSecurity for Networks зарегистрирует тестовые события. |
Синхронизация времени на узлах Kaspersky Industrial CyberSecurity for Networks с источником времени для устройств промышленной сети
Для правильного сопоставления времени регистрации событий с моментами, когда события произошли в промышленной сети, в системе необходимо обеспечить синхронизацию времени. Синхронизация времени должна выполняться на узлах с установленными компонентами Kaspersky Industrial CyberSecurity for Networks с общим источником времени, который используют устройства промышленной сети.
При централизованной установке Kaspersky Industrial CyberSecurity for Networks вы можете включить автоматическую синхронизацию времени Сервера с узлами, на которых установлены сенсоры. В этом случае источником времени для узлов с установленными сенсорами будет узел с установленным Сервером. Синхронизацию времени Сервера с общим источником времени, который используют устройства в промышленной сети, рекомендуется настроить с помощью программных средств из состава операционной системы компьютера, выполняющего функции Сервера. Для синхронизации времени Сервера вы можете использовать стандартные протоколы Network Time Protocol (NTP) и Precision Time Protocol (PTP).
Для автоматической синхронизации времени Сервера с другими узлами используется протокол NTP. При этом на узлах с установленными сенсорами нельзя настраивать синхронизацию с другими источниками времени и использовать протокол PTP.
Если установка сенсора выполнена локально с помощью скрипта kics4net-install.sh, на этом узле не выполняется автоматическая синхронизация времени с Сервером. В этом случае требуется настроить синхронизацию времени как на Сервере, так и на всех узлах с сенсорами, которые были установлены локально.
Примеры последовательности действий для настройки синхронизации времени см. в Приложении.
В начало
Обновление сертификатов SSL-соединений
В Kaspersky Industrial CyberSecurity for Networks могут использоваться следующие сертификаты:
- сертификаты для соединений между узлами Kaspersky Industrial CyberSecurity for Networks;
- сертификаты для подключения к Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс;
- сертификаты для подключения через Kaspersky Industrial CyberSecurity for Networks API;
- сертификаты для подключения коннекторов;
- сертификаты для соединений с Kaspersky Endpoint Agent.
Рекомендуется обновлять сертификаты в следующих случаях:
- текущие сертификаты скомпрометированы;
- закончился срок действия сертификатов;
- нужно выполнить регулярное обновление сертификатов в соответствии с требованиями информационной безопасности на предприятии.
Обновление сертификатов для соединений между узлами Kaspersky Industrial CyberSecurity for Networks
Во время установки Kaspersky Industrial CyberSecurity for Networks происходит автоматическое обновление сертификатов для соединений между узлами Kaspersky Industrial CyberSecurity for Networks. Вы можете принудительно обновить эти сертификаты, не выполняя переустановку компонентов программы.
Чтобы обновить сертификаты для соединений между узлами Kaspersky Industrial CyberSecurity for Networks:
- На компьютере Сервера перейдите в директорию /opt/kaspersky/kics4net/sbin/ и введите команду запуска скрипта локального обновления сертификатов:
sudo bash kics4net-update-certs.sh - После завершения работы скрипта переведите все сенсоры в начальное состояние с помощью скрипта для локального перевода узла в начальное состояние kics4net-reset-to-defaults.sh. Скрипт находится на компьютере с установленным компонентом программы в директории /opt/kaspersky/kics4net/sbin/.
- Заново добавьте и подключите сенсоры.
Обновление сертификата для подключения к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс
Для обновления сертификата для подключения к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс вам нужно заменить сертификат, используемый веб-сервером. Вы можете указать новый сертификат веб-сервера в разделе Параметры → Серверы подключений на закладке Веб-сервер.
Обновление сертификата для подключения к Серверу через Kaspersky Industrial CyberSecurity for Networks API
Для обновления сертификата для подключения к Серверу через Kaspersky Industrial CyberSecurity for Networks API вам нужно заменить сертификат, используемый сервером REST API. Вы можете указать новый сертификат сервера REST API в разделе Параметры → Серверы подключений на закладке Сервер REST API.
Обновление сертификатов для подключения коннекторов
Вы можете обновлять сертификаты для подключения коннекторов при создании новых файлов свертки для коннекторов.
Обновление сертификатов для соединений с Kaspersky Endpoint Agent
Вы можете обновлять сертификаты для соединений с Kaspersky Endpoint Agent при изменении параметров серверов интеграции.
В начало
Обновление баз и программных модулей
В Kaspersky Industrial CyberSecurity for Networks предусмотрена возможность обновления следующих баз и программных модулей:
- системные правила обнаружения вторжений;
- правила получения сведений об устройствах и протоколах взаимодействий;
- правила корреляции событий для регистрации инцидентов;
- модули обработки протоколов прикладного уровня для контроля технологического процесса;
- база данных известных уязвимостей;
- методы определения техник возможных атак по событиям обнаружения системных команд.
Базы и программные модули обновляются после установки обновлений, выпускаемых "Лабораторией Касперского".
Своевременная установка обновлений обеспечивает максимальную защиту промышленной сети с помощью Kaspersky Industrial CyberSecurity for Networks. Кроме того, обновления могут дополнять и обновлять программные модули, участвующие в обеспечении безопасности программы. Если не выполняется регулярная установка обновлений, с течением времени появляются риски для безопасности программы из-за появления новых угроз. Дополнительно необходимо устанавливать обновления безопасности операционной системы.
Сразу после установки компонентов Kaspersky Industrial CyberSecurity for Networks рекомендуется вручную запустить установку обновлений. Для регулярной установки обновлений вы можете настроить параметры автоматического запуска по расписанию.
Вы можете использовать следующие источники обновлений:
- серверы обновлений "Лаборатории Касперского";
- Сервер администрирования Kaspersky Security Center.
В качестве источника обновлений вы также можете использовать файлы из локального ресурса, если запуск установки обновлений выполняется вручную.
Вы можете настраивать параметры и запускать установку обновлений при подключении к Серверу через веб-интерфейс.
Обновление баз и программных модулей имеет следующие особенности и ограничения:
- Функциональность обновления доступна после добавления лицензионного ключа.
Функциональность обновления (включая загрузку обновлений антивирусных сигнатур и обновлений кодовой базы) будет недоступна в программном обеспечении на территории США с 12:00AM по восточному летнему времени (EDT) 10 сентября 2024 года в соответствии с ограничительными мерами.
- Для загрузки обновлений с серверов обновлений "Лаборатории Касперского" требуется доступ в интернет. При подключении к серверам обновлений с компьютера, который выполняет функции Сервера Kaspersky Industrial CyberSecurity for Networks, соединение осуществляется по протоколу HTTPS (при этом соединение через прокси-сервер не поддерживается).
- Для загрузки обновлений с Сервера администрирования Kaspersky Security Center в Kaspersky Industrial CyberSecurity for Networks должна быть добавлена функциональность взаимодействия программы с Kaspersky Security Center. Вы можете добавить эту функциональность при установке или переустановке Kaspersky Industrial CyberSecurity for Networks. Загрузка обновлений выполняется из хранилища Сервера администрирования, которое заполняется при использовании соответствующей задачи в Kaspersky Security Center.
Запуск обновления вручную
Вы можете запустить обновление в любой момент. Возможность запуска обновления доступна после добавления лицензионного ключа.
Запускать обновление вручную могут только пользователи с ролью Администратор.
Чтобы запустить обновление вручную:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Обновление.
- В блоке параметров Источник для обновления вручную выберите один из следующих вариантов использования источников обновлений:
- Локальный источник обновлений – позволяет загрузить обновления из файлов по указанному локальному пути. Вы можете указать локальный путь к файлам с помощью кнопки Обзор.
- Серверы обновлений "Лаборатории Касперского" – для загрузки обновлений с серверов обновлений "Лаборатории Касперского".
- Сервер администрирования Kaspersky Security Center – для загрузки обновлений с Сервера администрирования Kaspersky Security Center (этот вариант доступен, если добавлена функциональность взаимодействия программы с Kaspersky Security Center).
- Нажмите на кнопку Обновить сейчас.
Настройка автоматического обновления
После добавления лицензионного ключа вы можете настроить автоматическое обновление по расписанию.
Настраивать автоматическое обновление по расписанию могут только пользователи с ролью Администратор.
Чтобы включить и настроить автоматическое обновление по расписанию:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Обновление.
- С помощью переключателя Обновление по расписанию включите автоматическое обновление.
- В блоке параметров Источник для обновления по расписанию выберите один из следующих вариантов использования источников обновлений:
- Серверы обновлений "Лаборатории Касперского" – для загрузки обновлений с серверов обновлений "Лаборатории Касперского".
- Сервер администрирования Kaspersky Security Center – для загрузки обновлений с Сервера администрирования Kaspersky Security Center (этот вариант доступен, если добавлена функциональность взаимодействия программы с Kaspersky Security Center).
- Задайте параметры расписания для запуска обновления. Для этого выполните следующие действия:
- В раскрывающемся списке Периодичность укажите, когда будет происходить обновление. Выберите один из следующих вариантов: По часам, По дням, Каждую неделю, Каждый месяц.
- В зависимости от выбранного варианта задайте значения параметров, которые уточняют время запуска обновления.
- Нажмите на кнопку Сохранить параметры.
Просмотр сведений об установке обновлений
Вы можете просматривать общие и подробные сведения об установке обновлений.
Общие сведения об установленных обновлениях
Общие сведения содержат информацию о датах и времени выпуска установленных обновлений баз и программных модулей.
Чтобы просмотреть общие сведения об установленных обновлениях,
на странице веб-интерфейса программы выберите раздел О программе.
Подробные сведения об установке обновлений
Подробные сведения содержат информацию о запусках процессов установки обновлений. Программа сохраняет следующие подробные сведения:
- дата и время запуска процесса обновления;
- режим запуска обновления;
- дата и время выпуска баз и программных модулей, установленных в процессе обновления (при успешном обновлении);
- информация об ошибке (если обновление завершилось неудачно);
- список обновленных баз и программных модулей.
Подробные сведения об установке обновлений сохраняются в журнале сообщений программы.
В начало
Разделение доступа к функциям программы
В Kaspersky Industrial CyberSecurity for Networks вы можете разграничивать доступ пользователей к функциям программы в зависимости от задач пользователей.
Для доступа к программе могут использоваться следующие учетные записи:
- созданные в программе учетные записи пользователей;
- учетные записи пользователей Kaspersky Security Center, для которых настроена технология единого входа (SSO).
Подключения к Серверу под другими учетными записями, а также анонимные подключения, невозможны.
Для учетных записей, имеющих доступ к программе, не требуется регистрация в качестве учетных записей операционной системы компьютера Сервера.
Первую учетную запись пользователя программы требуется создать при начальной настройке Kaspersky Industrial CyberSecurity for Networks. После этого вы можете создавать дополнительные учетные записи, от имени которых будут выполняться действия в программе.
В зависимости от того, к какому компоненту выполнено подключение через веб-интерфейс, пользователю доступны следующие наборы функций:
При подключении к Серверу программа предоставляет доступ к функциям в зависимости от роли пользователя, который выполнил подключение.
Об учетных записях пользователей программы
Для разграничения доступа к функциям программы реализована модель управления доступом на основе ролей (Role Based Access Control, RBAC). Роль учетной записи пользователя программы определяет набор доступных пользователю действий. Для учетных записей пользователей программы предусмотрены следующие роли:
- Администратор.
Пользователь с ролью Администратор обладает правами доступа, которые позволяют использовать все функции управления работой программы, мониторинга и просмотра сведений. Также этому пользователю доступны функции управления учетными записями, созданными в программе.
- Оператор.
Пользователь с ролью Оператор обладает правами доступа только для мониторинга и просмотра сведений.
Первой учетной записи пользователя, созданной при начальной настройке программы, назначается роль Администратор.
При добавлении следующих учетных записей вы можете назначать им нужные роли. В программе можно создать до 100 учетных записей пользователей программы (без учета пользователей, для которых настроена технология единого входа из Kaspersky Security Center).
При подключении к Серверу пользователь получает права доступа, соответствующие роли его учетной записи. Если во время работы пользователя, созданного в программе, его роль была изменена другим пользователем (которому назначена роль Администратор), права доступа подключенного пользователя обновляются в онлайн-режиме. Например, пользователь, подключившийся к Серверу с ролью Администратор, потеряет права доступа к функциям управления программой после назначения роли Оператор для его учетной записи.
Вы можете управлять учетными записями пользователей, которые были созданы в программе, в разделе Параметры → Пользователи веб-интерфейса Kaspersky Industrial CyberSecurity for Networks.
В начало
Функции программы, доступные при подключении к Серверу через веб-интерфейс
В этом разделе приведены функции программы, доступные пользователям при подключении к Серверу через веб-интерфейс (см. таблицу ниже).
Доступные функции программы в зависимости от роли пользователя
Просмотр сведений об учетных записях пользователей программы
При подключении к Серверу через веб-интерфейс вы можете просматривать сведения об учетных записях, созданных в программе. Сведения об учетных записях пользователей Kaspersky Security Center, для которых настроена технология единого входа (SSO), не отображаются в программе.
Просматривать сведения об учетных записях пользователей могут только пользователи с ролью Администратор.
Чтобы просмотреть сведения об учетных записях пользователей программы:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Пользователи.
На закладке Пользователи отобразятся карточки пользователей, содержащие имена и роли пользователей программы.
В начало
Создание учетной записи пользователя программы
Создать учетную запись пользователя программы могут только пользователи с ролью Администратор.
Чтобы создать учетную запись пользователя программы:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Пользователи.
- Добавьте новую карточку пользователя. Для этого нажмите на карточку со знаком
+.Появится новая карточка пользователя, внутри которой отобразятся поля для ввода учетных данных и выбора роли учетной записи нового пользователя.
- В поле для ввода имени пользователя введите имя пользователя, учетную запись которого вы хотите создать.
Вы можете использовать прописные и строчные буквы латинского алфавита, цифры, точку, символы
_и-.Имя учетной записи пользователя должно удовлетворять следующим требованиям:
- является уникальным в списке имен пользователей программы (регистр символов не учитывается);
- содержит 3–20 символов;
- начинается с буквы;
- заканчивается любым поддерживаемым символом, кроме точки.
- В полях для ввода пароля введите пароль, который вы хотите задать для учетной записи пользователя.
Пароль должен удовлетворять следующим требованиям:
- содержит от 8 до 256 символов ASCII;
- содержит одну или несколько прописных букв латинского алфавита;
- содержит одну или несколько строчных букв латинского алфавита;
- содержит одну или несколько цифр;
- содержит не более трех одинаковых символов подряд.
- В раскрывающемся списке выберите нужную роль пользователя: Администратор или Оператор.
- Нажмите на кнопку Сохранить.
В карточке пользователя отобразится значок с именем учетной записи пользователя и назначенная ему роль.
В начало
Изменение роли учетной записи пользователя программы
При подключении к Серверу через веб-интерфейс вы можете изменять роли учетных записей, созданных в программе. Этот способ изменения ролей недоступен для учетных записей пользователей Kaspersky Security Center, для которых настроена технология единого входа (SSO).
Изменять роли учетных записей могут только пользователи с ролью Администратор.
Пользователь с ролью Администратор может изменить роль любой учетной записи пользователя, кроме роли своей учетной записи.
Чтобы изменить роль учетной записи пользователя программы:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Пользователи.
- Нажмите на кнопку Изменить в карточке пользователя, роль которого вы хотите изменить.
Карточка пользователя перейдет в режим редактирования параметров учетной записи.
- В раскрывающемся списке выберите нужную роль учетной записи пользователя: Администратор или Оператор.
- Нажмите на кнопку Сохранить.
В карточке пользователя отобразится значок с именем пользователя и назначенная роль для его учетной записи.
В начало
Удаление учетной записи пользователя программы
При подключении к Серверу через веб-интерфейс вы можете удалять учетные записи, созданные в программе. Этот способ удаления недоступен для учетных записей пользователей Kaspersky Security Center, для которых настроена технология единого входа (SSO).
Удалить учетную запись пользователя программы могут только пользователи с ролью Администратор.
Пользователь с ролью Администратор может удалить любую учетную запись, кроме своей учетной записи.
Чтобы удалить учетную запись пользователя программы:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Пользователи.
- Нажмите на кнопку Удалить в карточке пользователя, которого вы хотите удалить.
Откроется окно с запросом подтверждения.
- В окне запроса нажмите на кнопку ОК.
Изменение пароля учетной записи
После подключения к Серверу через веб-интерфейс вы можете изменить пароль своей учетной записи, под которой выполнено подключение. Изменение пароля пользователя на странице веб-интерфейса Kaspersky Industrial CyberSecurity for Networks доступно только для учетной записи, созданной в программе. Этот способ изменения пароля недоступен для учетных записей пользователей Kaspersky Security Center, для которых настроена технология единого входа (SSO).
Рекомендуется изменять пароль в следующих случаях:
- выполнено первое подключение после создания учетной записи в программе;
- текущий пароль скомпрометирован;
- нужно выполнить регулярную смену пароля в соответствии с требованиями информационной безопасности на предприятии.
Чтобы изменить пароль своей учетной записи:
- На странице веб-интерфейса Kaspersky Industrial CyberSecurity for Networks откройте меню пользователя:
- Если меню свернуто, нажмите на кнопку .
- Если меню развернуто, нажмите на кнопку справа от имени текущего пользователя.
- Если меню свернуто, нажмите на кнопку
- В меню пользователя выберите пункт Изменить пароль.
Появится окно Изменение пароля.
- В поле Текущий пароль введите ваш текущий пароль.
- В полях Новый пароль и Новый пароль (повторно) введите новый пароль.
Новый пароль должен удовлетворять условиям, перечисленным в окне Изменение пароля. В процессе ввода пароля автоматически отмечаются выполненные условия.
- Нажмите на кнопку Изменить. Кнопка доступна после ввода текущего и нового паролей и выполнения всех требований к новому паролю.
Новый пароль потребуется при следующем подключении к Серверу через веб-интерфейс.
В начало
Настройка контроля активов
Kaspersky Industrial CyberSecurity for Networks позволяет контролировать активы предприятия, представленные устройствами промышленной сети. Устройства идентифицируются программой по MAC- и/или IP-адресам. Программа может получать сведения об устройствах следующими способами:
- при обработке трафика, поступающего через точки мониторинга;
- при обработке данных, поступающих от EPP-программ.
Для контроля активов в программе формируются таблица устройств и таблица подсетей. Таблица устройств содержит сведения об устройствах, полученные программой автоматически или указанные вручную.
Известные программе подсети используются для проверки IP-адресов, обнаруженных программой. В зависимости от типа подсети, которой принадлежит обнаруженный IP-адрес, программа может выполнять различные действия для контроля активов и контроля взаимодействий устройств.
Автоматическое получение и обновление сведений об устройствах поддерживается для таких сведений, которые программа может определить (например, адресная информация устройства).
Автоматическое добавление подсетей выполняется только по поступившим данным от EPP-программ. Программа автоматически добавляет обнаруженные подсети в таблицу подсетей, если они являются вложенными в подсети, для которых включен режим автоматического добавления подсетей.
Для обнаружения активности устройств и автоматического обновления сведений должны быть включены соответствующие методы технологии Контроль активов. При необходимости вы можете вручную указать значения конкретных сведений и выключить их автоматическое обновление, чтобы зафиксировать текущие значения (например, категорию устройства, если текущая заданная категория отличается от той, которая определяется автоматически).
Некоторые сведения об устройствах требуется указать вручную, для них не предусмотрено автоматическое обновление. Такие сведения позволяют сохранить в таблице устройств специфическую информацию, а также добавить отсутствующие критерии для упорядочивания и фильтрации устройств. В частности, с помощью заданных вручную сведений вы можете распределять устройства по разным группам в дереве групп или выполнять фильтрацию и поиск по меткам устройств.
Вы можете настраивать контроль активов и изменять сведения об устройствах на странице веб-интерфейса Сервера в разделе Активы. Также вы можете просматривать информацию о взаимодействиях устройств и выполнять различные действия с устройствами при работе с картой сети. Для удобного представления информации о взаимодействиях устройств и для обеспечения автоматической группировки устройств по подсетям вы можете сформировать список подсетей и указать в программе структуру подсетей в сети вашего предприятия.
Методы и режимы контроля активов
При контроле активов в Kaspersky Industrial CyberSecurity for Networks применяются следующие методы:
- Обнаружение активности устройств. Этот метод позволяет отслеживать активность устройств в трафике промышленной сети по полученным MAC- и/или IP-адресам устройств.
- Обнаружение сведений об устройствах. Этот метод позволяет автоматически получать и обновлять сведения об устройствах на основе полученных данных из трафика или от EPP-программ.
- Контроль проектов ПЛК. Этот метод позволяет обнаруживать в трафике информацию о проектах ПЛК, сохранять эту информацию в программе и сравнивать с ранее полученной информацией.
- Обнаружение уязвимостей. Этот метод позволяет обнаруживать уязвимости в устройствах по сохраненным сведениям об устройствах.
Вы можете включать и выключать применение методов контроля активов по отдельности.
Для методов контроля активов предусмотрены следующие режимы:
- Режим обучения. Этот режим предназначен для временного использования. В этом режиме программа считает разрешенными все устройства, активность которых обнаружена в трафике. Вы можете включить режим обучения только для метода обнаружения активности устройств. При этом метод обнаружения активности устройств может применяться совместно с другими методами контроля активов.
- Режим наблюдения. Этот режим предназначен для постоянного использования. В этом режиме при обнаружении активности устройств программа считает разрешенными только те из них, которым присвоен статус Разрешенное.
В зависимости от выбранного режима программа автоматически присваивает статусы устройствам.
В режиме обучения программа не регистрирует события при обнаружении активности устройств или при автоматическом обновлении сведений об устройствах.
Режим обучения контроля активов должен быть включен на время, достаточное для обнаружения активности нужных устройств. Это время зависит от количества устройств в промышленной сети, периодичности их работы и обслуживания. Рекомендуется включать режим обучения на время не менее одного часа. В крупных промышленных сетях, для обнаружения активности всех нужных устройств, режим обучения можно включить на период от одного до нескольких дней.
Обработка полученных MAC- и IP-адресов устройств выполняется со следующими особенностями:
- Для устройств, которые выполняют функции сетевого коммутатора между сегментами промышленной сети, должен быть выставлен признак маршрутизирующего устройства. Если этот признак не определен автоматически, то его требуется выставить вручную. Иначе до выставления признака маршрутизирующего устройства программа может не добавить в таблицу устройств те устройства, которые взаимодействуют через это маршрутизирующее устройство в разных сегментах промышленной сети. После выставления признака взаимодействующие устройства будут добавлены в таблицу устройств при появлении соответствующего трафика с их участием.
- Если в трафике обнаружен только IP-адрес устройства (IP-адрес невозможно сопоставить с каким-либо MAC-адресом), этот IP-адрес проверяется на принадлежность известным программе подсетям. Для метода обнаружения активности устройств не учитываются IP-адреса, которые принадлежат только подсетям с типом Публичная.
При включенном методе обнаружения сведений об устройствах программа автоматически обновляет сведения об устройствах. Например, программа может автоматически обновлять название операционной системы, установленной на устройстве, по мере обнаружения уточняющих данных в трафике этого устройства. Обновляются те сведения, для которых включено автоматическое изменение в параметрах устройств.
Для автоматического получения сведений об устройствах программа анализирует трафик промышленной сети по правилам определения сведений об устройствах и протоколов взаимодействия устройств. Эти правила встроены в программу.
После установки программы используются исходные правила определения сведений об устройствах и протоколов взаимодействия устройств. В большинстве случаев правила выдают верные результаты. Однако возможны ситуации c неверным определением сведений из-за технических особенностей реализации устройств (например, определение категорий некоторых устройств). Для повышения точности определения специалисты "Лаборатории Касперского" регулярно обновляют базы с наборами правил. Вы можете обновлять правила, устанавливая обновления.
В режиме наблюдения программа регистрирует соответствующие события по технологии Контроль активов. В зависимости от применяемых методов, события могут регистрироваться в следующих случаях:
- обнаружение активности неизвестных устройств или устройств со статусом Неиспользуемое;
- автоматическое изменение сведений об устройствах;
- обнаружение операций чтения или записи проектов и блоков проектов ПЛК;
- обнаружение уязвимостей и изменений, связанных с уязвимостями.
При включенном методе контроля проектов ПЛК программа может регистрировать большое количество событий, связанных с обнаружением операций чтения и записи проектов или блоков. Как правило, большое количество событий регистрируется на начальном этапе использования метода. Для сокращения общего количества регистрируемых событий после установки программы по умолчанию метод контроля проектов ПЛК выключен. Вы можете включить этот метод в любое время.
В начало
Выбор применяемых методов и изменение режима контроля активов
Управлять методами и режимами контроля активов могут только пользователи с ролью Администратор.
Чтобы включить или выключить применение методов контроля активов:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Технологии.
- Включите или выключите применение методов контроля активов, используя следующие переключатели:
- Обнаружение активности устройств.
- Обнаружение сведений об устройствах.
- Контроль проектов ПЛК.
- Обнаружение уязвимостей.
- После включения или выключения метода дождитесь перевода переключателя в нужное состояние (Включено или Выключено).
Процесс занимает некоторое время, переключатель при этом будет недоступен. Дождитесь включения или выключения метода.
- Если включен метод обнаружения активности устройств, выберите нужный режим контроля активов с применением метода. Для этого в раскрывающемся списке справа от названия метода выберите одно из следующих значений:
- Обучение – для применения метода в режиме обучения.
- Наблюдение – для применения метода в режиме наблюдения.
- После выбора режима дождитесь появления названия этого режима в поле раскрывающегося списка.
Процесс занимает некоторое время, при этом в раскрывающемся списке отображается статус Изменение. Дождитесь включения выбранного режима.
Выбор источников для контроля уязвимостей устройств
При контроле уязвимостей устройств программа обнаруживает уязвимости, сведения о которых загружены в базу данных уязвимостей из различных источников. Вы можете выбирать источники сведений об уязвимостях для обнаружения уязвимостей только определенных источников.
Выбирать источники для обнаружения уязвимостей устройств могут только пользователи с ролью Администратор.
Чтобы включить или выключить использование источников сведений об уязвимостях:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- В разделе Уязвимости откройте окно для выбора источников по ссылке Источники.
- Включите или выключите использование источников. Список содержит список всех источников, которые есть в базе данных известных уязвимостей.
- Нажмите на кнопку Применить.
Добавление устройств вручную
Вы можете вручную добавить новое устройство в таблицу устройств. Для добавляемого устройства требуется указать уникальные MAC- и/или IP-адреса.
Добавлять устройства вручную могут только пользователи с ролью Администратор.
Добавлять устройства можно следующими способами:
- Добавление устройства при работе с таблицей устройств
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- На закладке Устройства в разделе Активы откройте область деталей по ссылке Добавить устройство.
- На закладке Адреса в области деталей укажите уникальные MAC- и/или IP-адреса устройства.
- Вы можете указать несколько IP-адресов для одного сетевого интерфейса устройства. Для формирования списка IP-адресов выполните одно из следующих действий:
- Если вы хотите добавить IP-адрес, нажмите на кнопку Добавить IP-адрес.
- Если вы хотите удалить IP-адрес, нажмите на значок , который расположен справа от поля со значением IP-адреса.
- Если устройство имеет несколько сетевых интерфейсов, сформируйте список сетевых интерфейсов устройства и укажите для них соответствующие MAC- и/или IP-адреса.
Для этого выполните одно из следующих действий:
- Если вы хотите добавить сетевой интерфейс, нажмите на кнопку Добавить интерфейс, которая расположена под группой параметров последнего сетевого интерфейса устройства.
- Если вы хотите удалить сетевой интерфейс, нажмите на кнопку Удалить интерфейс, которая расположена справа от названия сетевого интерфейса устройства (при наличии двух и более сетевых интерфейсов).
- Если вы хотите задать другое имя для сетевого интерфейса, нажмите на значок
, который расположен справа от текущего имени, и введите новое имя сетевого интерфейса в появившемся поле.
- На закладке Параметры в области деталей укажите нужные значения в полях, определяющих сведения об устройстве.
- На закладках Адреса и Параметры в области деталей включите или выключите автоматическое изменение для нужных сведений об устройстве. Для этого используйте переключатели Автообновление, расположенные над полями с возможностью автоматического изменения. Для поля Статус переключатель автоматического изменения имеет название Автоизменение на Неиспользуемое из-за особенностей автоматического изменения статусов устройств.
- На закладке Пользовательские поля в области деталей при необходимости сформируйте список пользовательских полей.
- Нажмите на кнопку Сохранить.
Кнопка недоступна, если в параметрах устройства указаны не все необходимые сведения или заданы недопустимые значения. Закладка с параметрами, требующими ввода правильных значений, отмечена значком
.
В таблице устройств появится новое устройство со статусом Разрешенное.
- Добавление устройства на основе узла карты сети
После добавления устройства вы можете добавить параметры контроля процесса для устройства.
Объединение устройств
Если по каким-либо причинам одно устройство представлено как несколько устройств в таблице, эти устройства можно объединить в одно устройство. Объединение устройств может выполняться автоматически при включенном методе обнаружения активности устройств в режиме обучения. Также вы можете объединять устройства вручную.
Автоматическое объединение устройств происходит в случае, если программа определила связь MAC-адреса одного устройства и IP-адреса другого устройства. При этом, если возникают конфликты заданных значений в сведениях об устройствах, в объединенном устройстве сохранятся те значения, которые были заданы для устройства с IP-адресом. Поэтому перед включением режима обучения (и во время работы в этом режиме) не рекомендуется изменять сведения об устройствах, для которых задан только MAC-адрес и возможно автоматическое объединение с устройствами с заданными IP-адресами.
При объединении устройств некоторые сведения из объединяемых устройств могут не сохраниться в новом устройстве (например, содержимое динамических полей). Кроме того, для объединения устройств требуется, чтобы суммарное количество сетевых интерфейсов в новом устройстве получилось не более 64.
Объединять устройства вручную может только пользователь с ролью Администратор.
Объединять устройства можно следующими способами:
Удаление устройств
Вы можете удалить одно или несколько устройств из таблицы устройств.
Удалять устройства может только пользователь с ролью Администратор.
Информация об удаленных устройствах не сохраняется в программе. Если удаленные устройства снова проявят активность в промышленной сети, программа добавит их в таблицу устройств как новые устройства (со статусом Разрешенное или Неразрешенное в зависимости от текущего режима работы контроля активов).
Удалять устройства можно следующими способами:
В начало
Изменение статусов устройств вручную
Изменять статусы устройств может только пользователь с ролью Администратор.
Вы можете изменить статус (выбрать один из статусов Разрешенное, Неразрешенное или Неиспользуемое) для одного выбранного устройства или одновременно для нескольких выбранных устройств. Если вы изменяете статус одного выбранного устройства, вы можете включить или выключить автоматическое изменение статуса этого устройства. Если вы изменяете статус нескольких выбранных устройств, вы сможете включить или выключить автоматическое изменение статуса при изменении сведений каждого из этих устройств по отдельности.
После присвоения устройству статуса Неиспользуемое программа может автоматически изменить статус этого устройства, если оно проявит активность. В зависимости от текущего режима работы контроля активов программа присвоит обнаруженному устройству статус Разрешенное или Неразрешенное.
Изменять статусы устройств можно следующими способами:
- Изменение статусов устройств при работе с таблицей устройств
- Изменение статусов устройств при работе с картой сети
Формирование списка подсетей для контроля активов
Вы можете сформировать список известных программе подсетей с учетом особенностей адресации устройств в сети вашего предприятия. Список подсетей можно сформировать вручную.
Если в Kaspersky Industrial CyberSecurity for Networks поступают данные от EPP-программ, программа может использовать эти данные для автоматического добавления подсетей. В этом случае программа автоматически добавляет обнаруженные подсети, если они являются вложенными в подсети, для которых включен режим автоматического добавления подсетей.
Формировать список подсетей могут только пользователи с ролью Администратор.
Для формирования списка подсетей вы можете использовать следующие функции:
В начало
Просмотр сведений об устройствах с IP-адресами из выбранных подсетей
Вы можете просмотреть сведения об устройствах, у которых заданы IP-адреса из выбранных подсетей. Сведения об устройствах выводятся в таблице устройств. В таблице устройств автоматически применяется фильтрация по адресам подсетей.
Чтобы просмотреть сведения об устройствах в таблице устройств:
- Выберите раздел Активы.
- На закладке Подсети выберите подсети, для которых вы хотите просмотреть сведения об устройствах.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Показать устройства.
Откроется закладка Устройства в разделе Активы. В таблице устройств будет применена фильтрация по IP-адресам в адресной информации устройств.
В начало
О распределении устройств по группам
Вы можете распределять устройства по группам, используя дерево групп устройств. Дерево групп устройств поддерживает до шести уровней вложенности.
Устройства могут быть помещены в группы любого уровня иерархии. При этом каждое устройство может быть добавлено только в одну из групп дерева.
Для дерева действует ограничение по количеству групп – не более 1000.
До включения устройства в какую-либо группу сведения об этом устройстве не содержат информацию о размещении устройства. Такое устройство относится к верхнему уровню иерархии в дереве групп. После включения устройства в группу в программе сохраняется размещение этого устройства в виде полного пути к группе в дереве групп.
Для распределения устройств по группам предусмотрены следующие способы:
- Автоматическая группировка устройств по заданному критерию.
При такой группировке устройств программа может автоматически добавлять группы в дерево групп устройств. Группы добавляются при обнаружении устройств, в которых есть сведения, соответствующие выбранному критерию группировки. Имена для групп задаются из диапазона значений выбранного критерия (например, из названий категорий устройств при группировке по категориям).
- Распределение устройств по группам вручную.
Вы можете вручную распределять устройства по группам, включая устройства в нужные группы и исключая из групп. При необходимости вы можете вносить изменения в дерево групп устройств, используя функции формирования дерева групп устройств вручную.
Автоматическая группировка устройств по заданному критерию
Вы можете автоматически группировать устройства в дереве групп устройств по одному из следующих критериев:
- принадлежность IP-адресов известным программе подсетям;
- категории устройств;
- производители устройств.
Выполнять автоматическую группировку устройств могут только пользователи с ролью Администратор.
Чтобы автоматически сгруппировать устройства по заданному критерию, начиная с верхнего уровня иерархии в дереве групп:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- В разделе Карта сети нажмите на одну из следующих кнопок выбора критерия группировки в панели инструментов, которая расположена в левой части области отображения карты сети:
– для группировки устройств по подсетям;
– для группировки устройств по категориям;
– для группировки устройств по производителям.
Откроется окно запроса для выбора варианта группировки.
- В окне запроса нажмите на одну из следующих кнопок в зависимости от нужного результата:
- Если вы хотите сгруппировать устройства по выбранному критерию во всех группах дерева групп устройств, нажмите на кнопку Вместе с дочерними.
- Если вы хотите сгруппировать устройства по выбранному критерию только на верхнем уровне иерархии дерева групп устройств, нажмите на кнопку Только выбранную группу.
Программа определит устройства, подходящие под выбранный критерий группировки, создаст группы для этих устройств и поместит устройства в эти группы.
Чтобы автоматически сгруппировать устройства в выбранной группе устройств:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- В разделе Карта сети выберите группу, в которой вы хотите автоматически сгруппировать устройства.
- По правой клавише мыши откройте контекстное меню.
- В контекстном меню выберите один из следующих пунктов:
- Сгруппировать по подсетям.
- Сгруппировать по категориям.
- Сгруппировать по производителям.
Откроется окно запроса для выбора варианта группировки.
- В окне запроса нажмите на одну из следующих кнопок в зависимости от нужного результата:
- Если вы хотите сгруппировать устройства по выбранному критерию во всех дочерних группах выбранной группы, нажмите на кнопку Вместе с дочерними.
- Если вы хотите сгруппировать устройства по выбранному критерию только в выбранной группе, нажмите на кнопку Только выбранную группу.
Программа определит устройства, подходящие под выбранный критерий группировки, создаст группы для этих устройств и поместит устройства в эти группы (при этом устройства в других группах не будут распределены по новым группам).
Распределение устройств по группам вручную
Управлять размещением устройств в дереве групп могут только пользователи с ролью Администратор.
Для управления размещением устройств в дереве групп вы можете использовать следующие функции:
- Включение одного устройства в группу
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите устройство в разделе Активы на закладке Устройства или в разделе Карта сети.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Изменить.
- В области деталей перейдите на закладку Параметры.
- Нажмите на значок
в правой части поля Группа.Появится окно Выбор группы в дереве.
- В дереве групп устройств выберите нужную группу.
Если нужная группа отсутствует в дереве, вы можете ее добавить в текущем открытом окне Выбор группы в дереве.
- Нажмите на кнопку Выбрать.
Путь к выбранной группе появится в поле Группа.
- Нажмите на кнопку Сохранить в области деталей.
Кнопка недоступна, если в параметрах устройства указаны не все необходимые сведения или заданы недопустимые значения. Закладка с параметрами, требующими ввода правильных значений, отмечена значком
.
- Включение нескольких устройств в группу
- Исключение одного устройства из группы
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите устройство в разделе Активы на закладке Устройства или в разделе Карта сети.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Изменить.
- В области деталей перейдите на закладку Параметры.
- В поле Группа удалите путь к группе по ссылке Очистить над полем (ссылка отображается, если группа задана).
- Нажмите на кнопку Сохранить.
Кнопка недоступна, если в параметрах устройства указаны не все необходимые сведения или заданы недопустимые значения. Закладка с параметрами, требующими ввода правильных значений, отмечена значком
.
После сохранения изменений для устройства очистится параметр Группа и устройство будет относиться к верхнему уровню иерархии в дереве групп.
- Исключение нескольких устройств из групп
Перемещение узлов и групп в другие группы на карте сети
Вы можете изменять размещение узлов и групп в дереве групп устройств, перетаскивая объекты на карте сети. После перемещения узлы и группы изменяют свое размещение в дереве групп устройств так же, как при включении устройств в группу и исключении устройств из групп.
Перемещать узлы и группы в другие группы могут только пользователи с ролью Администратор.
Чтобы переместить узлы и/или группы в другие группы:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- В разделе Карта сети выберите нужные узлы известных программе устройств и/или свернутые группы.
Для выбора нескольких узлов и/или групп выполните одно из следующих действий:
- Удерживая нажатой клавишу SHIFT, выделите мышью прямоугольную область с нужными объектами.
- Удерживая нажатой клавишу CTRL, выберите нужные объекты с помощью мыши.
В правой части окна веб-интерфейса появится область деталей. В области деталей отобразится общее количество выбранных узлов и групп с количественным распределением выбранных объектов по типам.
- Если выбранные объекты относятся к различным типам или категориям устройств, вы можете исключить объекты определенных типов (например, узлы неизвестных программе устройств) или категорий (например, ПЛК). Для этого снимите флажок рядом с названием типа или категории.
- Наведите курсор на один из выбранных объектов (группу или узел, представляющий известное программе устройство).
- Нажмите на клавишу CTRL и, удерживая ее нажатой, перетащите выбранные объекты в нужную группу (или в любое место вне групп, если вы хотите переместить выбранные объекты на верхний уровень иерархии в дереве групп).
Откроется окно с запросом подтверждения.
- В окне запроса подтвердите перемещение выбранных объектов.
Формирование дерева групп устройств вручную
Вы можете формировать дерево групп устройств при работе с таблицей устройств или с картой сети. Функции для формирования дерева доступны в окне Формирование дерева групп или Выбор группы в дереве.
Формировать дерево групп устройств могут только пользователи с ролью Администратор.
Чтобы использовать функции для формирования дерева групп устройств:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- В разделе Активы на закладке Устройства или в разделе Карта сети выполните одно из следующих действий:
- Откройте окно Формирование дерева групп по ссылке Настроить группы.
- Откройте окно Выбор группы в дереве, выполняя добавление устройств в группы. Вы также можете открыть это окно при фильтрации таблицы устройств по графе Группа.
Изменения, сделанные в дереве групп устройств в окне Формирование дерева групп или Выбор группы в дереве, применяются сразу.
Для формирования дерева групп устройств вы можете использовать следующие функции:
- Добавление группы
- В окне Формирование дерева групп или Выбор группы в дереве добавьте новую группу одним из следующих способов:
- Если дерево пустое и вы хотите добавить первую группу, нажмите на кнопку Добавить или на любую из клавиш INSERT или ENTER.
- Если вы хотите добавить группу на одном уровне иерархии с имеющейся группой, выберите эту группу и нажмите на клавишу ENTER.
- Если вы хотите добавить дочернюю группу к имеющейся группе, выберите эту группу и нажмите на кнопку Добавить или на клавишу INSERT.
- В поле ввода введите имя группы.
Вы можете использовать буквы, цифры, пробел, а также следующие специальные символы:
! @ # № $ % ^ & ( ) [ ] { } ' , . - _ /.Имя группы должно удовлетворять следующим требованиям:
- начинается и заканчивается любым символом, кроме пробела;
- содержит до 255 символов;
- не совпадает с именем другой группы из числа включенных в ту же родительскую группу (регистр символов не учитывается).
- Нажмите на значок справа от поля ввода.
- В окне Формирование дерева групп или Выбор группы в дереве добавьте новую группу одним из следующих способов:
- Переименование группы
- В окне Формирование дерева групп или Выбор группы в дереве выберите группу, которую вы хотите переименовать.
- Нажмите на кнопку Переименовать или на клавишу F2.
- В поле ввода введите новое имя группы.
Вы можете использовать буквы, цифры, пробел, а также следующие специальные символы:
! @ # № $ % ^ & ( ) [ ] { } ' , . - _ /.Имя группы должно удовлетворять следующим требованиям:
- начинается и заканчивается любым символом, кроме пробела;
- содержит до 255 символов;
- не совпадает с именем другой группы из числа включенных в ту же родительскую группу (регистр символов не учитывается).
- Нажмите на значок справа от поля ввода.
Новое имя группы появится в сведениях об устройствах, которые добавлены в эту группу или в ее дочерние группы.
- Удаление групп
При удалении группы не удаляются устройства, добавленные в эту группу. Устройства из удаленной группы переводятся на тот же уровень иерархии в дереве устройств, на котором была удаленная группа.
Чтобы удалить группу в дереве групп устройств:
- В окне Формирование дерева групп или Выбор группы в дереве выберите группу, которую вы хотите удалить.
- Нажмите на значок .
Откроется окно запроса для выбора варианта удаления.
- В окне запроса нажмите на одну из следующих кнопок в зависимости от нужного результата:
- Если вы хотите удалить только выбранную группу и оставить ее дочерние группы, нажмите на кнопку Только выбранную.
- Если вы хотите удалить выбранную группу вместе со всеми ее дочерними группами, нажмите на кнопку Вместе с дочерними.
- Перемещение группы
- Поиск групп
- Обновление дерева
Состав групп в дереве групп устройств может быть изменен на Сервере в то время, когда вы работаете с деревом (например, другим пользователем, который выполнил подключение к Серверу).
Вы можете вручную обновлять дерево с помощью значка
в окне Формирование дерева групп или Выбор группы в дереве.
Установка и удаление меток для устройств
Вы можете присваивать устройствам произвольные метки.
Метка устройства содержит текстовое описание, которое позволяет быстро находить или фильтровать устройства в таблице. В качестве меток вы можете сохранять любые удобные вам текстовые описания. Для устройства можно назначить до 16 меток. При этом каждое устройство может иметь свой набор меток.
Списки меток устройств отображаются в таблице устройств в графе Метки. Метки сортируются в ячейке в алфавитном порядке.
Устанавливать и удалять метки для устройств могут только пользователи с ролью Администратор.
Устанавливать и удалять метки можно следующими способами:
- Установка меток для одного устройства
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите устройство в разделе Активы на закладке Устройства или в разделе Карта сети.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Изменить.
В области деталей перейдите на закладку Параметры.
- В поле Метки введите текстовые описания, которые вы хотите использовать в качестве меток. Для разделения меток вы можете использовать клавишу ENTER или символ
;.Вы можете использовать прописные и строчные буквы, цифры, пробел, а также следующие специальные символы:
! @ # № $ % ^ & ( ) [ ] { } ' , . - _.Имя метки должно удовлетворять следующим требованиям:
- начинается и заканчивается любым символом, кроме пробела;
- является уникальным в списке меток устройства (регистр символов не учитывается);
- содержит от 1 до 255 символов.
- При необходимости скопируйте список меток по ссылке Копировать метки. Ссылка отображается, если список меток не пустой.
- Нажмите на кнопку Сохранить.
Кнопка недоступна, если в параметрах устройства указаны не все необходимые сведения или заданы недопустимые значения. Закладка с параметрами, требующими ввода правильных значений, отмечена значком
.
- Установка меток для нескольких устройств
- Удаление меток для одного устройства
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите устройство в разделе Активы на закладке Устройства или в разделе Карта сети.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Изменить.
В области деталей перейдите на закладку Параметры.
- В поле Метки удалите лишние метки:
- с помощью значка
рядом с названиями меток, если вы хотите удалить определенные метки; - по ссылке Очистить над списком меток, если вы хотите удалить все метки.
- с помощью значка
- Нажмите на кнопку Сохранить.
Кнопка недоступна, если в параметрах устройства указаны не все необходимые сведения или заданы недопустимые значения. Закладка с параметрами, требующими ввода правильных значений, отмечена значком
.
- Очистка списков меток для нескольких устройств
Изменение сведений об устройстве
Изменять сведения об устройстве могут только пользователи с ролью Администратор.
Чтобы изменить сведения об устройстве вручную:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- На закладке Устройства в разделе Активы выберите нужное устройство.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Изменить.
В области деталей появятся закладки для просмотра и изменения сведений об устройстве: Адреса, Параметры и Пользовательские поля.
- На закладке Адреса в области деталей укажите MAC- и/или IP-адреса устройства.
Вы можете указать несколько IP-адресов для одного сетевого интерфейса устройства. Для формирования списка IP-адресов выполните одно из следующих действий:
- Если вы хотите добавить IP-адрес, нажмите на кнопку Добавить IP-адрес.
- Если вы хотите удалить IP-адрес, нажмите на значок , который расположен справа от поля со значением IP-адреса.
- Если устройство имеет несколько сетевых интерфейсов, сформируйте список сетевых интерфейсов устройства и укажите для них соответствующие MAC- и/или IP-адреса.
Для формирования списка сетевых интерфейсов устройства выполните одно из следующих действий:
- Если вы хотите добавить сетевой интерфейс, нажмите на кнопку Добавить интерфейс, которая расположена под группой параметров последнего сетевого интерфейса устройства.
- Если вы хотите удалить сетевой интерфейс, нажмите на кнопку Удалить интерфейс, которая расположена справа от названия сетевого интерфейса устройства (при наличии двух и более сетевых интерфейсов).
- Если вы хотите задать другое имя для сетевого интерфейса, нажмите на значок , который расположен справа от текущего имени, и введите новое имя сетевого интерфейса в появившемся поле.
- На закладке Параметры в области деталей укажите нужные значения в полях, определяющих сведения об устройстве.
- На закладках Адреса и Параметры в области деталей включите или выключите автоматическое изменение для нужных сведений об устройстве. Для этого используйте переключатели Автообновление, расположенные над полями с возможностью автоматического изменения. Для поля статус переключатель автоматического изменения имеет название Автоизменение на Неиспользуемое из-за особенностей автоматического изменения статусов устройств.
- На закладке Пользовательские поля в области деталей при необходимости сформируйте список пользовательских полей и их значений.
- Нажмите на кнопку Сохранить.
Кнопка недоступна, если в параметрах устройства указаны не все необходимые сведения или заданы недопустимые значения. Закладка с параметрами, требующими ввода правильных значений, отмечена значком
.
После сохранения изменений в сведениях об устройстве вы можете добавить или изменить параметры контроля процесса для устройства.
Добавление, изменение и удаление пользовательских полей для устройства
Вы можете добавлять, изменять и удалять пользовательские поля со сведениями об устройствах. Пользовательские поля отображаются в области деталей при выборе устройства.
Для пользовательских полей действуют следующие ограничения:
- количество пользовательских полей для одного устройства – не более 16;
- количество символов в имени поля – не более 100;
- количество символов в значении поля – не более 1024.
Добавлять, изменять и удалять пользовательские поля могут только пользователи с ролью Администратор.
Чтобы добавить, изменить или удалить пользовательское поле:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- На закладке Устройства в разделе Активы выберите нужное устройство.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Изменить.
В области деталей появятся закладки для просмотра и изменения сведений об устройстве: Адреса, Параметры и Пользовательские поля.
- Перейдите на закладку Пользовательские поля и выполните одно из следующих действий:
- Если вы хотите добавить пользовательское поле, нажмите на кнопку Добавить пользовательское поле и в открывшихся полях введите имя и значение для пользовательского поля.
- Если вы хотите изменить пользовательское поле, введите новое имя и/или значение нужного пользовательского поля.
- Если вы хотите удалить пользовательское поле, нажмите на значок , который расположен справа от имени пользовательского поля.
- Нажмите на кнопку Сохранить.
Настройка контроля процесса
Kaspersky Industrial CyberSecurity for Networks может контролировать технологический процесс, отслеживая параметры технологического процесса и системные команды, передаваемые в трафике промышленной сети. Программа отслеживает эти данные для устройств, представленных в таблице устройств и имеющих заданные параметры контроля процесса.
Параметры контроля процесса можно настроить для типов устройств и протоколов, поддерживаемых программой.
Для контроля технологического процесса в автоматическом режиме вы можете использовать правила контроля процесса и функциональность отслеживания системных команд. Также вы можете отслеживать параметры технологического процесса в онлайн-режиме.
Правило контроля процесса – это набор параметров, определяющих условие для значений тега. В правилах контроля процесса описываются ситуации, которые необходимо обнаруживать в трафике промышленной сети (например, превышение тегом указанного значения).
При выполнении условия, заданного в правиле, Kaspersky Industrial CyberSecurity for Networks регистрирует событие. Вы можете задать нужные параметры регистрации событий (например, заголовки событий) при настройке правил контроля процесса.
Отслеживание системных команд обеспечивает регистрацию событий обнаружения в трафике переданных системных команд. При настройке параметров контроля процесса для устройств вы можете выбрать нужные системные команды для отслеживания. Эта функциональность может использоваться независимо от правил контроля процесса.
Настраивать параметры контроля процесса для устройств, а также формировать списки контролируемых тегов и правил контроля процесса могут только пользователи с ролью Администратор. При этом возможности просмотра и экспорта данных доступны как пользователям с ролью Администратор, так и пользователям с ролью Оператор.
Вы можете формировать списки контролируемых тегов и правил контроля процесса на странице веб-интерфейса Сервера в разделе Контроль процесса. Параметры контроля процесса для устройств вы можете настраивать при работе с устройствами в разделах Активы и Карта сети.
Поддерживаемые устройства и протоколы
Kaspersky Industrial CyberSecurity for Networks анализирует трафик следующих типов устройств, используемых для автоматизации технологического процесса:
- Программируемые логические контроллеры (далее "ПЛК"):
- ABB AC 700F, 800M;
- Allen-Bradley серий ControlLogix, CompactLogix;
- AutomationDirect DirectLOGIC;
- BECKHOFF серий CX;
- Emerson DeltaV серий MD, MD Plus, MQ;
- Emerson серии ControlWave;
- General Electric RX3i;
- Honeywell C300 для систем управления Experion PKS / PlantCruise;
- Honeywell ControlEDGE серии 900;
- IPU950;
- Mitsubishi System Q E71;
- OMRON серии CJ2M;
- Schneider Electric Foxboro FCP270, FCP280;
- Schneider Electric серии Modicon: M580, M340, Momentum;
- Siemens SIMATIC серий S7-200, S7-300, S7-400, S7-1200, S7-1500;
- YCU и ELC, поддерживающие протокол YARD;
- Yokogawa CENTUM;
- Yokogawa ProSafe-RS;
- ОВЕН серий ПЛК100;
- Прософт-Системы Regul R500;
- устройства в системах управления Valmet DNA;
- устройства, поддерживающие протокол Allen-Bradley EtherNet/IP;
- устройства, поддерживающие протокол COS;
- устройства, поддерживающие протокол FEU;
- устройства, поддерживающие протоколы CODESYS V2, V3;
- устройства, поддерживающие протоколы Siemens S7comm, S7comm-plus;
- устройства, поддерживающие протоколы стандарта PROFINET IO.
- Интеллектуальные электронные устройства (далее IED):
- ABB серии Relion: REF615, RED670, REL670, RET670;
- General Electric серии Multilin: B30, C60;
- MiCOM C264;
- Schneider Electric P545;
- Schneider Electric Sepam серии 80 NPP;
- Siemens серии SIPROTEC 4: 6MD66, 7SA52, 7SJ64, 7SS52, 7UM62, 7UT63;
- Релематика ТОР 300;
- ЭКРА серий 200, БЭ2502, БЭ2704;
- устройства, поддерживающие протокол DNP3;
- устройства, поддерживающие протокол Schneider Electric UMAS;
- устройства, поддерживающие протоколы стандарта IEC 60870: IEC 60870-5-101, IEC 60870-5-104;
- устройства, поддерживающие протоколы стандарта IEC 61850: IEC 61850-8-1 (GOOSE, MMS), IEC 61850-9-2 (Sampled Values);
- устройства, поддерживающие протокол Modbus TCP.
- Устройства с установленным серверным ПО:
- FTP-сервер;
- сервер OPC DA;
- сервер OPC UA;
- сервер TASE.2;
- сервер с поддержкой шифрования.
- Устройства, относящиеся к сетевому оборудованию:
- Moxa серии NPort;
- устройства ввода-вывода, поддерживающие протоколы BACnet, FTP, IEC 60870-5-101, IEC 60870-5-104, Modbus TCP, OPC DA, протокол взаимодействия устройств по технологии WMI, OPC UA Binary.
Дополнительно в Kaspersky Industrial CyberSecurity for Networks предусмотрены универсальные типы устройств для контроля процесса: Универсальный ПЛК, Универсальное устройство IED и Универсальный шлюз. Используя эти типы устройств, вы можете настроить в Kaspersky Industrial CyberSecurity for Networks анализ трафика для тех устройств, которые не входят в список поддерживаемых типов. Для универсальных типов устройств можно указывать любые сочетания протоколов прикладного уровня из числа поддерживаемых протоколов на устройствах, относящихся к программируемым логическим контроллерам, интеллектуальным электронным устройствам и сетевым шлюзам.
Для поддерживаемых типов устройств Kaspersky Industrial CyberSecurity for Networks анализирует взаимодействия по следующим протоколам прикладного уровня:
- ABB SPA-Bus;
- Allen-Bradley EtherNet/IP;
- BECKHOFF ADS/AMS;
- CODESYS V2, V3 Gateway поверх TCP и V3 Gateway поверх UDP;
- COS;
- DMS для устройств ABB AC 700F;
- DNP3;
- Emerson ControlWave Designer;
- Emerson DeltaV, включая протокол обновления встроенного ПО (прошивок);
- FTP;
- General Electric SRTP;
- IEC 60870: IEC 60870-5-101, IEC 60870-5-104;
- IEC 61850: GOOSE, MMS (включая MMS Reports), Sampled Values;
- Mitsubishi MELSEC System Q;
- Modbus TCP;
- OMRON FINS;
- OPC DA, протокол взаимодействия устройств по технологии WMI;
- OPC UA Binary;
- PROFINET IO и RPC для PROFINET IO;
- Schneider Electric UMAS;
- Siemens Industrial Ethernet;
- Siemens S7comm, S7comm-plus;
- TASE.2;
- YARD;
- Yokogawa Vnet/IP;
- Релематика BDUBus;
- модификация протокола Modbus TCP для устройств ЭКРА серии 200;
- протокол взаимодействия устройств AutomationDirect DirectLOGIC;
- протокол взаимодействия устройств Foxboro FCP270, FCP280;
- протокол взаимодействия устройств IPU-FEU;
- протокол взаимодействия устройств MiCOM C264;
- протокол взаимодействия устройств Valmet DNA;
- протокол начальной настройки устройств Прософт-Системы;
- протокол обмена данными с устройствами Emerson серии ControlWave;
- протокол устройств с системным ПО Siemens DIGSI 4;
- протоколы взаимодействия устройств в системах управления Honeywell Experion PKS / PlantCruise;
- протоколы начальной настройки и взаимодействия устройств Moxa серии NPort;
- протоколы обнаружения и взаимодействия устройств Honeywell ControlEDGE серии 900.
Для анализа трафика и взаимодействий устройств программа использует модули обработки протоколов прикладного уровня. Модули, входящие в состав пакетов из комплекта поставки Kaspersky Industrial CyberSecurity for Networks, обеспечивают поддержку перечисленных типов устройств и протоколов прикладного уровня. Вы можете обновлять модули обработки протоколов, устанавливая обновления. При установке обновлений в программу могут быть добавлены новые модули, обеспечивающие поддержку дополнительных типов устройств и/или протоколов прикладного уровня.
В начало
Устройства для контроля процесса
Для контроля технологического процесса вы можете использовать устройства из таблицы устройств, у которых заданы параметры контроля процесса.
В Kaspersky Industrial CyberSecurity for Networks для контроля процесса поддерживаются различные типы устройств и протоколы прикладного уровня.
Вы можете просматривать и изменять параметры контроля процесса в области деталей устройства, выбранного в разделе Активы или Карта сети веб-интерфейса Kaspersky Industrial CyberSecurity for Networks.
Параметры контроля процесса для устройств
Параметры контроля процесса для устройств отображаются в области деталей при выборе устройства в таблице устройств или на карте сети. Если для устройства заданы параметры контроля процесса, область деталей содержит отдельный блок со следующими параметрами:
- Тип устройства – тип устройства из числа поддерживаемых типов устройств для контроля процесса.
- Протокол – название используемого протокола. Для каждого протокола отображаются следующие сведения:
- Системные команды – основные параметры отслеживания системных команд для протокола. В поле отображается общее количество системных команд для протокола и количество отслеживаемых системных команд, при обнаружении которых программа регистрирует события.
- Адрес – в зависимости от выбранного протокола содержит IP-адрес и порт, MAC-адрес или идентификатор домена (для протокола IEC 61850: GOOSE).
- Дополнительные параметры в зависимости от выбранного протокола. Дополнительные параметры отображаются, если для протокола можно настроить не только системные команды и адресную информацию.
Примеры:
При выборе протокола Modbus TCP отображается дополнительный параметр Обратный порядок регистров. Параметр позволяет включить или выключить поддержку обратной последовательности регистров (машинных слов) в 32-разрядных значениях данных.
При выборе протокола IEC 60870-5-101 отображаются следующие дополнительные параметры:
- Адрес ASDU два байта – позволяет включить или выключить режим двухбайтовой адресации для блоков данных прикладного уровня (Application Service Data Unit, ASDU). Если режим выключен, используется однобайтовая адресация.
- Инициатор – позволяет включить или выключить использование дополнительного байта для адреса инициатора в идентификаторе блока данных.
- Блок адреса канала (байт) – количество байт в блоке адреса канального уровня.
- Блок адреса объекта (байт) – количество байт в блоке адреса объекта информации.
Вы можете добавлять параметры контроля процесса для устройств следующими способами:
В начало
Об автоматическом определении параметров контроля процесса для устройств
Kaspersky Industrial CyberSecurity for Networks может автоматически определять параметры контроля процесса для устройств и сохранять эти параметры в сведениях об устройствах. Определение параметров выполняется путем анализа обнаруженных в трафике протокольных команд для устройств, участвующих в технологическом процессе.
Программа автоматически добавляет или изменяет параметры контроля процесса для устройств, которые добавлены в таблицу устройств. Добавление устройств в таблицу также может происходить автоматически, если для контроля активов включен метод обнаружения активности устройств.
Автоматически добавленные параметры контроля процесса считаются системными. Программа может изменять эти параметры, если в трафике обнаружены протокольные команды с обновленной информацией о параметрах.
Параметры контроля процесса, добавленные пользователем вручную, считаются пользовательскими. Программа не изменяет пользовательские параметры контроля процесса. Если пользователь вручную изменит системные параметры контроля процесса, эти параметры также становятся пользовательскими.
Автоматическое определение параметров контроля процесса для устройств выполняется при работе программы в режиме обнаружения устройств для контроля процесса. Вы можете включать и выключать этот режим.
Для автоматического определения параметров контроля процесса в программе используются модули обработки протоколов прикладного уровня. После установки программы используются исходные модули, обеспечивающие определение основных параметров для ряда устройств и протоколов из числа поддерживаемых типов устройств и протоколов. Вы можете обновлять модули обработки протоколов, устанавливая обновления.
В начало
Включение и выключение автоматического определения параметров контроля процесса для устройств
При включенном автоматическом определении параметров контроля процесса для устройств программа может добавлять и изменять параметры только для тех устройств, которые добавлены в таблицу устройств. Если вы хотите, чтобы при определении параметров выполнялось и автоматическое добавление устройств, вам нужно включить применение метода обнаружения активности устройств.
Включать и выключать автоматическое определение параметров контроля процесса для устройств могут только пользователи с ролью Администратор.
Чтобы включить или выключить автоматическое определение параметров контроля процесса для устройств:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Технологии.
- С помощью переключателя Обнаружение устройств для контроля процесса включите или выключите автоматическое определение параметров контроля процесса.
- После включения или выключения режима обнаружения дождитесь перевода переключателя в нужное состояние (Включено или Выключено).
Процесс занимает некоторое время. Переключатель при этом будет недоступен.
Добавление параметров контроля процесса для устройства вручную
Вы можете вручную добавить параметры контроля процесса для устройства при работе с таблицей устройств или с картой сети. Добавленные параметры контроля процесса для устройства считаются пользовательскими. Пользовательские параметры не изменяются при автоматическом определении параметров контроля процесса для устройств.
Добавлять параметры контроля процесса могут только пользователи с ролью Администратор.
Чтобы добавить параметры контроля процесса для устройства:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- В разделе Активы на закладке Устройства или в разделе Карта сети выберите нужное устройство.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Изменить.
В области деталей появятся закладки для просмотра и изменения сведений об устройстве: Адреса, Параметры и Пользовательские поля.
- На закладке Адреса в области деталей нажмите на кнопку Добавить параметры контроля процесса (кнопка отображается, если параметры контроля процесса не заданы).
Появится окно Добавление параметров контроля процесса.
- Настройте параметры контроля процесса:
- Выберите тип устройства.
- Выберите протокол, по которому осуществляется взаимодействие с устройством в рамках технологического процесса.
- При необходимости измените параметры отслеживания системных команд по выбранному протоколу. По умолчанию отслеживаются все системные команды, кроме тех, которые часто возникают при нормальной работе устройства.
- Если для выбранного протокола требуется настроить другие параметры (например, адресную информацию для взаимодействия с устройством), укажите нужные значения в появившихся полях.
- Если вы хотите дополнительно указать другой протокол (поддерживаемый для выбранного типа устройства) или другую комбинацию параметров для ранее выбранного протокола (в случае использования нескольких подключаемых модулей в составе одного устройства), добавьте параметры для этого протокола по ссылке Добавить протокол.
- Нажмите на кнопку Сохранить.
Кнопка недоступна, если в параметрах указаны не все необходимые значения или есть недопустимые значения.
В нижней части закладки Адреса в области деталей появится отдельный блок с заданными параметрами.
В начало
Изменение параметров контроля процесса для устройства
Если для устройства добавлены параметры контроля процесса, вы можете вручную изменить эти параметры при работе с таблицей устройств или с картой сети. После сохранения изменений параметры контроля процесса для устройства считаются пользовательскими. Пользовательские параметры не изменяются при автоматическом определении параметров контроля процесса для устройств.
Изменять параметры контроля процесса могут только пользователи с ролью Администратор.
Чтобы изменить параметры контроля процесса для устройства:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- В разделе Активы на закладке Устройства или в разделе Карта сети выберите нужное устройство.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Изменить.
В области деталей появятся закладки для просмотра и изменения сведений об устройстве: Адреса, Параметры и Пользовательские поля.
- На закладке Адреса в области деталей нажмите на значок
в блоке с заданными параметрами контроля процесса (блок отображается, если заданы параметры контроля процесса).Появится окно Изменение параметров контроля процесса.
- Настройте параметры контроля процесса. Вы можете изменить параметры по отдельности (например, изменить параметры отслеживания системных команд для протокола) или заново настроить все параметры в том же порядке, как при добавлении параметров контроля процесса.
При изменении параметров, которые используются в ранее созданных тегах, программа автоматически удаляет эти теги и связанные с ними правила контроля процесса. Например, если вы удаляете протокол, то после сохранения параметров программа удалит все теги, в которых были указаны устройство и удаленный протокол (в том числе будут удалены и правила контроля процесса, связанные с этими тегами).
- Нажмите на кнопку Сохранить.
Кнопка недоступна, если в параметрах указаны не все необходимые значения или есть недопустимые значения.
В нижней части закладки Адреса в области деталей обновятся сведения в блоке с заданными параметрами.
В начало
Выбор отслеживаемых системных команд
Вы можете настроить отслеживание в трафике системных команд, переданных и полученных устройствами для контроля процесса. В Kaspersky Industrial CyberSecurity for Networks к системным командам относятся как команды управления устройствами (например, START PLC), так и системные сообщения, связанные с функционированием устройств или содержащие результаты анализа пакетов (например, REQUEST NOT FOUND).
При обнаружении отслеживаемой системной команды Kaspersky Industrial CyberSecurity for Networks регистрирует событие по технологии Контроль системных команд. Для регистрации используется системный тип события, которому присвоен код 4000002602. Вы можете настроить параметры для этого типа события.
Настраивать отслеживание системных команд для устройств могут только пользователи с ролью Администратор.
Чтобы настроить отслеживание системных команд для устройства:
- В разделе Активы на закладке Устройства или в разделе Карта сети выберите нужное устройство, для которого заданы параметры контроля процесса.
Если параметры контроля процесса не заданы для устройства, добавьте параметры.
- На закладке Адреса в области деталей нажмите на значок в блоке с заданными параметрами контроля процесса.
Появится окно Изменение параметров контроля процесса.
- Для первого протокола укажите нужные системные команды. Для этого раскройте список Системные команды под полем Протокол и установите флажки у тех системных команд, которые вы хотите отслеживать. После выбора системных команд нажмите на кнопку ОК.
- Если в параметрах контроля процесса дополнительно указан другой протокол (или тот же протокол, но с другой адресной информацией), выберите системные команды, которые будут отслеживаться при взаимодействиях по этому протоколу. Для этого используйте раскрывающийся список Системные команды под полем с названием этого протокола. Аналогичным образом настройте отслеживание системных команд для всех остальных указанных протоколов устройства.
- Нажмите на кнопку Сохранить.
Кнопка недоступна, если в параметрах указаны не все необходимые значения или есть недопустимые значения.
В нижней части закладки Адреса в области деталей обновятся сведения в блоке с заданными параметрами.
В начало
Очистка параметров контроля процесса, заданных для устройства
Вы можете очистить параметры контроля процесса, заданные для устройства, при работе с таблицей устройств или с картой сети.
При очистке параметров контроля процесса, заданных для устройства, программа автоматически удаляет все теги, которые были созданы для этого устройства. Также вместе с тегами удаляются и связанные с ними правила контроля процесса.
Выполнять очистку параметров контроля процесса для устройств могут только пользователи с ролью Администратор.
Чтобы очистить параметры контроля процесса для устройства:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- В разделе Активы на закладке Устройства или в разделе Карта сети выберите нужное устройство.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Изменить.
В области деталей появятся закладки для просмотра и изменения сведений об устройстве: Адреса, Параметры и Пользовательские поля.
- На закладке Адреса в области деталей нажмите на значок в блоке с заданными параметрами контроля процесса (блок отображается, если заданы параметры контроля процесса).
Откроется окно с запросом подтверждения.
- В окне запроса подтвердите удаление параметров.
В нижней части закладки Адреса в области деталей появится кнопка Добавить параметры контроля процесса.
В начало
Импорт конфигураций устройств и тегов из внешних проектов
Вы можете импортировать в Kaspersky Industrial CyberSecurity for Networks конфигурации параметров контроля процесса для устройств (далее также "конфигурации устройств") и теги из файлов, представляющих внешние проекты. Внешними проектами для Kaspersky Industrial CyberSecurity for Networks считаются проекты с данными об устройствах и тегах, сохраненные средствами других систем (например, в системе
).Для импорта файлы внешних проектов должны быть упакованы в ZIP-архив (кроме файлов некоторых проектов, содержимое которых представляет собой ZIP-архив)
Импорт конфигураций устройств и тегов поддерживается из файлов данных, представляющие следующие типы проектов:
- Проект универсального формата.
Этот тип проекта может быть получен из любых источников путем преобразования и сохранения данных в текстовых файлах с разделителями в формате CSV. Сведения о составе файлов в проекте универсального формата см. в Приложении.
- Файл конфигурации AC 800M для сервера OPC.
Этот тип проекта может быть получен с помощью программного обеспечения для управления устройствами ABB AC 800M.
- Проект Control Builder M.
Этот тип проекта может быть получен с помощью программного обеспечения ABB Control Builder M.
- Архив с конфигурацией устройств COS.
Этот тип проекта может быть получен с помощью программного обеспечения для управления устройствами, поддерживающими протокол COS.
Файлы конфигурации устройств не содержат сетевые IP-адреса, которые используются этими устройствами. Поэтому после добавления устройств из файлов конфигурации вам потребуется проверить сведения об устройствах в программе и при необходимости вручную задать правильные IP-адреса для этих устройств.
- Проект DeltaV.
Этот тип проекта может быть получен с помощью программного обеспечения для управления устройствами Emerson DeltaV.
- Проект DirectSOFT6.
Этот тип проекта может быть получен с помощью программного обеспечения для управления устройствами DirectLOGIC.
- Список тегов ABB Freelance 2016 Engineering.
Этот тип проекта может быть получен с помощью программного обеспечения ABB Freelance 2016 Engineering.
- Проект для устройств IEC 61850.
Этот тип проекта может быть получен с помощью программного обеспечения для управления устройствами, поддерживающими протоколы стандарта IEC 61850.
- Проект RSLogix 5000 (представленный CSV- или ACD-файлом).
Этот тип проекта может быть получен с помощью программного обеспечения для управления устройствами RSLogix 5000.
При импорте CSV-файла проекта RSLogix 5000 программа игнорирует структурные и пользовательские типы тегов в этом проекте. Если вы хотите добавить в программу такие теги, вы можете использовать для импорта ACD-файл проекта RSLogix 5000 или включить обнаружение неизвестных тегов, чтобы добавить теги из трафика.
- Файл описания SICAM PAS V7.
Этот тип проекта может быть получен с помощью программного обеспечения Siemens SICAM PAS версии 7.
- Проект TIA Portal V12/V13.
Этот тип проекта может быть получен с помощью программного обеспечения Siemens TIA Portal версий 12 или 13.
- Проект Schneider Electric Unity.
Этот тип проекта может быть получен с помощью программного обеспечения для управления устройствами Schneider Electric серии Modicon. Проект может быть представлен ZEF- или XEF-файлами (при этом если проект представлен ZEF-файлом, то этот файл не нужно упаковывать в ZIP-архив для импорта).
При импорте проекта Schneider Electric Unity добавляемым устройствам назначаются имена файлов, из которых они были импортированы. Вы можете вручную задать нужные имена этим устройствам при изменении сведений об устройствах.
- Проект WinCC (в том числе WinCC OA).
Этот тип проекта может быть получен с помощью программного обеспечения Siemens SIMATIC WinCC и WinCC OA.
- Файл конфигурации YARD.
Этот тип проекта может быть получен с помощью программного обеспечения для управления устройствами, поддерживающими протокол YARD.
- CSV-файл экспорта CIMPLICITY.
Этот тип проекта может быть получен с помощью программного обеспечения CIMPLICITY.
- Файл конфигурации Valmet DNA.
Этот тип проекта может быть получен с помощью программного обеспечения Valmet DNA.
Вы можете обновлять и дополнять поддерживаемые типы проектов, устанавливая обновления.
Чтобы импортировать конфигурации устройств и тегов из внешнего проекта:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Активы.
- По ссылке Импорт в панели инструментов на закладке Устройства откройте меню для выбора типа импортируемого проекта.
- В открывшемся меню выберите пункт с нужным типом проекта.
На экране появится окно Импортируется <тип проекта>.
- В поле Имя проекта введите локальный путь к проекту. Вы можете указать локальный путь с помощью кнопки Обзор.
- Выберите нужный вариант действий с имеющимися конфигурациями устройств и тегами. Для этого нажмите на одну из следующих кнопок:
- Добавить – импортируемые конфигурации устройств и теги будут добавлены к имеющимся конфигурациям устройств и тегам.
- Заменить – при импорте удаляются имеющиеся конфигурации устройств и теги, связанные с теми устройствами, для которых импортируются новые конфигурации и теги (при этом не удаляются теги, для которых есть пользовательские правила контроля процесса).
- Подтвердите импорт с помощью кнопки Продолжить.
Запустится процесс импорта данных. Сведения о выполнении операции импорта отображаются в списке фоновых операций. По окончании процесса импортированные конфигурации устройств и теги будут доступны для загрузки в таблице устройств и в таблице тегов.
- Если вы хотите просмотреть отчет о результатах импорта, выполните следующие действия:
- Нажмите на кнопку в меню веб-интерфейса программы.
Откроется список фоновых операций.
- Дождитесь завершения операции импорта.
- Нажмите на кнопку Показать отчет.
- Нажмите на кнопку
Теги
Тег – это параметр технологического процесса, передаваемый в промышленной сети (например, контролируемая температура). Значения тегов передаются и принимаются устройствами по определенным протоколам.
Вы можете добавлять теги в программу следующими способами:
Добавление тега возможно при следующих условиях:
- В таблице устройств есть устройство, к которому относится добавляемый тег.
- Для устройства заданы параметры контроля процесса, в которых указан протокол добавляемого тега.
После добавления тега в программу этот тег может быть использован в правилах контроля процесса. В соответствии с условиями, заданными в правилах контроля процесса, программа будет регистрировать соответствующие события, в которых могут сохраняться полученные значения тега.
Для контроля значений тега при мониторинге параметров технологического процесса не требуется добавлять этот тег в правила контроля процесса.
Вы можете просматривать и изменять теги на закладке Теги в разделе Контроль процесса веб-интерфейса Kaspersky Industrial CyberSecurity for Networks.
Об обнаружении неизвестных тегов
Kaspersky Industrial CyberSecurity for Networks может анализировать трафик для обнаружения и сохранения информации о неизвестных тегах. Неизвестными считаются теги, отсутствующие в таблице тегов.
Программа добавляет обнаруженный тег в таблицу тегов, если выполнены условия для добавления тега. Если не выполнено одно из условий, обнаруженный тег игнорируется (например, если в параметрах контроля процесса для устройства не указан протокол, к которому относится тег).
Получение из трафика информации о неизвестных тегах выполняется при работе программы в режиме обнаружения неизвестных тегов. Вы можете включать и выключать этот режим.
При работе программы в режиме обнаружения неизвестных тегов возможно некоторое снижение производительности модулей обработки протоколов прикладного уровня. Поэтому по умолчанию после установки программы обнаружение неизвестных тегов выключено. Рекомендуется включать режим обнаружения неизвестных тегов на время, достаточное для обнаружения всех тегов, которые могут относиться к устройствам с заданными параметрами контроля процесса. После добавления обнаруженных тегов в таблицу рекомендуется выключить этот режим.
Обнаружение неизвестных тегов поддерживается для следующих протоколов:
- Allen-Bradley EtherNet/IP;
- BACnet;
- CODESYS V3 Gateway;
- DMS для устройств ABB AC 700F;
- DNP3;
- Emerson DeltaV;
- IEC 60870: IEC 60870-5-101, IEC 60870-5-104;
- OPC DA;
- OPC UA Binary;
- Schneider Electric UMAS;
- TASE.2;
- Yokogawa Vnet/IP;
- протокол взаимодействия устройств Foxboro FCP270, FCP280;
- протокол обмена данными с устройствами Emerson серии ControlWave.
Включение и выключение обнаружения неизвестных тегов
По умолчанию после установки программы обнаружение неизвестных тегов выключено. Рекомендуется включать режим обнаружения неизвестных тегов после предварительной подготовки программы. Для предварительной подготовки вам нужно добавить в программу параметры контроля процесса для всех устройств, теги которых вы хотите обнаружить в трафике.
Включать и выключать обнаружение неизвестных тегов могут только пользователи с ролью Администратор.
Чтобы включить или выключить обнаружение неизвестных тегов:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Технологии.
- С помощью переключателя Обнаружение неизвестных тегов включите или выключите обнаружение неизвестных тегов.
- После включения или выключения режима обнаружения дождитесь перевода переключателя в нужное состояние (Включено или Выключено).
Процесс занимает некоторое время. Переключатель при этом будет недоступен.
Выбор тегов в таблице
В таблице тегов вы можете выбирать теги для просмотра сведений и для работы с этими тегами. При выборе тегов в правой части окна веб-интерфейса появляется область деталей.
Чтобы выбрать нужные теги в таблице, выполните одно из следующих действий:
- Если вы хотите выбрать один тег, установите флажок напротив этого тега или выберите тег с помощью мыши.
- Если вы хотите выбрать несколько тегов, установите флажки напротив нужных тегов или выберите их, удерживая нажатой клавишу CTRL или SHIFT.
- Если вы хотите выбрать все теги, удовлетворяющие текущим параметрам фильтрации и поиска, выполните одно из следующих действий:
- выберите любой тег в таблице и нажмите комбинацию клавиш CTRL+A;
- установите флажок в заголовке левой крайней графы таблицы.
При выборе нескольких тегов в области деталей отображается общее количество выбранных тегов. Если вы выбрали все теги, удовлетворяющие текущим параметрам фильтрации и поиска, в области деталей отображается одно из следующих значений:
- Если выбрано до 1000 тегов включительно, отображается точное количество. В этом случае программа проверяет вхождение тегов в список избранных, как и при других способах выбора нескольких тегов.
- Если выбрано более 1000 тегов, отображается
1000+. В этом случае программа не проверяет вхождение тегов в список избранных.
В заголовке левой крайней графы таблицы отображается флажок выбора тегов. В зависимости от количества выбранных тегов флажок может быть в одном из следующих состояний:
– в таблице не выполнялся выбор всех тегов, удовлетворяющих текущим параметрам фильтрации и поиска. При этом в таблице может быть выбран один тег или выбраны несколько тегов с помощью флажков напротив тегов или с использованием клавиш CTRL или SHIFT.
– в таблице выбраны все теги, удовлетворяющие текущим параметрам фильтрации и поиска.
– в таблице были выбраны все теги, удовлетворяющие текущим параметрам фильтрации и поиска, и после этого для некоторых тегов были сняты флажки. Это состояние сохраняется и в случае, если флажки сняты для всех тегов, выбранных таким способом (из-за того, что количество выбранных тегов может измениться).
Если выбраны все теги, удовлетворяющие параметрам фильтрации и поиска, количество выбранных тегов может автоматически изменяться. Например, состав тегов в таблице может быть изменен пользователем программы в другом сеансе подключения или при автоматическом добавлении обнаруженных тегов. Рекомендуется настраивать параметры фильтрации и поиска таким образом, чтобы в выборку попали только нужные теги (например, перед выбором всех тегов вы можете отфильтровать теги по идентификаторам).
В начало
Добавление тега вручную
Добавлять теги вручную могут только пользователи с ролью Администратор.
Чтобы вручную добавить новый тег:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Контроль процесса.
- На закладке Теги откройте область деталей по ссылке Добавить тег.
- Откройте окно выбора устройств по ссылке Выбрать устройство.
- В окне выбора устройств выберите устройство, для которого вы хотите создать тег, и нажмите на кнопку ОК.
Окно выбора устройств содержит таблицу, в которой можно настраивать отображение и порядок граф, выполнять фильтрацию, поиск и сортировку аналогично таблице устройств в разделе Активы.
- Выберите протокол, который указан в параметрах контроля процесса для выбранного устройства. Требуется выбрать протокол, в котором поддерживается передача тегов.
Если нужный протокол отсутствует, вы можете настроить параметры контроля процесса и указать нужный протокол. Для открытия окна настройки используйте кнопку справа от поля для выбора протокола. Настройка параметров контроля процесса выполняется аналогично, как при добавлении или изменении параметров при работе в таблице устройств.
- При необходимости измените имя тега. По умолчанию задано имя по шаблону: Tag <значение счетчика тегов устройства>.
Вы можете использовать буквы латинского алфавита, цифры, пробел, а также следующие специальные символы:
( ) . , : ; ? ! * + % - < > @ [ ] { } / \ _ $ #. Имя тега должно начинаться и заканчиваться любым допустимым символом, кроме пробела. - Настройте другие параметры тега.
Для тега должны быть указаны обязательные параметры (например, имя тега, тип данных). Также в зависимости от выбранного протокола и типа данных для настройки могут быть доступны дополнительные параметры (например, единица измерения, пределы масштабирования).
- Нажмите на кнопку Сохранить.
Кнопка недоступна, если в параметрах указаны не все необходимые значения или есть недопустимые значения.
В таблице тегов появится новый тег.
В начало
Изменение параметров тега
Изменять параметры тегов могут только пользователи с ролью Администратор.
Чтобы изменить параметры тега:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Контроль процесса.
- На закладке Теги выберите нужный тег.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Изменить.
- При необходимости измените имя тега.
Вы можете использовать буквы латинского алфавита, цифры, пробел, а также следующие специальные символы:
( ) . , : ; ? ! * + % - < > @ [ ] { } / \ _ $ #. Имя тега должно начинаться и заканчиваться любым допустимым символом, кроме пробела. - Настройте другие параметры тега.
Для тега должны быть указаны обязательные параметры (например, имя тега, тип данных). Также в зависимости от выбранного протокола и типа данных для настройки могут быть доступны дополнительные параметры (например, единица измерения, пределы масштабирования).
- Нажмите на кнопку Сохранить.
Кнопка недоступна, если в параметрах указаны не все необходимые значения или есть недопустимые значения.
Добавление тегов в список избранных
Если вы хотите составить список наиболее важных тегов и быстро переходить к этому списку (например, для просмотра текущих значений этих тегов), вы можете добавлять теги в список избранных. Теги можно произвольно добавлять в список избранных и удалять из него. Количество тегов в списке избранных не ограничивается.
Для отображения списка избранных тегов вы можете использовать фильтрацию по графе В избранных при просмотре таблицы тегов.
По умолчанию созданный тег не добавлен в список избранных.
Чтобы добавить в список избранных или удалить из списка один тег:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Контроль процесса.
- На закладке Теги выберите тег, который вы хотите добавить в список избранных или удалить из списка.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Изменить.
- Установите переключатель В избранных в нужное положение.
- Нажмите на кнопку Сохранить.
В зависимости от установленного состояния переключателя, в таблице тегов для этого тега в графе В избранных отобразится признак Да или Нет.
Чтобы добавить в список избранных или удалить из списка несколько тегов:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Контроль процесса.
- На закладке Теги выберите теги, которые вы хотите добавить в список избранных или удалить из списка.
В правой части окна веб-интерфейса появится область деталей.
- Добавьте теги в список избранных или удалите из списка с помощью кнопок Добавить теги в список избранных и Удалить теги из списка избранных. Каждая из этих кнопок отображается, если среди выбранных тегов есть теги, с которыми можно выполнить соответствующую операцию.
Если выбраны все теги, удовлетворяющие текущим параметрам фильтрации и поиска, и количество выбранных тегов более 1000, программа не проверяет вхождение тегов в список избранных. В этом случае в области деталей отображаются обе кнопки для добавления и удаления тегов.
В зависимости от того, какая кнопка была нажата, в таблице тегов для всех выбранных тегов в графе В избранных отобразится признак Да или Нет.
В начало
Удаление тегов
Удалять теги могут только пользователи с ролью Администратор.
Чтобы удалить теги:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Контроль процесса.
- На закладке Теги выберите теги, которые вы хотите удалить.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Удалить.
Откроется окно с запросом подтверждения.
- В окне запроса подтвердите удаление тегов.
Просмотр правил контроля процесса, связанных с тегами
При работе с таблицей тегов вы можете просмотреть сведения о правилах контроля процесса, связанных с выбранными тегами. Для просмотра сведений доступны следующие возможности:
- Просмотр основных сведений о связанных правилах в окне деталей выбранного тега. Основные сведения выводятся для первых пяти правил, с которыми связан выбранный тег.
- Просмотр подробных сведений о связанных правилах в таблице правил контроля процесса. В таблице правил автоматически применяется фильтрация по идентификаторам выбранных тегов. Возможность загружать сведения о правилах в таблице правил доступна, если выбрано не более 200 тегов.
Чтобы просмотреть основные сведения о правилах контроля процесса, связанных с тегом:
- Выберите раздел Контроль процесса.
- На закладке Теги выберите тег, для которого вы хотите просмотреть основные сведения о правилах контроля процесса.
В правой части окна веб-интерфейса появится область деталей. Основные сведения о связанных правилах выводятся в разделе Связанные правила контроля процесса (раздел отсутствует, если с тегом не связано ни одного правила).
В блоках с основными сведениями отображаются имена правил и их текущие состояния. При необходимости вы можете перейти к подробным сведениям о правиле с помощью кнопки Показать детали. Подробные сведения о правиле будут показаны в области деталей на закладке Правила раздела Контроль процесса.
Также для пользователей с ролью Администратор доступны возможности изменения состояний и удаления правил с помощью соответствующих элементов интерфейса в блоках с основными сведениями о правилах.
Чтобы просмотреть подробные сведения о правилах контроля процесса, связанных с тегами:
- Выберите раздел Контроль процесса.
- На закладке Теги выберите теги, для которых вы хотите просмотреть сведения о правилах контроля процесса.
В правой части окна веб-интерфейса появится область деталей.
- В зависимости от количества выбранных тегов, нажмите на одну из следующих кнопок:
- Показать правила (<количество правил>) в таблице – отображается для одного выбранного тега в нижней части раздела Связанные правила контроля процесса.
- Показать правила контроля процесса – отображается для нескольких выбранных тегов в нижней части области деталей. Кнопка недоступна, если количество выбранных тегов превышает 200.
Откроется закладка Правила раздела Контроль процесса. В таблице правил будет применена фильтрация по идентификаторам выбранных тегов.
В начало
Правила контроля процесса
Для контроля значений тегов в программе могут использоваться следующие правила контроля процесса:
- Правила с заданными условиями. Эти правила содержат условия для отслеживания значений тегов. Каждое правило может содержать условие одного из предусмотренных типов. Если выполнено заданное в правиле условие, программа регистрирует событие. Параметры регистрируемого события также задаются в правиле.
- Правила с Lua-скриптами. Эти правила содержат описания алгоритмов для проверки значений тегов. Алгоритмы составляются на языке программирования Lua с использованием функций и переменных для Lua-скриптов. При срабатывании алгоритма в правиле с Lua-скриптом программа регистрирует событие (параметры регистрируемого события задаются в правиле). Если вы используете Lua-скрипты для правил контроля процесса, то вы можете применить глобальный Lua-скрипт, в котором инициализируются глобальные переменные и функции Lua. Эти глобальные переменные и функции вы можете указать в Lua-скрипте любого правила. По умолчанию глобальный Lua-скрипт пустой и не содержит исполняемый код. В программе может существовать только один глобальный Lua-скрипт.
Правила контроля процесса могут быть включены или выключены. Включенные правила применяются при анализе трафика. Выключенные правила не применяются и не учитываются.
Программа может автоматически создавать правила контроля процесса с заданными условиями при работе контроля процесса в режиме обучения.
Вы можете просматривать и изменять правила контроля процесса на закладке Правила в разделе Контроль процесса веб-интерфейса Kaspersky Industrial CyberSecurity for Networks.
Правила с заданными условиями для значений тегов
Для контроля значений тегов вы можете использовать правила контроля процесса, в которых заданы условия для значений тегов. Каждое правило может содержать условие одного из предусмотренных типов. Правило может быть связано только с одним тегом. При этом для тега можно создать до 20 правил с различными типами условий.
Правила с заданными условиями могут быть созданы автоматически программой при работе контроля процесса в режиме обучения. Также вы можете вручную создавать и изменять правила с заданными условиями для значений тегов.
Для правила контроля процесса вы можете выбрать один из следующих типов условий:
- Значение изменилось – значение контролируемого тега изменилось целиком или в определенном бите.
Если выключен режим контроля определенного бита значения, с этим условием можно контролировать значение тегов любого типа. При этом вы можете указать количество сохраняемых (разрешенных) значений тега, при обнаружении которых не будет регистрироваться событие. Для правила можно указать количество сохраняемых значений от 1 до 10 (сохраняемые значения будут обновляться по мере обнаружения новых значений). По умолчанию сохраняется только последнее значение.
Если включен режим контроля определенного бита значения, с этим условием можно контролировать только теги типов int и unsigned int. Для контроля вам нужно указать порядковый номер отслеживаемого бита в теге (целое число в диапазоне, который соответствует типу данных выбранного тега: от 1 до 8, 16, 32 или 64).
- Тег отсутствует – контролируемый тег не обнаружен в отслеживаемом трафике в течение заданного времени.
С этим условием можно контролировать теги любого типа.
- Обнаружение – контролируемый тег обнаружен в отслеживаемом трафике.
С этим условием можно контролировать теги любого типа.
- В диапазоне – значение контролируемого тега входит в границы указанного диапазона.
С этим условием можно контролировать только теги типов int и float.
Вы можете задать значения для нижней и/или верхней границ диапазона. Заданные значения для границ могут быть включены в диапазон или исключены из него.
- Вне диапазона – значение контролируемого тега выходит за границы указанного диапазона.
С этим условием можно контролировать только теги типов int и float.
Вы можете задать значения для нижней и/или верхней границ диапазона. Заданные значения для границ могут быть включены в диапазон или исключены из него.
- Равно – значение контролируемого тега равно одному из заданных значений целиком или в определенном бите.
Если выключен режим контроля определенного бита значения, с этим условием можно контролировать значение тегов типов int, bool и string. Вы можете задать от 1 до 10 значений для сравнения.
Если включен режим контроля определенного бита значения, с этим условием можно контролировать только теги типов int и unsigned int. Для контроля вам нужно указать порядковый номер отслеживаемого бита в теге (целое число в диапазоне, который соответствует типу данных выбранного тега: от 1 до 8, 16, 32 или 64) и значение бита для сравнения (в виде одного из двух целых чисел: ноль или единица).
- Не равно – значение контролируемого тега не равно одному из заданных значений целиком или в определенном бите.
Если выключен режим контроля определенного бита значения, с этим условием можно контролировать значение тегов типов int, bool и string. Вы можете задать от 1 до 10 значений для сравнения.
Если включен режим контроля определенного бита значения, с этим условием можно контролировать только теги типов int и unsigned int. Для контроля вам нужно указать порядковый номер отслеживаемого бита в теге (целое число в диапазоне, который соответствует типу данных выбранного тега: от 1 до 8, 16, 32 или 64) и значение бита для сравнения (в виде одного из двух целых чисел: ноль или единица).
- Нарушение монотонного изменения – значение контролируемого тега нарушает последовательность монотонного возрастания или убывания значений.
С этим условием можно контролировать только теги типов int и float.
Для правил, контролирующих значения тегов, вам нужно учитывать особенности обработки программой значений, представленных денормализованными числами (числа малого порядка, приближенные к нулю – например, 2.22507e-308 в случае представления данного значения с двойной точностью). Программа преобразует денормализованные числа в нулевые значения.
Для любого условия вы можете выбрать операции, при выполнении которых программа будет контролировать значения тега. Предусмотрены следующие варианты контроля в зависимости от операций с тегом:
- Контроль при чтении тега – значение проверяется при чтении тега из устройства.
- Контроль при записи тега – значение проверяется при записи тега в устройство.
Правила с Lua-скриптами
Для описания алгоритмов проверки значений тегов в правилах контроля процесса могут использоваться скрипты на языке программирования Lua. Lua-скрипты предоставляют возможности не только для проверки значений тегов, но и для добавления различных сведений в регистрируемые события и журналы работы процессов.
Lua-скрипт должен состоять из одной или нескольких функций. Имена функций должны быть уникальны среди всех правил с Lua-скриптами. Функция, с помощью которой отслеживаются значения тегов, называется триггерной функцией. Для регистрации события триггерная функция должна возвращать значение true.
Если в скрипте указана переменная, она должна быть инициализирована либо в самом скрипте (для применения только в этом скрипте), либо в отдельном глобальном скрипте (для применения во всех правилах с Lua-скриптами). Глобальный скрипт также может содержать вспомогательные функции, которые можно использовать в правилах с Lua-скриптами.
Триггерная функция вызывается при изменении значения какого-либо тега, используемого в функции. Впервые функция вызывается при получении всех значений тегов, используемых в функции.
Для получения значений тега в коде функции используется запись вида:
tag'основные_параметры_тега[:имя_поля][@модификатор]'[.направление_передачи]
где:
основные_параметры_тега– обязательные параметры, идентифицирующие тег в программе. Параметры разделяются двоеточием. Основные параметры представлены следующими параметрами из таблицы тегов:- Устройство.
- Имя тега.
- Идентификатор тега.
имя_поля– имя поля в структуре полей тега, представленной параметром Структурные значения в таблице тегов. Если поле является вложенным в другие поля, его имя указывается вместе с именами всех родительских полей, разделенных двоеточием. Если параметримя_поляне указан, проверяется значение, которое является основным в структуре полей тега.модификатор– определяет режим представления полученного значения. Предусмотрены следующие модификаторы:str– полученное значение преобразуется в строковый тип.type– в качестве значения передается название типа данных от полученного значения.loc– в качестве значения передается закрепленное локализованное название для полученного значения (если локализованное название отсутствует, полученное значение преобразуется в строковый тип).
Если модификатор не указан, передается само полученное значение. При этом тип данных значения не меняется.
направление_передачи– задает направление передачи полученного значения. Направление передачи может быть задано одним из следующих параметров:R– значение получено при чтении из устройства.W– значение получено при записи в устройство.RW– любое направление полученного значения.
Если направление передачи не задано, то передается значение, полученное с любого направления.
Записи для получения значений тегов могут использоваться в составе выражений (например, присвоение значений переменным или сравнение значений).
Для выполнения различных действий с помощью Lua-скрипта вы можете использовать вспомогательные функции, поддерживаемые Сервером. Имена вспомогательных функций начинаются с символа подчеркивания _.
Основные вспомогательные функции для добавления сведений через Lua-скрипты:
- Функция добавления параметров для использования их в качестве дополнительных переменных в событиях:
_AddEventParam('имя_параметра',значение_параметра)Имя и значение параметра могут быть заданы произвольно. Для использования параметра и его значения в событиях этот параметр должен быть указан в параметрах типа события в виде
$extra.<имя_параметра>. - Функции для добавления записей в журнал работы процесса, в котором выполняется Lua-скрипт (обычно это процесс, имя которого начинается со слова
Filter). В журнал вносится запись, заданная аргументом функции (переменной или константой):- Для создания записи с уровнем Ошибки:
_WriteErrorLog(аргумент_функции) - Для создания записи с уровнем Важные:
_WriteWarningLog(аргумент_функции) - Для создания записи с уровнем Инфо:
_WriteInfoLog(аргумент_функции) - Для создания записи с уровнем Отладка:
_WriteDebugLog(аргумент_функции) - Для создания записи с уровнем Отладка, которая может содержать несколько аргументов функции:
print(аргумент_функции1,аргумент_функции2,…)Переменные или константы, заданные аргументами функции, разделяются в записи журнала символом табуляции.
Записи в журнале не создаются, если уровень записи ниже уровня ведения журнала, установленного для процесса.
- Для создания записи с уровнем Ошибки:
Режим обучения правилам контроля процесса
В режиме обучения правилам контроля процесса программа автоматически формирует правила контроля процесса с условиями для значений тегов. Для формирования правил программа анализирует в трафике значения только тех тегов, которые добавлены в таблицу тегов.
Правила контроля процесса, которые были автоматически добавлены в режиме обучения, называются системными. У этих правил параметр Источник содержит значение Система.
Правила, созданные вручную, называются пользовательскими. У этих правил параметр Источник содержит значение Пользователь. Если в системное правило внесены изменения вручную, это правило также становится пользовательским.
Правила, добавленные в режиме обучения, по умолчанию находятся в состоянии Выключено. Если системное правило было обновлено в режиме обучения, оно остается в том же состоянии, в котором было до обновления.
В режиме обучения правилам контроля процесса при добавлении или обновлении программа задает для каждого из них одно из следующих условий:
- Не равно.
Это условие задается при добавлении правила (если для обнаруженного значения тега не найдено другое системное правило) или при получении до десяти различных значений тега (кроме тегов с типом данных bool или float).
- Вне диапазона.
В правиле выполняется замена на это условие, если получено новое значение для тега с типом данных float или если получено более десяти различных значений для тега с типом данных int.
- Нарушение монотонного изменения.
В правиле выполняется замена на это условие, если обнаруженные значения тега изменялись только в сторону возрастания или только в сторону убывания. Замена на это условие выполняется в правилах для тегов с типом данных int или float по окончании режима обучения.
Также в режиме обучения программа удаляет системные правила контроля процесса в следующих случаях:
- если правило создано для тега с типом данных bool и обнаруженное и сохраненное значения не совпадают (сравнения выполняются только для первых десяти обнаруженных значений, остальные игнорируются);
- если правило создано для тега с типом данных string и получено более десяти различных значений.
Режим обучения правилам контроля процесса должен быть включен на время, достаточное для обнаружения всех возможных значений нужных тегов. Это время зависит от интенсивности появления тегов в трафике, периодичности работы устройств в промышленной сети и других особенностей технологического процесса. Рекомендуется включать режим обучения на время не менее одного часа. В крупных промышленных сетях, для накопления данных в максимальном объеме, режим обучения можно включить на период от одного до нескольких дней.
В начало
Включение и выключение контроля процесса по правилам
Включать и выключать контроль процесса по правилам могут только пользователи с ролью Администратор.
Чтобы включить или выключить контроль процесса по правилам:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Технологии.
- С помощью переключателя Контроль процесса по правилам включите или выключите контроль процесса по правилам.
- После включения или выключения метода дождитесь перевода переключателя в нужное состояние (Включено или Выключено).
Процесс занимает некоторое время. Переключатель при этом будет недоступен.
- Выберите нужный режим работы контроля процесса по правилам. Для этого в раскрывающемся списке справа от названия метода выберите одно из следующих значений:
- Обучение – для применения метода в режиме обучения.
- Наблюдение – для применения метода в режиме наблюдения.
- После выбора режима дождитесь появления названия этого режима в поле раскрывающегося списка.
Процесс занимает некоторое время, при этом в раскрывающемся списке отображается статус Изменение. Дождитесь включения выбранного режима.
Просмотр таблицы правил контроля процесса
Таблица правил контроля процесса отображается на закладке Правила в разделе Контроль процесса веб-интерфейса программы. В таблице представлены общие параметры правил а также тегов и устройств, к которым относятся правила.
При просмотре таблицы правил вы можете использовать следующие функции:
- Настройка отображения и порядка граф в таблице правил
- Фильтрация по графам таблицы
Чтобы отфильтровать правила по графе ID правила, Устройство, Имя тега или Правило:
- На закладке Правила в разделе Контроль процесса нажмите на значок фильтрации в нужной графе таблицы.
Откроется окно фильтрации.
- В полях Включая и Исключая введите значения для правил, которые вы хотите включить в фильтрацию и/или исключить из фильтрации.
- Если вы хотите применить несколько условий фильтрации, объединенных логическим оператором ИЛИ, в окне фильтрации выбранной графы нажмите на кнопку Добавить условие и введите условие в открывшемся поле.
- Если вы хотите удалить одно из созданных условий фильтрации, в окне фильтрации выбранной графы нажмите на значок .
- Нажмите на кнопку OK.
Чтобы отфильтровать правила по графе Группа устройств:
- На закладке Правила в разделе Контроль процесса нажмите на значок фильтрации в графе Группа устройств.
Откроется окно фильтрации.
- Нажмите на значок в правой части поля для указания группы устройств.
Появится окно Выбор группы в дереве.
- В дереве групп устройств выберите нужную группу и нажмите на кнопку Выбрать.
Путь к выбранной группе появится в поле в окне фильтрации.
- Если вы хотите применить несколько условий фильтрации, объединенных логическим оператором ИЛИ, в окне фильтрации нажмите на кнопку Добавить условие (ИЛИ) и укажите другую группу в открывшемся поле.
- Если вы хотите удалить одно из созданных условий фильтрации, в окне фильтрации нажмите на значок .
- Нажмите на кнопку OK.
Чтобы отфильтровать правила по графе Протокол:
- На закладке Правила в разделе Контроль процесса нажмите на значок фильтрации в графе Протокол.
Откроется окно фильтрации.
- В поле Протоколы укажите нужный протокол из числа поддерживаемых протоколов прикладного уровня. Для этого начните вводить название протокола и выберите нужный протокол в раскрывшемся списке (список подходящих протоколов автоматически раскрывается при изменении значения в поле Протоколы).
Вы можете отсортировать открывшийся список протоколов по ссылке Сортировка.
- Если вы хотите добавить еще один протокол, нажмите на кнопку Добавить протокол и укажите другой протокол в открывшемся поле.
- Если вы хотите удалить один из указанных протоколов, в окне фильтрации нажмите на значок . Вы также можете удалить все указанные протоколы по ссылке Фильтр по умолчанию в окне фильтрации.
- Нажмите на кнопку OK.
Чтобы отфильтровать правила по графе Состояние, Важность события или Источник:
- На закладке Правила в разделе Контроль процесса нажмите на значок фильтрации в нужной графе.
Для фильтрации по состояниям или источникам правил контроля процесса вы также можете воспользоваться соответствующими кнопками в панели инструментов.
Откроется окно фильтрации.
- Установите флажки напротив значений, по которым вы хотите выполнить фильтрацию.
- Нажмите на кнопку OK.
Чтобы отфильтровать правила по графе Создано или Изменено:
- На закладке Правила в разделе Контроль процесса нажмите на значок фильтрации в нужной графе.
Откроется календарь.
- В календаре задайте дату начальной и конечной границ периода фильтрации. Для этого выберите дату в календаре (при этом будет указано текущее время) или введите значение вручную в формате ДД.ММ.ГГГГ чч:мм:сс. Если указывать дату и время границы периода фильтрации не требуется, вы можете не выбирать дату или удалить текущее значение.
- Нажмите на кнопку OK.
- На закладке Правила в разделе Контроль процесса нажмите на значок фильтрации в нужной графе таблицы.
- Поиск правил
- Сброс заданных параметров фильтрации и поиска
- Сортировка правил
- Обновление таблицы правил
Выбор правил контроля процесса
В таблице правил контроля процесса вы можете выбирать правила для просмотра сведений и для работы с этими правилами. При выборе правил в правой части окна веб-интерфейса появляется область деталей.
Чтобы выбрать нужные правила контроля процесса, выполните одно из следующих действий:
- Если вы хотите выбрать одно правило, установите флажок напротив этого правила или выберите правило с помощью мыши.
- Если вы хотите выбрать несколько правил, установите флажки напротив нужных правил или выберите их, удерживая нажатой клавишу CTRL или SHIFT.
- Если вы хотите выбрать все правила, удовлетворяющие текущим параметрам фильтрации и поиска, выполните одно из следующих действий:
- выберите любое правило в таблице и нажмите комбинацию клавиш CTRL+A;
- установите флажок в заголовке левой крайней графы таблицы.
При выборе нескольких правил в области деталей отображается общее количество выбранных правил.
В заголовке левой крайней графы таблицы отображается флажок выбора правил. В зависимости от количества выбранных правил флажок может быть в одном из следующих состояний:
- – в таблице не выполнялся выбор всех правил, удовлетворяющих текущим параметрам фильтрации и поиска. При этом в таблице может быть выбрано одно правило или несколько правил с помощью флажков напротив правил или с использованием клавиш CTRL или SHIFT.
- – в таблице выбраны все правила, удовлетворяющие текущим параметрам фильтрации и поиска.
- – в таблице были выбраны все правила, удовлетворяющие текущим параметрам фильтрации и поиска, и после этого для некоторых правил были сняты флажки. Это состояние сохраняется и в случае, если флажки сняты для всех правил, выбранных таким способом (из-за того, что количество выбранных правил может измениться).
Если выбраны все правила, удовлетворяющие параметрам фильтрации и поиска, количество выбранных правил может автоматически изменяться. Например, состав правил в таблице может быть изменен пользователем программы в другом сеансе подключения или при преобразовании правил в режиме обучения. Рекомендуется настраивать параметры фильтрации и поиска таким образом, чтобы в выборку попали только нужные правила (например, перед выбором всех правил вы можете отфильтровать правила по идентификаторам).
В начало
Создание правила контроля процесса с параметрами условий
Для создания правил контроля процесса с параметрами условий предусмотрены следующие варианты:
- создание нового правила для тега;
- создание дополнительного правила на основе имеющегося правила.
Чтобы создать новое правило для тега:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Контроль процесса.
- На закладке Теги выберите тег, для которого вы хотите создать правило контроля процесса.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Создать правило для тега.
Откроется закладка Правила с областью деталей создаваемого правила контроля процесса.
- Выполните следующие действия:
- С помощью переключателя Включить задайте состояние правила: Включено или Выключено.
- Введите имя и описание правила.
Вы можете использовать буквы латинского алфавита, цифры, пробел, а также следующие специальные символы:
( ) . , : ; ? ! * + % - < > @ [ ] { } / \ _ $ #. Имя правила должно начинаться и заканчиваться любым допустимым символом, кроме пробела. - Выберите тип условия и настройте параметры в зависимости от выбранного типа.
- Настройте параметры регистрации события при срабатывании правила (заголовок и описание события, важность и параметры сохранения трафика).
- Нажмите на кнопку Сохранить.
Чтобы создать дополнительное правило контроля процесса на основе имеющегося правила:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Контроль процесса.
- На закладке Правила выберите правило, на основе которого вы хотите создать другое правило для того же самого тега.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Создать другое правило для тега.
Появится область деталей создаваемого правила контроля процесса. Для нового правила будут указаны сведения об устройстве, протоколе и теге, полученные из параметров выбранного правила.
- Выполните следующие действия:
- С помощью переключателя Включить задайте состояние правила: Включено или Выключено.
- Введите имя и описание правила.
- Выберите тип условия и настройте параметры в зависимости от выбранного типа.
- Настройте параметры регистрации события при срабатывании правила (заголовок и описание события, важность и параметры сохранения трафика).
- Нажмите на кнопку Сохранить.
Создание правила контроля процесса с Lua-скриптом
Чтобы создать правило с Lua-скриптом:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Контроль процесса.
- На закладке Правила откройте область деталей по ссылке Добавить Lua-скрипт.
- Выполните следующие действия:
- С помощью переключателя Включить задайте состояние правила: Включено или Выключено.
- Введите имя и описание правила.
- Если вы хотите задать скрипт из шаблона, в области деталей нажмите на кнопку Использовать шаблон Lua, в открывшемся окне выберите нужный шаблон и нажмите на кнопку Применить.
- В поле Lua-скрипт для правила введите код скрипта на языке Lua.
В поле ввода скрипта отображаются имена функций и комментарии, загруженные из шаблона. Вы можете формировать скрипт, изменяя и дополняя шаблонные строки. При вводе текста рядом с курсором автоматически появляются подсказки или доступные для выбора значения (например, подходящие имена устройств и тегов при вводе параметров, идентифицирующих тег).
Если код скрипта не помещается в поле Lua-скрипт для правила, вы можете открыть отдельное окно для отображения кода с помощью кнопки
. - Настройте параметры регистрации события при срабатывании правила (заголовок и описание события, важность и параметры сохранения трафика).
- Нажмите на кнопку Сохранить.
Изменение параметров правила контроля процесса
Чтобы изменить параметры правила контроля процесса:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Контроль процесса.
- На закладке Правила выберите правило, которое вы хотите изменить.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Изменить.
- Измените нужные параметры. Для изменения параметров вам доступны те же действия, что и при создании правил контроля процесса с параметрами условий или с Lua-скриптами.
Создание, просмотр и изменение глобального Lua-скрипта
Переменные и функции, заданные в глобальном Lua-скрипте могут использоваться в правилах с Lua-скриптами.
Создать и изменить глобальный Lua-скрипт для правил контроля процесса могут только пользователи с ролью Администратор. При этом просматривать содержимое глобального Lua-скрипта могут как пользователи с ролью Администратор, так и пользователи с ролью Оператор.
Чтобы создать или изменить глобальный Lua-скрипт:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Контроль процесса.
- На закладке Правила откройте окно редактирования глобального Lua-скрипта по ссылке Глобальный Lua-скрипт.
- Введите код скрипта на языке Lua.
- Нажмите на кнопку Сохранить.
Удаление правил контроля процесса
Чтобы удалить правила контроля процесса:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Контроль процесса.
- На закладке Правила выберите правила, которые вы хотите удалить.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Удалить.
Откроется окно с запросом подтверждения.
- В окне запроса подтвердите удаление правил.
Просмотр сведений об устройствах, связанных с правилами контроля процесса
Вы можете просмотреть сведения об устройствах, с которыми связаны правила контроля процесса (правила контроля процесса связаны с устройствами через теги). Сведения об устройствах выводятся в таблице устройств. В таблице устройств автоматически применяется фильтрация по идентификаторам устройств, которые указаны в тегах.
Возможность загружать сведения доступна, если выбрано не более 200 правил.
Чтобы просмотреть сведения об устройствах в таблице устройств:
- Выберите раздел Контроль процесса.
- На закладке Правила выберите правила, для которых вы хотите просмотреть сведения об устройствах.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Показать устройство (если выбрано одно правило) или Показать устройства (если выбрано несколько правил).
Кнопка Показать устройства недоступна, если количество выбранных правил превышает 200.
Откроется раздел Активы. В таблице устройств на закладке Устройства будет применена фильтрация по идентификаторам устройств, с которыми связаны выбранные правила.
В начало
Просмотр тегов, связанных с правилами контроля процесса
Вы можете просмотреть сведения о тегах, с которыми связаны выбранные правила контроля процесса. В таблице тегов автоматически применяется фильтрация по идентификаторам тегов, указанных в правилах.
Возможность загружать сведения доступна, если выбрано не более 200 правил.
Чтобы просмотреть сведения о тегах, связанных с правилами контроля процесса:
- Выберите раздел Контроль процесса.
- На закладке Правила выберите правила, для которых вы хотите просмотреть сведения о тегах.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Показать тег (если выбрано одно правило) или Показать теги (если выбрано несколько правил).
Кнопка Показать теги недоступна, если количество выбранных правил превышает 200.
Откроется закладка Теги раздела Контроль процесса. В таблице тегов будет применена фильтрация по идентификаторам тегов.
В начало
Настройка контроля взаимодействий
Kaspersky Industrial CyberSecurity for Networks может отслеживать сетевые взаимодействия устройств в промышленной сети. Для определения разрешенных и неразрешенных сетевых взаимодействий используются правила контроля взаимодействий. Все обнаруженные сетевые взаимодействия, которые не удовлетворяют действующим правилам контроля взаимодействий, считаются не разрешенными. При обнаружении неразрешенных взаимодействий программа регистрирует соответствующие события.
Правило контроля взаимодействий может относиться к одной из следующих технологий:
- Контроль целостности сети – правило описывает сетевое взаимодействие устройств, использующих заданный набор протоколов и параметров соединения.
- Контроль системных команд – правило описывает контролируемые системные команды при взаимодействии между устройствами по одному из поддерживаемых протоколов для контроля процесса.
Правило контроля взаимодействий содержит следующую информацию о взаимодействии:
- стороны, принимающие участие в сетевом взаимодействии;
- разрешенный протокол или системные команды.
Сетевые взаимодействия между устройствами определяются по MAC- и/или IP-адресам устройств.
При анализе сетевых взаимодействий по технологии Контроль целостности сети программа дополнительно проверяет IP-адреса в этих взаимодействиях на принадлежность известным подсетям. Проверка IP-адресов выполняется для тех взаимодействий, у которых не удалось определить MAC-адреса отправителей и/или получателей сетевых пакетов. Если для одной из сторон сетевого взаимодействия определен только IP-адрес, программа проверяет это взаимодействие по таблице подсетей для контроля взаимодействий. Далее программа проверяет это взаимодействие на соответствие правилам по технологии Контроль целостности сети (и регистрирует соответствующее событие в случае необходимости) только если такое взаимодействие должно контролироваться согласно таблице.
Таблица подсетей для контроля взаимодействий по технологии Контроль целостности сети
Технология Контроль системных команд применяется независимо от того, какой подсети принадлежат IP-адреса отправителей и получателей сетевых пакетов с системными командами.
Правила контроля взаимодействий могут быть включены или выключены.
По умолчанию после создания правило включено и применяется для разрешения описанных взаимодействий. При обнаружении взаимодействий, описанных во включенных правилах, программа не регистрирует события.
Выключенные правила предназначены для описания нежелательных сетевых взаимодействий. В режиме обучения для технологий контроля взаимодействий выключенные правила предотвращают автоматическое создание новых включенных правил, описывающих те же сетевые взаимодействия. В режиме наблюдения выключенные правила не учитываются.
Программа обрабатывает правила контроля взаимодействий по технологиям Контроль целостности сети и Контроль системных команд, если включено применение этих технологий.
Для создания списка правил контроля взаимодействий предусмотрены следующие способы:
- автоматическое формирование правил в режиме обучения;
- создание правил вручную.
Вы можете настраивать правила контроля взаимодействий в разделе Разрешающие правила веб-интерфейса Kaspersky Industrial CyberSecurity for Networks. Раздел содержит таблицу с правилами контроля взаимодействий по технологиям Контроль целостности сети и Контроль системных команд. Также в этой таблице правил могут быть представлены созданные разрешающие правила для событий.
События, регистрируемые по технологиям Контроль целостности сети и Контроль системных команд, относятся к системным типам событий.
Вы можете просматривать события контроля взаимодействий в таблице зарегистрированных событий. События, регистрируемые по технологии Контроль целостности сети, имеют уровень важности Важные. Событиям, регистрируемым по технологии Контроль системных команд, присваивается уровень важности в зависимости от заданного уровня важности для обнаруженной системной команды.
Режим обучения для технологий контроля взаимодействий
В режиме обучения для технологий контроля взаимодействий программа выполняет следующие действия:
- Если включено применение технологии Контроль целостности сети, программа формирует правила по этой технологии. При обнаружении сетевых взаимодействий, которые удовлетворяют выключенным правилам, регистрируются события по технологии Контроль целостности сети. Для регистрации используется системный тип события, которому присвоен код 4000002601.
- Если включено применение технологии Контроль системных команд, программа формирует правила по этой технологии. При обнаружении системных команд, которые удовлетворяют выключенным правилам, регистрируются события обнаружения неразрешенных системных команд по технологии Контроль системных команд. Для регистрации используется системный тип события, которому присвоен код 4000002602.
При формировании правил по технологиям контроля взаимодействий добавляются новые правила, полученные в результате анализа сетевых взаимодействий и системных команд в трафике промышленной сети. Для этих правил параметр Источник содержит значение Система. Если вы вручную измените параметры правила, параметр Источник примет значение Пользователь.
Сетевые взаимодействия, обнаруженные при анализе трафика, проверяются на соответствие текущим правилам контроля взаимодействий. Если обнаруженное взаимодействие не соответствует ни одному правилу, программа создает новое правило. Событие обнаружения взаимодействия в этом случае не регистрируется. При создании нового правила программа включает его и добавляет значения параметров на основании полученных данных о сетевом взаимодействии.
Если обнаруженное взаимодействие соответствует только выключенному правилу, программа регистрирует событие по технологии, соответствующей этому правилу. В этом случае новое правило не создается.
В процессе обучения программа может оптимизировать список правил контроля взаимодействий. Оптимизация заключается в объединении двух и более частных правил в одно общее правило либо в удалении частных правил при наличии общего правила. В оптимизации участвуют правила, для которых выполняются следующие условия:
- правила включены;
- параметр Источник содержит значение Система;
- правила относятся к одной технологии.
Объединение правил при оптимизации происходит, если полученное общее правило будет соответствовать только обнаруженным сетевым взаимодействиям и никаким другим. Например, после обнаружения системной команды при взаимодействии двух устройств было создано одно правило контроля взаимодействий. Затем была обнаружена другая системная команда при взаимодействии этих же устройств. В этом случае в результате оптимизации останется одно общее правило, описывающее обе системные команды при сетевом взаимодействии этих устройств.
Во время работы в режиме обучения программа периодически выполняет оптимизацию правил для соответствующей технологии контроля взаимодействий. Периодичность оптимизации – один раз в минуту. Оптимизация выполняется, если в трафике промышленной сети обнаружены новые взаимодействия. Для поддержания таблицы правил в актуальном состоянии требуется обновлять правила.
После выключения режима обучения оптимизация выполняется еще один раз.
Оптимизация правил контроля взаимодействий после выключения режима обучения может выполняться с задержкой. Длительность задержки зависит от интенсивности поступления данных в программу и может составлять до трех минут. В течение этого времени рекомендуется не вносить изменения в правила по технологиям Контроля целостности сети и Контроля системных команд, созданные в режиме обучения.
Режим обучения для технологий контроля взаимодействий должен быть включен на время, достаточное для получения всех необходимых данных о сетевых взаимодействиях. Это время зависит от количества устройств в промышленной сети, периодичности их работы и обслуживания. Рекомендуется включать режим обучения на время не менее одного часа. В крупных промышленных сетях, для накопления данных в максимальном объеме, режим обучения можно включить на период от одного до нескольких дней.
В начало
Режим наблюдения для технологий контроля взаимодействий
В режиме наблюдения для технологий контроля взаимодействий программа выполняет следующие действия:
- Если включено применение технологии Контроль целостности сети, программа проверяет сетевые взаимодействия устройств на соответствие правилам по этой технологии. При обнаружении сетевых взаимодействий, для которых отсутствуют включенные правила, регистрируются события обнаружения неразрешенных взаимодействий по технологии Контроль целостности сети. Для регистрации используется системный тип события, которому присвоен код 4000002601.
- Если включено применение технологии Контроль системных команд, программа проверяет сетевые взаимодействия устройств на соответствие правилам по этой технологии. При обнаружении системных команд, для которых отсутствуют включенные правила, регистрируются события обнаружения неразрешенных системных команд по технологии Контроль системных команд. Для регистрации используется системный тип события, которому присвоен код 4000002602.
Правила, относящиеся к разным технологиям, применяются независимо друг от друга. Поэтому чтобы разрешить использование системной команды, в таблице разрешающих правил должны быть созданы правила (автоматически или вручную) и для этой системной команды, и для сетевого пакета, в котором она передается.
Выбор применяемых технологий контроля взаимодействий
Управлять технологиями контроля взаимодействий могут только пользователи с ролью Администратор.
Чтобы включить или выключить применение технологий контроля взаимодействий:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Технологии.
- Включите или выключите применение технологий контроля взаимодействий, используя следующие переключатели:
- Контроль целостности сети.
- Контроль системных команд.
- После включения или выключения технологии дождитесь перевода переключателя в нужное состояние (Включено или Выключено).
Процесс занимает некоторое время, переключатель при этом будет недоступен.
- Для каждой включенной технологии выберите нужный режим контроля взаимодействий. Для этого в раскрывающемся списке справа от названия технологии выберите одно из следующих значений:
- Обучение – для применения технологии в режиме обучения.
- Наблюдение – для применения технологии в режиме наблюдения.
- После выбора режима дождитесь появления названия этого режима в поле раскрывающегося списка.
Процесс занимает некоторое время, при этом в раскрывающемся списке отображается статус Изменение.
Автоматическое формирование правил контроля взаимодействий в режиме обучения
В режиме обучения Kaspersky Industrial CyberSecurity for Networks автоматически формирует правила контроля взаимодействий. Программа создает новое правило, если обнаруженное сетевое взаимодействие не соответствует ни одному правилу в таблице разрешающих правил.
При создании правила программа задает значения параметров, полученные из трафика и относящиеся к обнаруженному сетевому взаимодействию.
Если создается правило по технологии Контроль целостности сети для взаимодействия, в котором IP-адрес одной из сторон принадлежит известной программе подсети, то программа может не добавить в параметры правила MAC-адреса, обнаруженные вместе с этим IP-адресом. Обнаруженные MAC-адреса для IP-адресов подсети добавляются в случае, если в параметрах подсети выключен режим пропуска MAC-адресов с помощью переключателя Игнорировать MAC-адреса для правил NIC.
В режиме обучения программа может автоматически создавать правила контроля взаимодействий, разрешающие отправку системных команд для Kaspersky Industrial CyberSecurity for Nodes. Эти правила нужны для удобного совместного использования Kaspersky Industrial CyberSecurity for Networks и Kaspersky Industrial CyberSecurity for Nodes в рамках комплексного решения Kaspersky Industrial CyberSecurity. Для автоматического создания правил перед включением режима обучения требуется включить компонент Проверка целостности проекта ПЛК на компьютерах с установленной программой Kaspersky Industrial CyberSecurity for Nodes в этой же промышленной сети. Подробную информацию о включении компонента см. в справочной системе Kaspersky Industrial CyberSecurity for Nodes.
В начало
Просмотр правил контроля взаимодействий в таблице разрешающих правил
Правила контроля взаимодействий отображаются в таблице разрешающих правил в разделе Разрешающие правила веб-интерфейса программы. К правилам контроля взаимодействий относятся правила следующих типов:
- NIC – правила по технологии Контроль целостности сети.
- CC – правила по технологии Контроль системных команд.
Для просмотра нужных сведений о правилах контроля взаимодействий в таблице разрешающих правил вы можете использовать следующие функции:
- Настройка отображения и порядка граф в таблице правил
- В разделе Разрешающие правила откройте окно для настройки отображения таблицы по ссылке Настроить таблицу.
- Для сторон сетевых взаимодействий Сторона 1 и Сторона 2 выберите отображаемые сведения в таблице. Для этого в раскрывающемся списке для каждой стороны выберите один из следующих вариантов:
- Адресная информация. В графе таблицы отображается только адресная информация, представляющая сторону сетевого взаимодействия.
- Имена устройств. Вместо адресной информации, которая соответствует известным программе устройствам, в графе таблицы отображаются имена этих устройств. Остальная адресная информация отображается в явном виде (например, диапазоны адресов).
- Установите флажки напротив тех параметров, которые вы хотите просматривать в таблице. Требуется выбрать хотя бы один параметр.
Для выбора доступны следующие параметры:
- ID правила.
Уникальный идентификатор правила.
- Состояние (значок
).Текущее состояние правила (Включено или Выключено).
- Тип правила.
Для правил контроля взаимодействий – технология, к которой относится правило (NIC или CC). Для правил, выключающих регистрацию событий, указан тип EVT.
- Протоколы/Команды.
Для правил, относящихся к технологии Контроль целостности сети (тип NIC) или выключающих регистрацию событий (тип EVT) – набор используемых протоколов. Для правил, относящихся к технологии Контроль системных команд (тип CC) – протокол и системные команды. Протоколы, которые определяются программой по содержимому сетевых пакетов, выделены курсивом.
- Сторона 1.
Имя устройства / адресная информация одной из сторон сетевого взаимодействия. Отображение адресов и портов адресной информации можно включать и выключать с помощью следующих параметров:
- MAC-адрес.
- IP-адрес.
- Номер порта.
- Сторона 2.
Имя устройства / адресная информация другой стороны сетевого взаимодействия. Отображение адресов и портов адресной информации можно включать и выключать с помощью следующих параметров:
- MAC-адрес.
- IP-адрес.
- Номер порта.
- Комментарий.
Дополнительная информация о правиле.
- Создано.
Дата и время создания правила.
- Изменено.
Дата и время последнего изменения правила.
- Источник.
Сведения об источнике правила.
- Правило в событии.
Имя правила контроля процесса или обнаружения вторжений, которое должно быть указано в событии (для правил типа EVT).
- Точка мониторинга.
Имя точки мониторинга, которое должно быть указано в событии (для правил типа EVT).
- Тип события.
Идентификатор и заголовок типа события (для правил типа EVT).
- ID правила.
- Если вы хотите изменить порядок отображения граф, выделите название графы, которую требуется разместить левее или правее в таблице, и используйте кнопки с изображением стрелок вверх и вниз.
Для граф Сторона 1 и Сторона 2 вы также можете изменить порядок отображения адресной информации для сторон сетевого взаимодействия. Для этого выделите значение, которое вы хотите разместить левее или правее в таблице, и используйте кнопки с изображением стрелок вверх и вниз.
Выбранные графы отобразятся в указанном вами порядке в таблице разрешающих правил.
- Фильтрация по графам таблицы
Чтобы отфильтровать правила по графе ID правила, Правило в событии или Тип события:
- В разделе Разрешающие правила нажмите на значок фильтрации в нужной графе.
Откроется окно фильтрации.
- В полях Включая и Исключая введите значения для правил, которые вы хотите включить в фильтрацию и/или исключить из фильтрации.
- Если вы хотите применить несколько условий фильтрации, объединенных логическим оператором ИЛИ, в окне фильтрации графы нажмите на кнопку Добавить условие и введите условие в открывшемся поле.
- Если вы хотите удалить одно из созданных условий фильтрации, в окне фильтрации графы нажмите на значок .
- Нажмите на кнопку OK.
Чтобы отфильтровать правила по графе Состояние, Тип правила, Источник или Точка мониторинга:
- В разделе Разрешающие правила нажмите на значок фильтрации в нужной графе.
При фильтрации по состояниям, типам правил и источникам вы также можете воспользоваться соответствующими кнопками в панели инструментов.
Откроется окно фильтрации.
- Установите флажки напротив значений, по которым вы хотите выполнить фильтрацию.
- Нажмите на кнопку OK.
Чтобы отфильтровать правила по графе Протоколы/Команды:
- В разделе Разрешающие правила нажмите на значок фильтрации в графе Протоколы/Команды.
Фильтрация по графе Протоколы/Команды выполняется только по протоколам. Для фильтрации правил по названиям системных команд (правила по технологии Контроль системных команд) вы можете использовать функцию поиска правил.
Откроется окно с таблицей поддерживаемых протоколов, отображаемых в виде дерева стека протоколов. Вы можете управлять отображением элементов дерева с помощью кнопок + и - рядом с названиями протоколов, которые содержат протоколы следующих уровней.
В графах таблицы представлена следующая информация:
- Протокол – название протокола в дереве стека протоколов.
- EtherType – номер протокола следующего уровня внутри протокола Ethernet (если протокол имеет заданный номер). Отображается в десятичном формате.
- IP-номер – номер протокола следующего уровня внутри протокола IP (если протокол имеет заданный номер). Указывается только для протоколов, входящих в структуру протокола IP. Отображается в десятичном формате.
- При необходимости воспользуйтесь поисковой строкой над таблицей, чтобы найти нужные протоколы.
- В списке протоколов установите флажки напротив протоколов, по которым вы хотите выполнить фильтрацию.
Если вы устанавливаете или снимаете флажок для протокола, который содержит вложенные протоколы, то для всех вложенных протоколов также автоматически устанавливаются или снимаются флажки.
- Нажмите на кнопку OK.
Чтобы отфильтровать правила по графам Сторона 1 и Сторона 2:
- В разделе Разрешающие правила откройте раскрывающийся список Адресная информация.
Откроется окно фильтрации.
- Укажите нужные значения в следующих полях:
- MAC-адрес.
- IP-адрес.
- Номер порта.
- Нажмите на кнопку OK.
Чтобы отфильтровать правила по графе Создано или Изменено:
- В разделе Разрешающие правила нажмите на значок фильтрации в нужной графе.
Откроется календарь.
- В календаре задайте дату начальной и конечной границ периода фильтрации. Для этого выберите дату в календаре (при этом будет указано текущее время) или введите значение вручную в формате ДД.ММ.ГГГГ чч:мм:сс. Если указывать дату и время границы периода фильтрации не требуется, вы можете не выбирать дату или удалить текущее значение.
- Нажмите на кнопку OK.
- В разделе Разрешающие правила нажмите на значок фильтрации в нужной графе.
- Поиск правил
- Сброс заданных параметров фильтрации и поиска
- Сортировка правил
- Обновление таблицы правил
Выбор правил контроля взаимодействий в таблице разрешающих правил
В таблице разрешающих правил вы можете выбирать правила контроля взаимодействий для просмотра сведений и для работы с этими правилами. При выборе правил в правой части окна веб-интерфейса появляется область деталей.
Перед выбором правил вы можете настроить таблицу разрешающих правил для отображения правил контроля взаимодействий в нужном порядке.
Чтобы выбрать нужные правила контроля взаимодействий, выполните одно из следующих действий:
- Если вы хотите выбрать одно правило, установите флажок напротив этого правила или выберите правило с помощью мыши.
- Если вы хотите выбрать несколько правил, установите флажки напротив нужных правил или выберите их, удерживая нажатой клавишу CTRL или SHIFT. При выборе нескольких правил программа проверяет состояние выбранных правил и определяет наличие включенных и выключенных правил среди выбранных.
- Если вы хотите выбрать все правила, удовлетворяющие текущим параметрам фильтрации и поиска, выполните одно из следующих действий:
- выберите любое правило в таблице и нажмите комбинацию клавиш CTRL+A;
- установите флажок в заголовке левой крайней графы таблицы.
При выборе нескольких правил в области деталей отображается общее количество выбранных правил. Если вы выбрали все правила, удовлетворяющие текущим параметрам фильтрации и поиска, в области деталей отображается одно из следующих значений:
- Если выбрано до 1000 правил включительно, отображается точное количество. В этом случае программа проверяет состояние выбранных правил, как и при других способах выбора нескольких правил.
- Если выбрано более 1000 правил, отображается
1000+. В этом случае программа не проверяет состояние выбранных правил.
В заголовке левой крайней графы таблицы отображается флажок выбора правил. В зависимости от количества выбранных правил флажок может быть в одном из следующих состояний:
- – в таблице не выполнялся выбор всех правил, удовлетворяющих текущим параметрам фильтрации и поиска. При этом в таблице может быть выбрано одно правило или несколько правил с помощью флажков напротив правил или с использованием клавиш CTRL или SHIFT.
- – в таблице выбраны все правила, удовлетворяющие текущим параметрам фильтрации и поиска.
- – в таблице были выбраны все правила, удовлетворяющие текущим параметрам фильтрации и поиска, и после этого для некоторых правил были сняты флажки. Это состояние сохраняется и в случае, если флажки сняты для всех правил, выбранных таким способом (из-за того, что количество выбранных правил может измениться).
Если выбраны все правила, удовлетворяющие параметрам фильтрации и поиска, количество выбранных правил может автоматически изменяться. Например, состав правил в таблице может быть изменен пользователем программы в другом сеансе подключения или при оптимизации списка правил в режиме обучения. Рекомендуется настраивать параметры фильтрации и поиска таким образом, чтобы в выборку попали только нужные правила (например, перед выбором всех правил вы можете отфильтровать правила по идентификаторам).
Создание правил контроля взаимодействий вручную
Вы можете создавать правила контроля взаимодействий вручную, используя следующие возможности:
- Создание правила с изначально пустыми значениями параметров или со значениями из шаблона
- Создание нового правила на основе имеющегося правила
- Создание правила на основе события, зарегистрированного по технологии Контроль целостности сети или Контроль системных команд
Изменение параметров правила контроля взаимодействий
Вы можете изменять параметры включенного правила контроля взаимодействий. Для выключенных правил возможность изменения недоступна.
Чтобы изменить параметры правила контроля взаимодействий:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- В разделе Разрешающие правила выберите нужное правило типа NIC или CC для изменения параметров.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Изменить.
- Измените нужные параметры.
Включение и выключение правил контроля взаимодействий
Правила контроля взаимодействий могут находиться в состояниях Включено или Выключено. По умолчанию после создания правила включены.
Вы можете выключить те правила, которые не должны использоваться при работе технологий контроля взаимодействий в режиме наблюдения.
Чтобы изменить состояние правил контроля взаимодействий:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- В разделе Разрешающие правила выберите правила контроля взаимодействий, для которых вы хотите изменить состояние.
В правой части окна веб-интерфейса появится область деталей.
- Включите или выключите правила с помощью кнопок Включить и Выключить. Каждая из этих кнопок отображается, если среди выбранных правил есть правила, с которыми можно выполнить соответствующую операцию.
Если выбраны все правила, удовлетворяющие текущим параметрам фильтрации и поиска, и количество выбранных правил более 1000, программа не проверяет состояние правил. В этом случае в области деталей отображаются обе кнопки для изменения состояния правил.
Удаление правил контроля взаимодействий
Вы можете выборочно удалить одно или несколько правил контроля взаимодействий. Удаленные правила перестают действовать при работе технологий контроля взаимодействий как в режиме наблюдения, так и в режиме обучения.
Чтобы удалить правила контроля взаимодействий:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Разрешающие правила.
- В таблице правил выберите правила контроля взаимодействий, которые вы хотите удалить.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Удалить.
Откроется окно с запросом подтверждения. В зависимости от состояния выбранных правил, в запросе будут предложены следующие варианты действий:
- Если все выбранные правила включены, программа предлагает удалить выбранные правила, выключить их или отменить операцию. Это условие не проверяется, если выбраны все правила, удовлетворяющие текущим параметрам фильтрации и поиска, и количество выбранных правил более 1000.
- Если среди выбранных правил присутствуют выключенные правила или выбраны все правила, удовлетворяющие текущим параметрам фильтрации и поиска, и количество выбранных правил более 1000, программа предлагает удалить выбранные правила или отменить операцию.
- В окне запроса подтвердите удаление правил.
Настройка обнаружения вторжений
Для обнаружения вторжений в трафике промышленной сети вы можете использовать правила обнаружения вторжений и дополнительные методы обнаружения вторжений по встроенным алгоритмам. При обнаружении в трафике признаков атак Kaspersky Industrial CyberSecurity for Networks регистрирует события по технологии Обнаружение вторжений.
Настройка правил и методов обнаружения вторжений выполняется при подключении к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс. Список правил обнаружения вторжений отображается в разделе Обнаружение вторжений. Изменять состояния методов обнаружения вторжений вы можете в разделе Параметры → Технологии.
Настройка параметров регистрации событий обнаружения вторжений выполняется в разделе Параметры → Типы событий.
Вы можете просмотреть события обнаружения вторжений в таблице зарегистрированных событий.
Правила обнаружения вторжений
Правило обнаружения вторжений описывает аномалию трафика, которая может быть признаком атаки в промышленной сети. Правила содержат условия, по которым система обнаружения вторжений анализирует трафик.
Правила обнаружения вторжений хранятся на Сервере и сенсорах.
Правила обнаружения вторжений входят в наборы правил. Набор правил включает правила обнаружения вторжений, сгруппированные по произвольным признакам (например, правила, которые содержат взаимозависимые условия для анализа трафика). В программе могут использоваться следующие типы наборов правил:
- Системные наборы правил. Эти наборы правил поставляются "Лабораторией Касперского" и предназначены для обнаружения признаков наиболее часто встречающихся атак или нежелательной сетевой активности. Системные наборы правил доступны сразу после установки программы. Вы можете обновлять системные наборы правил, устанавливая обновления.
- Пользовательские наборы правил. Эти наборы правил пользователь самостоятельно загружает в программу. Для загрузки нужно использовать файлы, в которых содержатся структуры данных, задающие правила обнаружения вторжений. Файлы для загрузки должны находиться в одной директории и иметь расширение rules. Имена пользовательских наборов правил совпадают с именами файлов, из которых были загружены эти наборы правил.
Программа поддерживает применение не более чем 50000 правил суммарно во всех загруженных наборах правил. Ограничение количества загруженных наборов правил – не более 100.
Правила, загружаемые из пользовательских наборов правил, могут содержать такие условия для анализа трафика, по которым программа будет регистрировать слишком большое количество событий срабатывания этих правил. При использовании правил, вызывающих регистрацию слишком большого количества событий, учитывайте, что в некоторых случаях они могут повлиять на производительность системы обнаружения вторжений.
Наборы правил обнаружения вторжений могут быть включены или выключены. Правила из включенного набора применяются при анализе трафика, если включен метод обнаружения вторжений по правилам. Если набор правил выключен, правила из этого набора не применяются.
При загрузке набора правил программа выполняет проверку содержащихся в нем правил. Если в проверяемых правилах обнаружены ошибки, программа блокирует применение таких правил. Если обнаружены ошибки во всех правилах набора или набор не содержит правил, программа выключает этот набор правил.
Сведения о наборах правил и обнаруженных ошибках вы можете просмотреть в разделе Обнаружение вторжений.
При обнаружении в трафике условий, заданных в правиле из включенного набора, программа регистрирует событие срабатывания правила. Для регистрации используются системные типы событий, которым присвоены следующие коды:
- 4000003000 – для события при срабатывании правила из системного набора правил;
- 4000003001 – для события при срабатывании правила из пользовательского набора правил.
Пользовательские наборы правил могут содержать правила, полученные из других систем обнаружения и предотвращения вторжений. При обработке таких правил программа не выполняет заданные в них действия, применяющиеся по отношению к сетевым пакетам (например, действия drop и reject). В результате срабатывания правил обнаружения вторжений в Kaspersky Industrial CyberSecurity for Networks выполняется только регистрация событий.
Уровни важности событий Kaspersky Industrial CyberSecurity for Networks соответствуют значениям приоритетов в правилах обнаружения вторжений (см. таблицу ниже).
Соответствие приоритетов правил и уровней важности событий
Значения приоритетов в правилах обнаружения вторжений |
Уровни важности событий Kaspersky Industrial CyberSecurity for Networks |
|---|---|
4 и более |
Информационные |
2 или 3 |
Важные |
1 |
Критические |
Дополнительные методы обнаружения вторжений
Для обнаружения вторжений вы можете применять следующие дополнительные методы:
- Обнаружение признаков подмены адресов в ARP-пакетах
- Обнаружение аномалий в протоколе TCP
- Обнаружение аномалий в протоколе IP
Вы можете применять дополнительные методы обнаружения вторжений независимо от наличия и состояния правил обнаружения вторжений. Для проверки по дополнительным методам используются встроенные алгоритмы.
В начало
Включение и выключение обнаружения вторжений по правилам
Включать и выключать метод обнаружения вторжений по правилам могут только пользователи с ролью Администратор.
Чтобы включить или выключить метод обнаружения вторжений по правилам:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Технологии.
- С помощью переключателя Обнаружение вторжений по правилам включите или выключите обнаружение вторжений по правилам.
- После включения или выключения метода дождитесь перевода переключателя в нужное состояние (Включено или Выключено).
Процесс занимает некоторое время. Переключатель при этом будет недоступен.
Включение и выключение дополнительных методов обнаружения вторжений
Включать и выключать дополнительные методы обнаружения вторжений могут только пользователи с ролью Администратор.
Чтобы включить или выключить дополнительные методы обнаружения вторжений:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Технологии.
- Включите или выключите применение дополнительных методов обнаружения вторжений, используя следующие переключатели:
- Обнаружение ARP-спуфинга – включает или выключает обнаружение признаков подмены адресов в ARP-пакетах.
- Обнаружение аномалий в протоколе TCP – включает или выключает обнаружение аномалий в протоколе TCP.
- Обнаружение аномалий в протоколе IP – включает или выключает обнаружение аномалий в протоколе IP.
- После включения или выключения метода дождитесь перевода переключателя в нужное состояние (Включено или Выключено).
Процесс занимает некоторое время. Переключатель при этом будет недоступен.
Просмотр таблицы с наборами правил обнаружения вторжений
Таблица с наборами правил обнаружения вторжений отображается в разделе Обнаружение вторжений веб-интерфейса программы. При просмотре таблицы с наборами правил вы можете использовать следующие функции:
- Фильтрация по графам таблицы
Чтобы отфильтровать таблицу с наборами правил по графе Имя набора правил:
- В разделе Обнаружение вторжений нажмите на значок фильтрации в графе Имя набора правил.
Откроется окно фильтрации.
- В полях Включая и Исключая введите имена наборов правил, которые вы хотите включить в фильтрацию и/или исключить из фильтрации.
- Если вы хотите применить несколько условий фильтрации, объединенных логическим оператором ИЛИ, в окне фильтрации графы нажмите на кнопку Добавить условие и введите условие в открывшемся поле.
- Если вы хотите удалить одно из созданных условий фильтрации, в окне фильтрации графы нажмите на значок .
- Нажмите на кнопку OK.
Чтобы отфильтровать таблицу с наборами правил по графе Источник, Состояние или Правила:
- В разделе Обнаружение вторжений нажмите на значок фильтрации в нужной графе.
Откроется окно фильтрации.
- Установите флажки напротив значений, по которым вы хотите выполнить фильтрацию.
- Нажмите на кнопку OK.
- В разделе Обнаружение вторжений нажмите на значок фильтрации в графе Имя набора правил.
- Поиск наборов правил
- Сортировка наборов правил
Выбор наборов правил обнаружения вторжений
В таблице наборов правил обнаружения вторжений вы можете выбирать нужные наборы правил для выполнения действий с ними.
Чтобы выбрать нужные наборы правил обнаружения вторжений, выполните одно из следующих действий:
- Если вы хотите выбрать один набор правил, установите флажок напротив этого набора или выберите набор с помощью мыши.
- Если вы хотите выбрать несколько наборов правил, установите флажки напротив нужных наборов или выберите их, удерживая нажатой клавишу CTRL или SHIFT.
- Если вы хотите выбрать все наборы правил, удовлетворяющие текущим параметрам фильтрации и поиска, выполните одно из следующих действий:
- выберите любой набор правил в таблице и нажмите комбинацию клавиш CTRL+A;
- установите флажок в заголовке левой крайней графы таблицы.
В заголовке левой крайней графы таблицы отображается флажок выбора наборов правил. В зависимости от количества выбранных наборов правил флажок может быть в одном из следующих состояний:
- – в таблице не выполнялся выбор всех наборов правил, удовлетворяющих текущим параметрам фильтрации и поиска. При этом в таблице может быть выбран один набор или несколько наборов с помощью флажков напротив наборов правил или с использованием клавиш CTRL или SHIFT.
- – в таблице выбраны все наборы правил, удовлетворяющие текущим параметрам фильтрации и поиска.
- – в таблице были выбраны все наборы правил, удовлетворяющие текущим параметрам фильтрации и поиска, и после этого для некоторых наборов были сняты флажки. Это состояние сохраняется и в случае, если флажки сняты для всех наборов правил, выбранных таким способом (из-за того, что количество выбранных наборов может измениться).
Если выбраны все наборы правил, удовлетворяющие параметрам фильтрации и поиска, количество выбранных наборов может автоматически изменяться. Например, состав наборов правил в таблице может быть изменен пользователем программы в другом сеансе подключения.
В начало
Включение и выключение наборов правил обнаружения вторжений
Наборы правил обнаружения вторжений могут находиться в состояниях Включено или Выключено. Если набор правил выключен, все правила этого набора не используются при обнаружении вторжений.
При включении или выключении выбранных наборов правил на всех компьютерах с установленными компонентами программы (Сервере и сенсорах) выполняется перезапуск системы обнаружения вторжений. Перезапуск необходим для применения изменений.
Изменять состояния наборов правил обнаружения вторжений могут только пользователи с ролью Администратор.
Чтобы изменить состояние наборов правил обнаружения вторжений:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- В разделе Обнаружение вторжений выберите наборы правил, для которых вы хотите изменить состояние.
- По правой клавише мыши откройте контекстное меню.
- В контекстном меню выберите один из следующих пунктов:
- Включить, если вы хотите включить все выключенные наборы правил из числа выбранных.
- Выключить, если вы хотите выключить все включенные наборы правил из числа выбранных.
- Переключить состояние выбранных наборов правил, если для всех выбранных наборов правил вы хотите одновременно инвертировать их состояние. Этот вариант позволяет быстрее включить и выключить выбранные наборы правил с разными состояниями на всех компьютерах с установленными компонентами программы (так как для применения изменений будет выполнен только один перезапуск системы обнаружения вторжений на этих компьютерах).
Откроется окно с запросом подтверждения.
- В окне запроса нажмите на кнопку OK.
Загрузка и замена пользовательских наборов правил обнаружения вторжений
Вы можете загрузить в программу наборы правил обнаружения вторжений из файлов. Для загрузки в программу файлы с описаниями правил обнаружения вторжений должны находиться в одной папке и иметь расширение rules. Имена файлов не должны содержать следующие символы: \ / : * ? , " < > |.
После загрузки из файла правила обнаружения вторжений сохраняются в программе в качестве пользовательского набора правил. Имя набора правил совпадает с именем файла, из которого этот набор был загружен.
При загрузке наборов правил из файлов текущие пользовательские наборы правил удаляются из таблицы и заменяются новыми. При этом системные наборы правил (для которых в графе Источник указано значение Система) не удаляются из таблицы.
Загружать пользовательские наборы правил обнаружения вторжений могут только пользователи с ролью Администратор.
Чтобы загрузить и заменить пользовательские наборы правил обнаружения вторжений:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Обнаружение вторжений.
- По ссылке Заменить пользовательские правила в панели инструментов вызовите окно для выбора папки с файлами правил обнаружения вторжений.
- При появлении окна запроса нажмите на кнопку OK.
- В стандартном окне используемого браузера выберите папку, в которой содержатся нужные файлы, и нажмите на кнопку пересылки файлов из этой папки.
В таблице с наборами правил отобразятся новые пользовательские наборы правил. Для этих наборов правил в графе Источник будет указано значение Пользователь. Все наборы правил, в которых не обнаружены ошибки, будут включены.
- Проверьте наличие ошибок в правилах загруженных наборов правил.
Сведения об обнаруженных ошибках отображаются в графе Правила. При отсутствии ошибок отображается статус ОК. Если набор правил содержит ошибки, вы можете просмотреть подробные сведения о них по ссылке Подробнее.
- При необходимости измените состояние наборов правил (в том числе тех наборов, для которых отображается статус Ошибки в некоторых правилах).
Удаление пользовательских наборов правил обнаружения вторжений
Вы можете удалить все пользовательские наборы правил обнаружения вторжений, которые были загружены в программу из файлов. Возможность выборочного удаления пользовательских наборов правил недоступна. Если вы хотите использовать в программе только некоторые из имеющихся наборов правил, вы можете скопировать файлы с этими наборами в отдельную папку и заменить все пользовательские наборы правил на наборы правил из этой папки.
Удалять пользовательские наборы правил обнаружения вторжений могут только пользователи с ролью Администратор.
Чтобы удалить пользовательские наборы правил обнаружения вторжений:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Обнаружение вторжений.
- Запустите удаление пользовательских наборов правил по ссылке Удалить пользовательские правила в панели инструментов.
Откроется окно с запросом подтверждения.
- В окне запроса нажмите на кнопку ОК.
Все пользовательские наборы правил обнаружения вторжений будут удалены из таблицы.
В начало
Управление журналами
Этот раздел содержит информацию об управлении журналами Kaspersky Industrial CyberSecurity for Networks.
Управлять журналами Kaspersky Industrial CyberSecurity for Networks могут только пользователи с ролью Администратор.
Управление параметрами хранения журналов в базе данных Сервера
Вы можете изменить параметры хранения записей журналов в базе данных Сервера.
Чтобы изменить параметры хранения журналов в базе данных Сервера:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Развертывание.
- Выберите карточку Сервера.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Изменить.
- В блоках параметров События, Записи аудита и Сообщения программы настройте следующие параметры:
- С помощью параметра Объем задайте ограничение занимаемого объема для хранения записей. Вы можете выбрать единицу измерения для указанного значения: МБ или ГБ.
При изменении значения параметра обратите внимание на оцениваемое максимальное количество записей для указанного объема. Также вам нужно учитывать, что сумма всех ограничений по объему не может превышать заданный максимальный объем хранилища для узла.
- При необходимости с помощью параметра Время хранения (дней) включите ограничение на минимальное время хранения записей и укажите нужное количество дней для хранения.
- С помощью параметра Объем задайте ограничение занимаемого объема для хранения записей. Вы можете выбрать единицу измерения для указанного значения: МБ или ГБ.
- Нажмите на кнопку Сохранить.
Управление параметрами сохранения трафика в базе данных Сервера
Программа может сохранять трафик, полученный на момент регистрации событий. Трафик сохраняется в базе данных Сервера при регистрации событий, для которых включено сохранение трафика. Также программа может сохранять трафик в базе данных Сервера непосредственно при запросе на загрузку трафика, используя временные файлы дампа трафика.
Программа сохраняет данные о трафике блоками. Если блок трафика относится к нескольким событиям (когда события регистрируются в коротком промежутке времени), этот блок трафика не дублируется в базе данных.
Чтобы изменить параметры сохранения трафика в базе данных Сервера:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Развертывание.
- Выберите карточку Сервера.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Изменить.
- В блоке параметров Трафик для событий задайте ограничение занимаемого объема для хранения трафика c помощью параметра Объем.
Вы можете выбрать единицу измерения для ограничения объема: МБ или ГБ.
При изменении значения параметра вам нужно учитывать, что сумма всех ограничений по объему не может превышать заданный максимальный объем хранилища для узла.
- Нажмите на кнопку Сохранить.
Включение и выключение аудита действий пользователей
Вы можете включать и выключать аудит действий пользователей программы.
По умолчанию аудит действий пользователей включен.
Чтобы включить или выключить аудит действий пользователей:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Аудит.
- Включите или выключите аудит действий пользователей с помощью переключателя Аудит действий пользователей в панели инструментов.
- Дождитесь применения изменений. До завершения перевода в другое состояние переключатель недоступен.
Изменение уровней ведения журналов работы процессов
На узлах с установленными компонентами программы выполняются служебные процессы, которые могут сохранять данные о своей работе в журналах в локальных директориях. Вы можете управлять сохранением данных в журналах работы следующих процессов программы:
- На компьютере, который выполняет функции Сервера:
- EntityManager.
- Filter.
- KisClient.
- NetworkDumper.
- ProductServer.
- Watchdog.
- WebServer.
- На компьютере, который выполняет функции сенсора:
- EntityManager.
- Filter.
- NetworkDumper.
- Watchdog.
Для каждого процесса вы можете задать один из следующих уровней ведения журнала:
- Выкл. В журнале не сохраняются данные о работе процесса.
- Ошибки. В журнале сохраняются только данные об ошибках, возникших в работе процесса.
- Важные. В журнале сохраняются данные уровня Ошибки и данные, на которые нужно обратить внимание.
- Инфо. В журнале сохраняются данные уровня Важные и информация справочного характера.
- Отладка. В журнале сохраняются данные уровня Инфо и все данные о работе процесса, которые могут потребоваться в процессе отладки программы (например, сведения о производительности процесса).
Необходимость изменить уровни ведения журналов может возникнуть, например, при обращении в Службу технической поддержки.
Изменять уровни ведения журналов могут только пользователи с ролью Администратор.
Чтобы изменить уровни ведения журналов для процессов Kaspersky Industrial CyberSecurity for Networks:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Ведение журналов.
- Измените уровни ведения журналов в зависимости от нужного результата:
- Если вы хотите задать одинаковый уровень ведения журналов для всех процессов на всех узлах, нажмите на заголовок графы с названием нужного уровня.
- Если вы хотите задать одинаковый уровень ведения журналов для всех процессов на одном из узлов, нажмите на ячейку графы с названием нужного уровня в строке с именем узла.
- Если вы хотите для одного процесса задать уровень ведения журнала, отличающийся от заданных уровней для других процессов, раскройте список процессов нужного узла в графе Узлы и процессы и нажмите на ячейку графы с названием нужного уровня в строке с именем процесса.
- Дождитесь применения изменений (до применения изменений отображается индикатор выполнения).
Управление технологиями
В Kaspersky Industrial CyberSecurity for Networks вы можете включать и выключать использование технологий и методов, относящихся к технологиям. Также вы можете изменять режим работы технологий и методов, для которых доступна такая возможность. Управлять технологиями могут только пользователи с ролью Администратор.
Включение и выключение поддерживается для следующих технологий и методов:
- Контроль активов:
- Обнаружение активности устройств.
- Обнаружение сведений об устройствах.
- Контроль проектов ПЛК.
- Обнаружение уязвимостей устройств.
- Контроль сети:
- Контроль целостности сети.
- Контроль системных команд.
- Контроль процесса:
- Контроль процесса по правилам.
- Обнаружение неизвестных тегов.
- Обнаружение устройств для контроля процесса.
- Обнаружение вторжений:
- Обнаружение вторжений по правилам.
- Обнаружение ARP-спуфинга.
- Обнаружение аномалий в протоколе IP.
- Обнаружение аномалий в протоколе TCP.
Если технология или метод выключены, программа не контролирует взаимодействия устройств по этой технологии или по этому методу. При этом вы можете настраивать параметры выключенных технологий и методов (например, добавлять или изменять правила).
Изменение режима поддерживается для следующих технологий и методов:
- Обнаружение активности устройств.
- Контроль системных команд.
- Контроль процесса по правилам.
- Контроль целостности сети.
По умолчанию после установки программы включены все технологии и методы, за исключением методов контроля проектов ПЛК и обнаружения неизвестных тегов. Для технологий и методов, поддерживающих изменение режима, по умолчанию включен режим обучения.
Чтобы изменить состояние и/или режим работы технологий и методов:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Технологии.
Отобразится список технологий и методов, доступных для изменения состояний и режимов работы.
Если изменение состояний и режимов работы технологий и методов невозможно в текущий момент, переключатели в списке недоступны (при этом в полях для выбора режимов отображается значение Нет данных). В этом случае рекомендуется проверить статус сервиса kics4net на компьютере Сервера. Если сервис не активен, требуется его запустить.
- Включите или выключите применение нужных технологий и/или методов с помощью переключателей слева. Вы можете включить или выключить все технологии и методы одновременно по ссылкам Включить все и Выключить все.
- После включения или выключения технологии или метода дождитесь применения изменений. До завершения перевода в другое состояние переключатель недоступен.
- Для технологий и методов, поддерживающих работу в режиме обучения (Обнаружение активности устройств, Контроль системных команд, Контроль процесса по правилам и Контроль целостности сети), выберите нужный режим. Если вы хотите выбрать одинаковый режим для всех этих технологий и методов, используйте раскрывающийся список Режим.
Если требуется выбрать разные режимы (Обучение и Наблюдение), используйте раскрывающийся список справа от названия технологии или метода. В этом случае раскрывающийся список Режим будет отображать значение Смешанный.
- После выбора режима дождитесь применения изменений. До применения режима в раскрывающемся списке отображается статус Изменение.
Настройка получения данных от EPP-программ
Kaspersky Industrial CyberSecurity for Networks может получать и обрабатывать данные, которые поступают от программ "Лаборатории Касперского", выполняющих функции защиты рабочих станций и серверов. Эти программы входят в состав системы защиты конечных устройств (англ. Endpoint Protection Platform, EPP) и устанавливаются на конечные устройства внутри IT-инфраструктуры организации.
Передачу данных от EPP-программ осуществляют компьютеры с установленной программой Kaspersky Endpoint Agent. Программа Kaspersky Endpoint Agent устанавливается на рабочие станции и серверы в IT-инфраструктуре организации дополнительно к EPP-программам.
В текущей версии Kaspersky Industrial CyberSecurity for Networks поддерживает получение и обработку данных от программы Kaspersky Endpoint Agent из комплекта поставки Kaspersky Industrial CyberSecurity for Nodes. Установка Kaspersky Endpoint Agent может быть выполнена отдельно или в составе программы Kaspersky Industrial CyberSecurity for Nodes.
Максимальное количество компьютеров, от которых поддерживается получение и обработка данных от EPP-программ – 1000.
Данные от Kaspersky Endpoint Agent поступают в Kaspersky Industrial CyberSecurity for Networks через серверы интеграции. Функции сервера интеграции может выполнять любой узел с установленным компонентом Kaspersky Industrial CyberSecurity for Networks (Сервер или сенсор). Для интеграции с Kaspersky Endpoint Agent вам нужно добавить серверы интеграции на те узлы, которые будут получать данные от Kaspersky Endpoint Agent.
Функции сервера интеграции на узле Kaspersky Industrial CyberSecurity for Networks реализует сервис интеграции с EPP-программами – kics4net-epp-proxy. Пакет для установки этого сервиса входит в комплект поставки Kaspersky Industrial CyberSecurity for Networks.
При поступлении данных от Kaspersky Endpoint Agent на сервер интеграции программа может выполнять следующие действия:
- регистрировать события по технологии EPP (события защиты рабочих станций и серверов);
- добавлять в таблицу устройств те устройства, на которых установлены EPP-программы (а также устройства, с которыми были двусторонние взаимодействия этих устройств);
- обновлять в таблице устройств сведения об устройствах, на которых установлены EPP-программы (например, версия операционной системы, сведения о модели или производителе);
- отображать на узлах карты сети специальные значки, обозначающие наличие EPP-программ и состояния подключения этих программ;
- отображать на карте сети соединения, в которых одной из сторон взаимодействия является устройство с установленной EPP-программой (при этом для отображения сведений о таких соединениях приоритет имеют данные, полученные из трафика от точек мониторинга).
Компьютеры с Kaspersky Endpoint Agent устанавливают защищенные соединения с серверами интеграции по протоколу HTTPS. Для обеспечения безопасности соединений используются сертификаты, выданные Сервером Kaspersky Industrial CyberSecurity for Networks. В соединениях могут использоваться следующие сертификаты:
- Сертификат сервера интеграции. Этот сертификат проверяет компьютер с Kaspersky Endpoint Agent при каждой установке соединения. Соединение не устанавливается до успешного завершения проверки сертификата.
- Сертификат клиента. Этот сертификат используется для аутентификации клиентов сервера интеграции, которыми являются компьютеры с Kaspersky Endpoint Agent. Один и тот же сертификат клиента может использоваться несколькими компьютерами с Kaspersky Endpoint Agent. По умолчанию сервер интеграции не выполняет проверку сертификатов клиентов, но вы можете ее включить для усиления защиты соединений.
Доставка сертификатов и открытых ключей на компьютеры с Kaspersky Endpoint Agent выполняется с помощью Kaspersky Security Center. Для загрузки этих данных в Kaspersky Security Center используется файл свертки, который нужно создать в Kaspersky Industrial CyberSecurity for Networks после добавления сервера интеграции.
Настраивать получение данных от EPP-программ могут только пользователи с ролью Администратор.
Сценарий подготовки к получению данных от EPP-программ
Сценарий подготовки к получению данных от EPP-программ состоит из следующих этапов:
- Установка EPP-программ на компьютеры контролируемой сети
На этом этапе вам нужно установить программы "Лаборатории Касперского", выполняющие функции защиты рабочих станций и серверов (EPP-программы). EPP-программы требуется установить на все компьютеры, данные о которых вы хотите получать в Kaspersky Industrial CyberSecurity for Networks. Эти компьютеры должны находиться либо вне промышленной сети (трафик которой контролируется через точки мониторинга), либо иметь дополнительное подключение к другой сети, в которую входит один из узлов с установленным компонентом Kaspersky Industrial CyberSecurity for Networks (например, к выделенной сети Kaspersky Industrial CyberSecurity). Вместе с EPP-программами должна быть установлена программа Kaspersky Endpoint Agent.
В текущей версии Kaspersky Industrial CyberSecurity for Networks поддерживает получение и обработку данных только от программы Kaspersky Industrial CyberSecurity for Nodes версии не ниже 3.0. Для передачи данных от Kaspersky Industrial CyberSecurity for Nodes в Kaspersky Industrial CyberSecurity for Networks вы можете использовать программу Kaspersky Endpoint Agent версии не ниже 3.11. Сведения об установке указанных программ см. в справке соответствующей программы.
- Добавление серверов интеграции для узлов Kaspersky Industrial CyberSecurity for Networks
На этом этапе выполняются процедуры добавления серверов интеграции на узлы, к которым будут подключаться компьютеры с установленной программой Kaspersky Endpoint Agent. Сетевые взаимодействия узлов с этими компьютерами возможны только через сетевые интерфейсы, не используемые в качестве точек мониторинга. При этом для серверов интеграции не настраиваются конкретные сетевые интерфейсы и IP-адреса, поскольку для внешнего подключения к серверу интеграции может использоваться любой из доступных сетевых интерфейсов и IP-адресов компьютера.
- Создание файлов свертки для клиентов серверов интеграции
На этом этапе вам нужно создать и скачать файлы свертки, в которых программа сохраняет сертификаты и ключи для подключений клиентов к серверам интеграции. Каждый файл свертки представляет собой архив, содержащий следующие данные:
- Открытый ключ сертификата сервера интеграции.
- Сертификат для клиентов сервера интеграции (с закрытым ключом). Этот сертификат добавляется, если на сервере интеграции включена проверка сертификатов клиентов. Сертификат и ключ сохраняются в зашифрованном виде с использованием пароля, указанного при создании файла свертки.
- Загрузка данных для подключения к серверам интеграции на компьютеры клиентов
Этот этап реализуется с помощью Консоли администрирования Kaspersky Security Center и плагина управления Kaspersky Endpoint Agent. Клиентами для серверов интеграции Kaspersky Industrial CyberSecurity for Networks являются компьютеры с установленной программой Kaspersky Endpoint Agent. На этом этапе вам нужно загрузить сертификаты и/или ключи из файлов свертки на Сервер администрирования Kaspersky Security Center с помощью плагина управления Kaspersky Endpoint Agent. Далее в Консоли администрирования Kaspersky Security Center вам нужно создать политики для загрузки данных на компьютеры с Kaspersky Endpoint Agent. Сведения о работе с данными и создании политик см. в документации Kaspersky Endpoint Agent.
Для каждого сервера интеграции должна быть создана как минимум одна политика, содержащая следующие данные для загрузки на компьютеры клиентов:
- Открытый ключ сертификата сервера интеграции.
- IP-адрес для подключения к серверу интеграции. Вы можете указать любой из доступных IP-адресов узла с сервером интеграции (IP-адреса можно просмотреть при подключении к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс на закладке Серверы интеграции в разделе Параметры → Серверы подключений). По умолчанию для подключения используется порт 8081.
- Сертификат для клиентов сервера интеграции (с закрытым ключом). Этот сертификат добавляется, если на сервере интеграции включена проверка сертификатов клиентов.
- Включение серверов интеграции
Этот этап выполняется после применения политик и загрузки данных на компьютеры с Kaspersky Endpoint Agent. На этом этапе вам нужно включить все серверы интеграции, на которые будут передаваться данные от EPP-программ. При включении сервера интеграции на узле активируется сервис kics4net-epp-proxy.
В результате выполнения сценария Kaspersky Industrial CyberSecurity for Networks начнет получать и обрабатывать данные от EPP-программ.
В начало
Добавление сервера интеграции
Чтобы добавить сервер интеграции:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Серверы подключений.
- На закладке Серверы интеграции откройте область деталей по ссылке Добавить сервер интеграции с Kaspersky Endpoint Agent.
- В раскрывающемся списке Узел выберите узел с установленным компонентом программы (Сервером или сенсором), на который требуется добавить сервер интеграции.
Вы можете выбрать только тот узел, на который еще не добавлен сервер интеграции.
- При необходимости включите проверку сертификатов для аутентификации клиентов с помощью переключателя Проверять сертификаты клиентов.
- Если вы включили проверку сертификатов клиентов, создайте один или несколько сертификатов для клиентов сервера интеграции. Для создания сертификата нажмите на кнопку Создать новый сертификат. При необходимости вы можете удалить лишние сертификаты из списка с помощью значка , который расположен справа от поля с отпечатком сертификата.
Если вы создали несколько сертификатов клиентов, вы сможете выбирать нужный сертификат при создании файла свертки.
- Нажмите на кнопку Сохранить.
Создание файла свертки для клиентов сервера интеграции
После добавления сервера интеграции или после изменения его параметров вам нужно создать и скачать файл свертки для клиентов этого сервера.
Чтобы создать новый файл свертки для клиентов сервера интеграции:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Серверы подключений.
- На закладке Серверы интеграции выберите сервер, для клиентов которого вы хотите создать новый файл свертки.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Получить файл свертки для клиентов.
- Если для сервера интеграции включена проверка сертификатов клиентов, откроется окно Генерация нового файла свертки. Выполните следующие действия:
- В раскрывающемся списке Сертификат для клиентов выберите нужный сертификат, который будет использоваться для аутентификации клиентов сервера интеграции.
- Укажите пароль для доступа к выбранному сертификату. С использованием заданного пароля будет зашифрован сертификат в файле свертки коннектора.
- Нажмите на кнопку Создать файл свертки.
Сервер Kaspersky Industrial CyberSecurity for Networks сформирует новый файл свертки для клиентов выбранного сервера интеграции, после чего браузер сохранит загруженный файл. В зависимости от параметров, заданных в браузере,Содержимое полученного файла свертки вам нужно загрузить на компьютеры клиентов сервера интеграции. Загрузка выполняется с помощью политик Сервера администрирования Kaspersky Security Center. В политиках Kaspersky Security Center нужно указать IP-адрес для подключения к серверу интеграции (для этого вы можете использовать один из доступных IP-адресов, указанных в области деталей выбранного сервера интеграции).
Создание и настройка политик Kaspersky Security Center выполняются в процессе настройки интеграции Kaspersky Endpoint Agent и Kaspersky Industrial CyberSecurity for Networks. Сведения о настройке интеграции см. в справке Kaspersky Endpoint Agent.
В начало
Таблица серверов интеграции
Таблица серверов интеграции отображается в разделе Параметры → Серверы подключений на закладке Серверы интеграции. В этой таблице отображаются сведения о серверах интеграции, добавленных на узлах с установленными компонентами программы.
Таблица серверов интеграции содержит следующие сведения:
- Имя узла – имя узла с установленным компонентом программы.
- IP-адреса – список IP-адресов на всех сетевых интерфейсах узла (для серверов интеграции не настраиваются конкретные сетевые интерфейсы и IP-адреса, поскольку для внешнего подключения к серверу интеграции может использоваться любой из доступных сетевых интерфейсов и IP-адресов компьютера).
- Запросов в секунду – среднее количество успешно обработанных запросов, поступивших от клиентов на сервер интеграции.
- Состояние – текущее состояние сервера интеграции.
- Проверка сертификата клиента – признак включенной или выключенной проверки сертификатов клиентов (если проверка выключена, ячейка таблицы пустая).
Включение и выключение сервера интеграции
Серверы интеграции могут быть включены или выключены. По умолчанию после создания сервер интеграции выключен, поэтому данные от клиентов этого сервера не обрабатываются в Kaspersky Industrial CyberSecurity for Networks.
Чтобы включить или выключить сервер интеграции:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Серверы подключений.
- На закладке Серверы интеграции выберите сервер, который вы хотите включить или выключить.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Включить или Выключить.
Изменение параметров сервера интеграции
При изменении параметров сервера интеграции вы можете заменить сертификат для самого сервера интеграции, а также включить или выключить проверку сертификатов клиентов и изменить список сертификатов для клиентов.
Чтобы изменить параметры сервера интеграции:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Серверы подключений.
- На закладке Серверы интеграции выберите сервер, для клиентов которого вы хотите изменить параметры.
В правой части окна веб-интерфейса появится область деталей.
- Если вы хотите заменить (выпустить новый) сертификат для самого сервера интеграции, нажмите на кнопку Перевыпустить сертификат.
После замены сертификата сервера интеграции его старый сертификат становится недействительным.
- Если вы хотите включить или выключить проверку сертификатов для аутентификации клиентов, используйте переключатель Проверять сертификаты клиентов.
- Если проверка сертификатов клиентов включена и вы хотите изменить список сертификатов для клиентов, используйте кнопку Создать новый сертификат и/или значок , который расположен справа от поля с отпечатком сертификата.
- Нажмите на кнопку Сохранить.
Если для сервера интеграции выпущен новый сертификат или созданы новые сертификаты клиентов, вам нужно снова создать и скачать файл свертки для отправки данных об этих сертификатах на компьютеры клиентов.
Удаление сервера интеграции
Чтобы удалить сервер интеграции:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Серверы подключений.
- На закладке Серверы интеграции выберите сервер, который вы хотите удалить.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Удалить.
Откроется окно с запросом подтверждения.
- В окне запроса нажмите на кнопку OK.
Управление коннекторами
Этот раздел содержит информацию об управлении коннекторами в Kaspersky Industrial CyberSecurity for Networks. Коннекторы – это специальные программные модули, которые обеспечивают обмен данными Kaspersky Industrial CyberSecurity for Networks со сторонними системами, в том числе с Kaspersky Security Center.
С помощью коннекторов вы можете настроить отправку событий, сообщений программы или записей аудита в стороннюю систему (например, в SIEM-систему). Также коннекторы могут обеспечивать получение различных данных от сторонних систем (например, регистрировать события по технологии Внешние системы).
Максимальное количество коннекторов в программе – не более 20.
В программе могут использоваться системные и пользовательские типы коннекторов.
Системные типы коннекторов встроены в программу. Предусмотрены следующие системные типы коннекторов:
- Syslog – для отправки данных на сервер Syslog.
- SIEM – для отправки данных на сервер SIEM-системы.
- Email – для отправки данных в сообщениях электронной почты.
- Generic – для подключения приложений, использующих Kaspersky Industrial CyberSecurity for Networks API.
При необходимости в программу можно добавлять пользовательские типы коннекторов, которые будут обеспечивать обмен данными с другими сторонними системами. Для добавления пользовательских типов коннекторов вам нужно использовать скрипт types_manager.py, находящийся на компьютере Сервера в директории /opt/kaspersky/kics4net-connectors/sbin/.
Подключение сторонней системы через коннектор выполняется от имени одного из пользователей программы. Для каждого коннектора рекомендуется использовать отдельную учетную запись пользователя. За счет этого вам будет удобнее анализировать действия, которые выполнялись через коннекторы, по записям аудита.
Также в программе предусмотрен специальный коннектор Kaspersky Security Center Connector. Этот коннектор обеспечивает взаимодействие программы с Kaspersky Security Center. Коннектор Kaspersky Security Center Connector создается в программе по умолчанию и не может быть удален. Для работы коннектора требуется добавить на Сервер Kaspersky Industrial CyberSecurity for Networks функциональность взаимодействия программы с Kaspersky Security Center.
Управлять коннекторами могут только пользователи с ролью Администратор.
Об отправке событий, сообщений программы и записей аудита в сторонние системы
Вы можете настроить отправку событий, сообщений программы или записей аудита (далее также "зарегистрированные уведомления") в стороннюю систему с помощью коннекторов. Для системных типов коннекторов Syslog, SIEM и Email возможность отправки зарегистрированных уведомлений включена по умолчанию. При использовании пользовательских типов коннекторов эта возможность доступна в зависимости от заданных параметров для типа коннектора.
Параметры отправки зарегистрированных уведомлений настраиваются для каждого коннектора. При настройке типов событий вы можете выбрать нужные типы событий для передачи через коннекторы. При создании коннектора или при изменении его параметров вы можете включить или выключить отправку всех сообщений программы и всех записей аудита через этот коннектор.
Некоторые типы коннекторов предоставляют возможность ограничения объема передаваемых данных. Ограничение действует в течение суток, начиная с нуля часов в часовом поясе Сервера. Вы можете задать ограничение объема передаваемых данных для следующих системных типов коннекторов:
- Email. Для этого типа коннектора можно задать максимальное количество сообщений электронной почты о новых зарегистрированных уведомлениях и максимальное количество зарегистрированных уведомлений в каждом сообщении. Если отправлено максимальное количество сообщений электронной почты, получателям отправляется ещё одно сообщение о превышении максимального количества. После этого новые сообщения не будут отправляться до конца текущих суток.
- Kaspersky Security Center Connector. Для этого типа коннектора можно задать максимальное количество передаваемых зарегистрированных уведомлений. Если зарегистрированных уведомлений больше, в Kaspersky Security Center не отправляются остальные уведомления, регистрируемые до конца текущих суток.
Передача событий, содержащих сведения о нескольких сетевых взаимодействиях, выполняется со следующей особенностью. При отправке через коннектор каждое такое событие учитывается как один элемент. Однако в процессе отправки событие преобразуется в несколько зарегистрированных уведомлений: по одному уведомлению на каждое сетевое взаимодействие. Поэтому список зарегистрированных уведомлений для коннектора может содержать больше уведомлений, чем задано параметром, который определяет максимальное количество уведомлений.
Содержание и порядок сведений о зарегистрированных уведомлениях, которые передаются через коннекторы типов Syslog и SIEM, могут отличаться в этих системах от содержания и порядка сведений, отображаемых на страницах веб-интерфейса Kaspersky Industrial CyberSecurity for Networks.
Сообщения электронной почты, отправляемые через коннектор Email, формируются раздельно для каждого типа зарегистрированных уведомлений. То есть для отправки событий, сообщений программы и записей аудита формируются разные сообщения электронной почты.
В начало
Добавление коннектора
Перед добавлением коннектора рекомендуется создать отдельную учетную запись пользователя, под которым сторонняя система будет подключаться к программе.
Чтобы добавить коннектор:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Коннекторы.
- Откройте область деталей по ссылке Добавить коннектор.
- Укажите основные параметры коннектора:
- Имя пользователя, под которым сторонняя система будет подключаться к программе через коннектор. Требуется указать имя одного из пользователей программы.
- Адрес узла, на котором будет работать коннектор (для системных типов коннекторов совпадает с адресом компьютера Сервера, если коннектор работает на узле Сервера).
- Пароль для доступа к сертификату коннектора. С использованием заданного пароля будет зашифрован сертификат в файле свертки коннектора.
- Имя коннектора.
- Тип коннектора.
- Описание коннектора.
- Вариант отправки сообщений программы через коннектор: Все или Не отправляются.
- Вариант отправки записей аудита через коннектор: Все или Не отправляются.
- Укажите дополнительные параметры в зависимости от типа коннектора.
Для системных типов коннекторов вы можете настроить следующие параметры:
- SIEM / Syslog:
- Адрес сервера.
- Порт сервера.
- Протокол передачи данных.
- Email:
- Адрес, указываемый в качестве отправителя сообщений электронной почты.
- Адреса получателей сообщений электронной почты.
- Темы сообщений электронной почты для событий, сообщений программы и записей аудита.
- Шаблоны текстовых описаний для событий, сообщений программы, записей аудита описаний сетевых взаимодействий и для всего письма с уведомлениями. Шаблоны составляются с использованием переменных.
- Тема и текст письма для сообщения электронной почты о достижении максимального количества отправленных уведомлений.
- Максимальное количество отправляемых сообщений электронной почты в сутки.
- Максимальное количество уведомлений в каждом сообщении. Определяет максимальное количество зарегистрированных уведомлений одного типа (событий, сообщений программы или записей аудита), которые можно поместить в одно сообщение электронной почты. Если зарегистрированных уведомлений больше, то формируется дополнительное сообщение электронной почты (в пределах суточного ограничения).
- SIEM / Syslog:
- Нажмите на кнопку Сохранить.
Новый коннектор появится в таблице коннекторов. Также в таблице типов событий появится новая графа с именем коннектора.
Одновременно Сервер сформирует файл свертки для нового коннектора, после чего браузер сохранит загруженный файл. В зависимости от параметров, заданных в браузере, на экране может появиться окно для изменения пути и имени сохраняемого файла.
Содержимое полученного файла свертки вам нужно загрузить в приложение, которое будет использовать коннектор.
- Создайте службу коннектора на Сервере с помощью скрипта registrar.py, который находится на компьютере Сервера в директории /opt/kaspersky/kics4net-connectors/sbin/. Запуск скрипта требуется выполнить с параметром
create(для запуска введите команду:sudo python3 registrar.py create). По запросам скрипта последовательно укажите данные о коннекторе: имя коннектора, путь к файлу свертки, пароль для доступа к сертификату коннектора.
Просмотр таблицы коннекторов
При просмотре таблицы коннекторов вы можете использовать следующие функции:
- Настройка отображения и порядка граф в таблице коннекторов
- Фильтрация по графам таблицы
Чтобы отфильтровать коннекторы по графе Имя или ID коннектора:
- В разделе Параметры → Коннекторы нажмите на значок фильтрации в нужной графе таблицы.
Откроется окно фильтрации.
- В полях Включая и Исключая введите значения, которые вы хотите включить в фильтрацию и/или исключить из фильтрации.
- Если вы хотите применить несколько условий фильтрации, объединенных логическим оператором ИЛИ, в окне фильтрации графы нажмите на кнопку Добавить условие и введите условие в открывшемся поле.
- Если вы хотите удалить одно из созданных условий фильтрации, в окне фильтрации графы нажмите на значок .
- Нажмите на кнопку OK.
Чтобы отфильтровать коннекторы по графе Включен, Состояние или Тип:
- В разделе Параметры → Коннекторы нажмите на значок фильтрации в нужной графе таблицы.
Для фильтрации по состояниям или по типам коннекторов вы также можете воспользоваться соответствующими кнопками в панели инструментов.
Откроется окно фильтрации.
- Установите флажки напротив значений, по которым вы хотите выполнить фильтрацию. Вы можете снять или удалить все флажки по ссылке, которая отображается в верхней части окна фильтрации.
- Нажмите на кнопку OK.
- В разделе Параметры → Коннекторы нажмите на значок фильтрации в нужной графе таблицы.
- Поиск коннекторов
- Сброс заданных параметров фильтрации и поиска
- Сортировка коннекторов
Включение и выключение коннекторов
Коннекторы могут быть включены или выключены. Если коннектор выключен, подключение через этот коннектор невозможно.
Чтобы включить или выключить коннекторы:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Коннекторы.
- В таблице коннекторов выберите коннекторы, которые вы хотите включить или выключить.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Включить или Выключить.
Откроется окно с запросом подтверждения.
- В окне запроса нажмите на кнопку OK.
Изменение параметров коннектора
Чтобы изменить параметры коннектора:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Коннекторы.
- В таблице коннекторов выберите нужный коннектор.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Изменить.
- Измените нужные значения для основных и дополнительных параметров коннектора.
- Нажмите на кнопку Сохранить.
Изменения отобразятся в соответствующих графах таблицы коннекторов. Если вы изменили имя коннектора, новое имя отобразится в заголовке графы в таблице типов событий.
При изменении некоторых параметров (например, адрес сервера для коннектора Syslog) Сервер сформирует новый файл свертки для коннектора. В зависимости от параметров, заданных в браузере, на экране может появиться окно для изменения пути и имени сохраняемого файла свертки.
Содержимое полученного файла свертки вам нужно загрузить в приложение, которое будет использовать коннектор. Иначе новое подключение через коннектор для этого приложения будет невозможно.
Создание нового файла свертки для коннектора
При добавлении коннектора автоматически создается файл свертки для этого коннектора. При необходимости вы можете создать для коннектора новый файл свертки (например, если конфигурационный пакет из предыдущего файла свертки был скомпрометирован).
После создания нового файла свертки конфигурационный пакет из старого файла свертки становится недействительным. Поэтому для следующего подключения сторонней системы через коннектор вам потребуется использовать новый файл свертки.
Чтобы создать новый файл свертки для коннектора:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Коннекторы.
- В таблице коннекторов выберите коннектор, для которого вы хотите создать новый файл свертки.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Получить новый файл свертки.
Откроется окно Генерация нового файла свертки.
- Укажите параметры для создания файла свертки:
- Имя пользователя, под которым сторонняя система будет подключаться к программе через коннектор. Требуется указать имя одного из пользователей программы.
Рекомендуется указать имя пользователя, которое было указано при добавлении коннектора. Если требуется указать имя другого пользователя, рекомендуется выбрать из учетных записей пользователей программы того пользователя, имя которого не указано для других коннекторов и не используется для подключения к Серверу через веб-интерфейс.
- Адрес узла, на котором будет работать коннектор.
- Пароль для доступа к сертификату коннектора. С использованием заданного пароля будет зашифрован сертификат в файле свертки коннектора.
- Имя пользователя, под которым сторонняя система будет подключаться к программе через коннектор. Требуется указать имя одного из пользователей программы.
- Нажмите на кнопку Создать файл свертки.
Сервер сформирует новый файл свертки для выбранного коннектора, после чего браузер сохранит загруженный файл. В зависимости от параметров, заданных в браузере, на экране может появиться окно для изменения пути и имени сохраняемого файла.
Содержимое полученного файла свертки вам нужно загрузить в приложение, которое будет использовать коннектор. Иначе новое подключение через коннектор для этого приложения будет невозможно.
В начало
Удаление коннекторов
Перед удалением коннекторов вам нужно остановить и удалить службы этих коннекторов на Сервере. Для этого используйте скрипт registrar.py, находящийся на компьютере Сервера в директории /opt/kaspersky/kics4net-connectors/sbin/. Запуск скрипта требуется выполнить с параметром delete (командой sudo python3 registrar.py delete). По запросам скрипта укажите имена коннекторов, которые вы хотите удалить.
Чтобы удалить коннекторы:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Коннекторы.
- В таблице коннекторов выберите коннекторы, которые вы хотите удалить.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Удалить.
Откроется окно с запросом подтверждения.
- В окне запроса нажмите на кнопку OK.
Настройка типов событий
В Kaspersky Industrial CyberSecurity for Networks вы можете настраивать типы регистрируемых событий. Типы событий задают параметры, используемые при регистрации событий: заголовки, описания, уровни важности и параметры регистрации. Настройка типов событий выполняется при подключении к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс в разделе Параметры → Типы событий.
Таблица типов событий содержит системные типы событий. Эти типы событий создаются программой при установке и не могут быть удалены из списка. Для реализованных в программе технологий регистрации событий используются различные наборы системных типов событий.
На основе некоторых системных типов событий могут быть настроены пользовательские параметры событий, которые будут использоваться при регистрации событий в определенных случаях. Пользовательские параметры могут быть заданы для следующих типов событий:
- тип события по технологии Контроль технологического процесса с кодом 4000002900 – для регистрации событий по правилам контроля процесса;
- тип события по технологии Внешние системы с кодом 4000005400 – для регистрации событий с использованием Kaspersky Industrial CyberSecurity for Networks API.
Пользовательские параметры имеют приоритет при регистрации событий. Параметры, заданные в системных типах событий, используются в том случае, если не заданы пользовательские параметры.
Для типов событий предусмотрены следующие параметры:
- Код – уникальный номер типа события. В таблице типов событий номер отображается вместе с заголовком события. В таблице зарегистрированных событий номер типа события отображается в графе Тип события.
- Важность – уровень важности для регистрируемого события.
- Технология – технология регистрации события.
- Заголовок – содержимое заголовка события, представленное текстом и/или переменными. В системных типах событий могут использоваться специфические переменные только для этих типов событий (например, переменная
$systemCommandShortв типе события по технологии Контроль системных команд) или общие переменные, которые также можно использовать и в пользовательских параметрах (например, переменная$top_level_protocolв типе события по технологии Контроль целостности сети). В таблице типов событий содержимое заголовка отображается после номера типа события. В таблице зарегистрированных событий текст заголовка и/или полученные значения переменных отображаются в графе Заголовок. - Описание – дополнительный текст, описывающий тип события. Аналогично заголовку, может содержать переменные. Этот параметр не отображается в таблице типов событий (вы можете просмотреть описание в области деталей выбранного типа события). В таблице зарегистрированных событий текст описания и/или полученные значения переменных отображаются в графе Описание.
- <Имя коннектора-получателя> – имя коннектора, через который программа передает события в стороннюю систему. Программа передает в сторонние системы события только тех типов, для которых включена передача событий через коннектор.
- Время разрешения повтора – максимальный период времени, по истечении которого разрешается повторная регистрация события. Если до истечения заданного периода времени повторяются условия для регистрации события, то новое событие не регистрируется, а увеличивается счетчик количества повторов ранее зарегистрированного события и обновляются дата и время последнего появления события. После окончания этого периода при повторении условий для регистрации события программа зарегистрирует новое событие такого типа. Период разрешения повтора отсчитывается от момента последней регистрации события такого типа. Например, если задано время 8 часов, то при обнаружении условий для регистрации этого события через два часа после предыдущего события, новое событие не будет зарегистрировано. Новое событие будет зарегистрировано при обнаружении условий для регистрации через 8 часов и более. Этот параметр не отображается в таблице типов событий (вы можете просмотреть и настроить этот параметр в области деталей выбранного типа события).
Для зарегистрированных событий время разрешения повтора может наступить раньше заданного периода. Повторная регистрация события разрешается раньше заданного периода, если событию присвоен статус Обработано, а также если был перезагружен компьютер, который выполняет функции Сервера.
- Сохранять трафик – параметр для включения/выключения автоматического сохранения трафика при регистрации события. Этот параметр не отображается в таблице типов событий (вы можете просмотреть и настроить этот параметр в области деталей выбранного типа события).
Если автоматическое сохранение трафика выключено, вы можете загружать трафик вручную в течение некоторого времени после регистрации события этого типа. При поступлении запроса на загрузку трафика программа выполняет поиск сетевых пакетов в файлах дампа трафика, временно создаваемых программой. Если в файлах дампа трафика найдены нужные сетевые пакеты, они загружаются (с предварительным сохранением в базе данных).
Просмотр таблицы типов событий
При просмотре таблицы типов событий вы можете использовать следующие функции:
- Настройка отображения и порядка граф в таблице типов событий
- Фильтрация по графам таблицы
- Поиск типов событий
- Сортировка типов событий
Выбор типов событий в таблице
В таблице типов событий вы можете выбирать типы событий для просмотра сведений и для настройки параметров. При выборе типов событий в правой части окна веб-интерфейса появляется область деталей.
Чтобы выбрать нужные типы событий в таблице, выполните одно из следующих действий:
- Если вы хотите выбрать один тип события, установите флажок напротив этого типа события или выберите его с помощью мыши.
- Если вы хотите выбрать несколько типов событий, установите флажки напротив нужных типов событий или выберите их, удерживая нажатой клавишу CTRL или SHIFT.
- Если вы хотите выбрать все типы событий, удовлетворяющие текущим параметрам фильтрации и поиска, выполните одно из следующих действий:
- выберите любой тип события в таблице и нажмите комбинацию клавиш CTRL+A;
- установите флажок в заголовке левой крайней графы таблицы.
При выборе нескольких типов событий в области деталей отображается общее количество выбранных типов событий.
В заголовке левой крайней графы таблицы отображается флажок выбора типов событий. В зависимости от количества выбранных типов событий флажок может быть в одном из следующих состояний:
- – в таблице не выполнялся выбор всех типов событий, удовлетворяющих текущим параметрам фильтрации и поиска. При этом в таблице может быть выбран один тип события или несколько типов событий с помощью флажков напротив типов событий или с использованием клавиш CTRL или SHIFT.
- – в таблице выбраны все типы событий, удовлетворяющие текущим параметрам фильтрации и поиска.
- – в таблице были выбраны все типы событий, удовлетворяющие текущим параметрам фильтрации и поиска, и после этого для некоторых типов событий были сняты флажки.
Изменение параметров системного типа события
Чтобы изменить параметры системного типа события:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Типы событий.
- В таблице типов событий выберите тип события, который вы хотите изменить. Если тип события предусматривает регистрацию событий с несколькими уровнями важности, выберите в таблице строку типа события с нужным уровнем важности.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Изменить.
- Настройте изменяемые параметры: время разрешения повтора события и параметры сохранения трафика.
- Нажмите на кнопку Сохранить.
Настройка автоматического сохранения трафика для системных типов событий
При изменении типов событий вы можете включать и выключать автоматическое сохранение трафика для событий при их регистрации. Если сохранение трафика включено, в базе данных сохраняется сетевой пакет, вызвавший регистрацию события, а также пакеты до и после регистрации события. Параметры сохранения трафика определяют количество сохраняемых сетевых пакетов и ограничения по времени.
Если автоматическое сохранение трафика выключено для типа события (и для этого типа события не заданы пользовательские параметры, включающие автоматическое сохранение трафика), возможность загрузки трафика будет доступна только в течение некоторого времени после регистрации события этого типа. В этом случае для загрузки трафика программа использует файлы дампа трафика (эти файлы хранятся временно и автоматически удаляются по мере поступления трафика). При загрузке трафика из этих файлов в базе данных сохраняются сетевые пакеты в том объеме, который задан по умолчанию при включении сохранения трафика для типов событий.
Программа сохраняет трафик в базе данных только при регистрации события. Если в течение времени разрешения повтора события повторяются условия для регистрации этого события, трафик на этот момент времени не сохраняется в базе данных.
Вы можете включить и настроить сохранение трафика для любых типов событий, кроме системного типа события, которому присвоен код 4000002700. Событие с кодом 4000002700 регистрируется при отсутствии трафика на точке мониторинга, поэтому для этого типа события наличие трафика не предполагается.
Если включено сохранение трафика для инцидентов (то есть для системного типа события, которому присвоен код 8000000001), то при регистрации инцидента программа сохраняет трафик для всех вложенных событий инцидента. Для сохранения трафика вложенных событий применяются параметры, заданные для инцидента. При этом параметры сохранения трафика, заданные непосредственно для типов событий, вложенных в инцидент, имеют приоритет перед параметрами, заданными для инцидента. То есть трафик для вложенных событий инцидента будет сохранен в соответствии с параметрами, заданными для типов этих событий, а при отсутствии таких параметров – в соответствии с параметрами, заданными для инцидента.
Чтобы включить и настроить параметры сохранения трафика для типа события:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Типы событий.
- В таблице типов событий выберите тип события, который вы хотите изменить. Если тип события предусматривает регистрацию событий с несколькими уровнями важности, выберите в таблице строку типа события с нужным уровнем важности.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Изменить.
- Установите переключатель Сохранять трафик в положение Включено.
- Настройте сохранение трафика до момента регистрации события. Для этого укажите нужные значения в полях Пакетов до события и/или Миллисекунд до события. При нулевом значении параметр не применяется. Если значения заданы в обоих этих полях, программа будет сохранять минимальное количество пакетов, которое соответствует одному из заданных значений.
- Настройте сохранение трафика после момента регистрации события. Для этого укажите нужные значения в полях Пакетов после события и/или Миллисекунд после события. При нулевом значении параметр не применяется. Если значения заданы в обоих этих полях, программа будет сохранять минимальное количество пакетов, которое соответствует одному из заданных значений.
Для некоторых технологий (в частности, Контроль технологического процесса) в событиях может сохраняться меньше пакетов после момента регистрации, чем задано параметрами сохранения трафика. Это связано с технологическими особенностями отслеживания трафика.
- Нажмите на кнопку Сохранить.
Настройка передачи событий через коннекторы
При настройке системных типов событий вы можете указать коннекторы, через которые Kaspersky Industrial CyberSecurity for Networks будет передавать зарегистрированные события в сторонние системы (например, в Kaspersky Security Center). Kaspersky Industrial CyberSecurity for Networks может передавать информацию о событиях одновременно через несколько коннекторов.
Чтобы настроить передачу событий через коннекторы в сторонние системы:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Типы событий.
- Убедитесь, что в таблице типов событий отображаются графы с нужными коннекторами.
Если графа с нужным коннектором отсутствует, проверьте настройку отображения граф. Если коннектор не был добавлен в список коннекторов, добавьте его.
- В таблице типов событий выберите типы событий, для которых вы хотите включить или выключить передачу через коннекторы.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Выбрать коннекторы.
Откроется окно Коннекторы-получатели событий.
- Установите флажки напротив тех коннекторов, через которые вы хотите передавать события в сторонние системы.
- Нажмите на кнопку OK.
Общие переменные для подстановки значений в Kaspersky Industrial CyberSecurity for Networks
Для подстановки текущих значений в Kaspersky Industrial CyberSecurity for Networks могут использоваться общие переменные. Вы можете использовать общие переменные в следующих параметрах:
- заголовки и описания событий в пользовательских параметрах для регистрации событий (например, в правилах контроля процесса);
- параметры передачи событий, сообщений программы или записей аудита через коннектор для электронной почты.
Чтобы вставить общую переменную в поле ввода,
начните вводить имя переменной с символа $ и выберите подходящую общую переменную в появившемся списке.
В зависимости от своего назначения, общие переменные могут использоваться для подстановки значений в различных параметрах (см. таблицу ниже).
Общие переменные для подстановки значений
Переменная |
Назначение |
Где используется |
|
Строки описания сетевых взаимодействий (по одной строке на каждое сетевое взаимодействие) с указанием протокола и адресов отправителя и получателя сетевого пакета |
|
|
Адрес получателя сетевого пакета (в зависимости от доступных в протоколе данных это могут быть IP-адрес, номер порта, MAC-адрес и/или другие адресные данные) |
|
|
Дополнительная переменная, добавленная с помощью функции |
|
|
Заданное максимальное значение в правиле контроля процесса |
|
|
Заданное минимальное значение в правиле контроля процесса |
|
|
Имя точки мониторинга, трафик с которой вызвал регистрацию события |
|
|
Дата и время регистрации |
|
|
Название протокола прикладного уровня, при отслеживании которого зарегистрировано событие |
|
|
Адрес отправителя сетевого пакета (в зависимости от доступных в протоколе данных это могут быть IP-адрес, номер порта, MAC-адрес и/или другие адресные данные) |
|
|
Список всех имен и значений тегов, указанных в правиле контроля процесса |
|
|
Имя правила в событии |
|
|
Название протокола верхнего уровня |
|
|
Код типа события, сообщения программы или записи аудита |
|
|
Список значений правила контроля процесса (разрешенных или запрещенных) |
|
|
Дата и время присвоения статуса Обработано или дата и время разрешения повтора события (для событий, не являющихся инцидентами), либо дата и время регистрации последнего события, включенного в инцидент (для инцидентов) |
|
|
Количество срабатываний события или инцидента |
|
|
Описание |
|
|
Уникальный идентификатор зарегистрированного события, сообщения программы или записи аудита |
|
|
Категория переданных данных (событие, сообщение программы или запись аудита) |
|
|
Количество передаваемых событий, сообщений программы или записей аудита |
|
|
Шаблон, представляющий собой блок со списком данных |
|
|
Узел с установленным компонентом программы, от которого поступили данные |
|
|
Результат действия в записи аудита |
|
|
Уровень важности события |
|
|
Статус сообщения программы |
|
|
Процесс программы, который вызвал регистрацию сообщения |
|
|
Технология, к которой относится событие |
|
|
Заголовок события, текст сообщения или зарегистрированное действие |
|
|
Имя пользователя, который совершил зарегистрированное действие |
|
Управление политикой безопасности
Политика безопасности – это набор данных, которые определяют следующие параметры работы программы:
- пользовательские наборы правил обнаружения вторжений;
- разрешающие правила для контроля взаимодействий и для событий;
- параметры устройств и тегов, используемые при контроле активов и контроле процесса;
- параметры отображения карты сети;
- параметры подсетей;
- параметры типов событий.
Остальные параметры работы программы не входят в политику безопасности и применяются отдельно от нее. К таким параметрам относятся параметры узлов с установленными компонентами, список пользователей программы, объекты, связывающие события и устройства в таблице устройств, и другие параметры.
Политика безопасности хранится на Сервере и автоматически обновляется при каждом изменении параметров работы программы (например, при добавлении правил контроля взаимодействий).
Вы можете экспортировать политику безопасности в файлы и импортировать из файлов. Также вы можете очистить текущую политику безопасности на Сервере, чтобы удалить все ранее сохраненные параметры.
При экспорте, импорте или очистке политики безопасности вы можете выбирать нужные разделы политики, с которыми требуется выполнить операцию. Например, вы можете экспортировать только устройства и разрешающие правила.
В результате экспорта политики безопасности программа создает файл, содержащий информацию о выбранных параметрах работы программы. Для импорта параметров вы можете выбрать ранее экспортированный файл.
Изменение содержимого файла политики безопасности может привести к нарушению работы Kaspersky Industrial CyberSecurity for Networks при импорте политики безопасности из этого файла. Программа может перестать выполнять функции по защите промышленной сети.
Экспорт политики безопасности в файл
Вы можете экспортировать в файл параметры, входящие в политику безопасности. Экспорт можно выполнить для всей политики безопасности или для ее отдельных разделов.
В дальнейшем при необходимости вы можете импортировать нужные параметры работы программы из файла с сохраненной политикой безопасности.
Чтобы экспортировать текущую политику безопасности:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс.
- Выберите раздел Параметры → Политика безопасности.
- Нажмите на кнопку Экспорт.
Появится дерево разделов политики безопасности, в котором вы можете выбрать нужные разделы для экспорта.
- Установите флажки для нужных разделов политики безопасности.
- Нажмите на кнопку Экспортировать.
- Если формирование файла занимает длительное время (более 15 секунд), операция по формированию файла переводится в список фоновых операций. В этом случае для загрузки файла выполните следующие действия:
- Нажмите на кнопку в меню веб-интерфейса программы.
Откроется список фоновых операций.
- Дождитесь завершения операции формирования файла.
- Нажмите на кнопку Загрузить файл.
- Нажмите на кнопку
Браузер сохранит загруженный файл. В зависимости от параметров, заданных в браузере, на экране может появиться окно для изменения пути и имени сохраняемого файла.
В начало
Импорт политики безопасности из файла
Вы можете импортировать параметры работы программы из файла с сохраненной политикой безопасности. Для импорта можно использовать файл, полученный при экспорте политики безопасности.
При импорте разделов политики безопасности программа предварительно очищает текущее содержимое этих разделов и затем импортирует данные в эти разделы.
Если файл содержит несколько разделов политики безопасности, вы можете выбрать нужные разделы для импорта.
Импорт политики безопасности невозможен, если в текущий момент выполняется установка обновлений или запущен другой процесс импорта.
Импортировать политику безопасности из файла могут только пользователи с ролью Администратор.
Чтобы импортировать политику безопасности из файла:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Политика безопасности.
- Нажмите на кнопку Импорт.
Откроется стандартное окно используемого браузера для выбора файла.
- Укажите путь к файлу политики безопасности.
- Нажмите на кнопку открытия файла.
После проверки содержимого файла появится дерево разделов политики безопасности, доступных для импорта.
- Установите флажки для тех разделов политики безопасности, которые вы хотите импортировать в программу.
- Нажмите на кнопку Импортировать.
Начнется процесс импорта политики безопасности. До окончания импорта Сервер программы недоступен для подключений. Во время импорта на странице веб-интерфейса программы отображается специальный раздел Обслуживание программы.
В начало
Очистка текущей политики безопасности
Вы можете очистить текущие параметры, входящие в политику безопасности. Очистку можно выполнить для всей политики безопасности или для ее отдельных разделов.
После очистки политики безопасности некоторые данные будет невозможно восстановить, даже если предварительно был выполнен экспорт политики безопасности. Например, после очистки раздела, содержащего сведения об устройствах, безвозвратно удаляются все объекты, связывающие события и устройства в таблице устройств.
Очистка политики безопасности невозможна, если в текущий момент выполняется установка обновлений или запущен процесс импорта данных.
Очистить политику безопасности могут только пользователи с ролью Администратор.
Чтобы очистить политику безопасности:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Политика безопасности.
- Нажмите на кнопку Очистка.
Появится дерево разделов политики безопасности, в котором вы можете выбрать нужные разделы для очистки.
- Установите флажки напротив разделов политики безопасности, которые вы хотите очистить.
- Нажмите на кнопку Очистить.
Начнется процесс очистки политики безопасности. До окончания очистки Сервер программы недоступен для подключений. Во время очистки на странице веб-интерфейса программы отображается специальный раздел Обслуживание программы.
В начало
Преобразование политики безопасности предыдущей версии программы
Для преобразования и загрузки политики безопасности, которая используется в предыдущей версии Kaspersky Industrial CyberSecurity for Networks, вы можете выполнить обновление предыдущей версии программы.
Если вы хотите импортировать в текущую версию программы файл, в котором сохранена политика безопасности от предыдущей версии программы, вам нужно преобразовать этот файл с помощью скрипта для преобразования политик policy_updater.py. Этот скрипт находится на компьютере Сервера в директории /opt/kaspersky/kics4net/sbin/.
Скрипт policy_updater.py предназначен для преобразования политик безопасности, экспортированных в Kaspersky Industrial CyberSecurity for Networks версии 3.0.
Чтобы преобразовать файл с политикой безопасности, созданный в предыдущей версии программы, выполните следующие действия:
- Откройте консоль операционной системы на компьютере Сервера и перейдите в директорию /opt/kaspersky/kics4net/sbin/.
- В командной строке введите команду:
python3 ./policy_updater.py -i <путь к файлу исходной политики> -o <путь к файлу преобразованной политики>Пример:
python3 ./policy_updater.py -i /home/user1/policy_2021-09-01_12-00 -o /home/user1/policy_for_3_1После завершения работы утилиты config_converter проверьте наличие файла с преобразованной политикой безопасности в заданной директории.
Полученный файл вы можете импортировать в программу текущей версии.
В начало
Использование Kaspersky Industrial CyberSecurity for Networks API
В Kaspersky Industrial CyberSecurity for Networks реализован интерфейс прикладного программирования (Application Programming Interface, далее API), который обеспечивает доступ к функциям программы для сторонних приложений.
В комплект поставки Kaspersky Industrial CyberSecurity for Networks входит пакет с описаниями спецификаций для представления данных в запросах к серверу REST API. Сервер REST API функционирует на компьютере Сервера Kaspersky Industrial CyberSecurity for Networks и обрабатывает запросы с использованием архитектурного стиля взаимодействия REST (Representational State Transfer). Обращения к серверу REST API выполняются по протоколу HTTPS. Вы можете настроить параметры сервера REST API в разделе Параметры → Серверы подключений (в том числе заменить используемый по умолчанию самоподписанный сертификат на доверенный).
Для представления данных в запросах и ответах используется формат JSON.
Документация с описанием запросов на основе архитектурного стиля REST публикуется в виде онлайн-справки на странице Kaspersky Online Help. Документация представляет собой руководство разработчика на английском языке. В руководстве разработчика также представлены примеры кода и подробные описания вызываемых элементов, которые доступны в запросах к серверу REST API.
ОТКРЫТЬ ДОКУМЕНТАЦИЮ С ОПИСАНИЕМ ЗАПРОСОВ К СЕРВЕРУ REST API
С помощью Kaspersky Industrial CyberSecurity for Networks API сторонние приложения могут выполнять следующие действия:
- получать данные об известных программе устройствах;
- добавлять, изменять и удалять устройства;
- получать данные о зарегистрированных событиях;
- отправлять события в Kaspersky Industrial CyberSecurity for Networks (для регистрации используется системный тип события с кодом 4000005400);
- получать данные о списке тегов и о параметрах тегов;
- подписываться на уведомления о полученных значениях тегов;
- получать данные об обнаруженных уязвимостях;
- получать сообщения программы и записи аудита;
- получать данные о разрешающих правилах;
- включать, выключать и удалять разрешающие правила;
- получать следующие данные о программе:
- список точек мониторинга и их параметры;
- список поддерживаемых стеков протоколов и их параметры;
- список типов событий и их параметры;
- текущее состояние и режимы работы технологий;
- версия программы и даты выпуска установленных обновлений;
- информация о добавленном лицензионном ключе;
- язык локализации программы.
Сторонние приложения, использующие Kaspersky Industrial CyberSecurity for Networks API, подключаются к Серверу программы через коннекторы. Коннекторы обеспечивают безопасное соединение с использованием сертификатов. Для каждого стороннего приложения, из которого вы хотите отправлять запросы на сервер REST API, вам нужно создать отдельный коннектор в Kaspersky Industrial CyberSecurity for Networks.
Для соединения с Kaspersky Industrial CyberSecurity for Networks стороннее приложение должно использовать токен аутентификации. Программа выдает токен аутентификации по запросу стороннего приложения и использует для токена сертификаты коннектора, который был создан для этого стороннего приложения. Время действия токена аутентификации составляет 10 часов. Стороннее приложение может обновить токен аутентификации по специальному запросу.
Документация с описанием запросов для выполнения действий с токеном аутентификации публикуется в виде онлайн-справки на странице Kaspersky Online Help. Документация представляет собой руководство разработчика на английском языке.
ОТКРЫТЬ ДОКУМЕНТАЦИЮ С ОПИСАНИЕМ ЗАПРОСОВ ДЛЯ ДЕЙСТВИЙ С ТОКЕНОМ АУТЕНТИФИКАЦИИ
В Kaspersky Industrial CyberSecurity for Networks API предусмотрены следующие способы работы со сторонними приложениями:
- взаимодействие на основе архитектурного стиля REST;
- взаимодействие по протоколу WebSocket.
Сторонние приложения могут использовать способ взаимодействия по протоколу WebSocket в Kaspersky Industrial CyberSecurity for Networks API для создания подписок на изменяемые значения, которые получает программа. Например, этот способ взаимодействия позволяет подписываться на уведомления о полученных значениях определенного тега.
Обеспечение безопасного взаимодействия при использовании Kaspersky Industrial CyberSecurity for Networks API
Сторонние приложения получают доступ к функциям программы с использованием Kaspersky Industrial CyberSecurity for Networks API, устанавливая зашифрованные соединения по протоколу HTTPS. Для обеспечения безопасности соединений используются сертификаты, выданные Сервером Kaspersky Industrial CyberSecurity for Networks. Сервер выдает сертификаты для коннекторов, через которые подключаются сторонние приложения.
Для каждого стороннего приложения в программе должен быть создан отдельный коннектор. Подключение через коннектор возможно с использованием только того сертификата, который был выдан Сервером и сохранен в файле свертки для этого коннектора. Подключение невозможно установить, если стороннее приложение предъявляет сертификат от другого коннектора, другого Сервера Kaspersky Industrial CyberSecurity for Networks, или сертификат, используемый для других подключений (например, сертификат сенсора).
После установки зашифрованного соединения стороннее приложение должно запросить токен аутентификации для коннектора, который будет указываться сторонним приложением в запросах к серверу REST API. Для выдачи токена аутентификации Сервер проверяет текущее состояние учетной записи пользователя программы, которая была указана при создании коннектора. Сервер не выдает токен аутентификации, если учетная запись пользователя программы удалена или заблокирована.
Токен аутентификации действителен в течение 10 часов после выдачи Сервером. При необходимости дальнейшего использования токена стороннее приложение должно запросить продление времени его действия до наступления момента прекращения действия.
Сведения о предусмотренных запросах и методах в Kaspersky Industrial CyberSecurity for Networks API см. в документации для Kaspersky Industrial CyberSecurity for Networks API.
В течение времени действия токена аутентификации при поступлении запросов от стороннего приложения Сервер проверяет наличие и текущие права доступа учетной записи пользователя программы, которая была указана при создании коннектора. Метод, указанный в запросе от стороннего приложения, не выполняется, если учетная запись не найдена (удалена из программы) или недостаточно прав для выполнения операции (роль учетной записи не соответствует выполняемой операции).
При обработке запросов от сторонних приложений программа сохраняет в журнале аудита сведения о попытках выполнения следующих операций:
- получение токена аутентификации;
- продление времени действия для токена аутентификации;
- добавление устройства в таблицу устройств;
- изменение сведений об устройстве;
- удаление устройства;
- запрос журнала аудита (при первом чтении записей аудита через коннектор после загрузки веб-сервера).
Создание и использование коннекторов для Kaspersky Industrial CyberSecurity for Networks API
Для взаимодействия стороннего приложения с программой с использованием Kaspersky Industrial CyberSecurity for Networks API вам нужно добавить коннектор для этого приложения. При создании коннектора для него требуется указать системный тип Generic.
При добавлении коннектора, а также при создании нового файла свертки для этого коннектора Сервер формирует файл свертки, который вам нужно использовать для работы коннектора.
Файл свертки представляет собой архив, содержащий следующие файлы:
- certificates.pfx – содержит в зашифрованном виде открытый ключ сертификата Сервера, а также сертификат, выданный Сервером для коннектора (с закрытым ключом). Содержимое файла зашифровано с использованием пароля, который был указан при добавлении коннектора или при создании нового файла свертки для этого коннектора.
- metadata.json – содержит конфигурационные данные для коннектора. Данные представлены в формате JSON.
Перечисленные файлы вам нужно использовать для подключения стороннего приложения через коннектор. Для расшифрования файла certificates.pfx и применения содержащегося в нем сертификата с ключами вы можете использовать стандартные методы обработки файлов этого формата (например, команды openssl). Адреса, указанные в файле metadata.json, требуются для работы коннектора и отправки запросов к серверу REST API.
Сертификат и конфигурационные данные в файле свертке действительны до тех пор, пока не создан новый файл свертки или пока не удален коннектор в программе.
В начало
Подписка на уведомления о значениях тега по протоколу WebSocket
При использовании Kaspersky Industrial CyberSecurity for Networks API стороннее приложение может создавать подписку на уведомления об изменении значений определенного тега. Для создания подписки и получения уведомлений используется протокол WebSocket.
Сценарий подписки для стороннего приложения состоит из следующих этапов:
- Стороннее приложение устанавливает соединение с Сервером Kaspersky Industrial CyberSecurity for Networks через коннектор для этого приложения с использованием сервера REST API.
После успешного соединения с Сервером коннектору отправляется токен аутентификации. Коннектор использует токен аутентификации для всех последующих взаимодействий с Сервером в этом сеансе (в частности для запроса своей конфигурации с Сервера).
- Стороннее приложение подключается с использованием WebSocket и отправляет запрос для создания подписки на уведомления о получении значений нужного тега.
Сервер Kaspersky Industrial CyberSecurity for Networks принимает запрос и создает подписку. Для отправки запроса используются соответствующие функции, предусмотренные протоколом WebSocket.
- Kaspersky Industrial CyberSecurity for Networks обнаруживает в трафике новое значение при чтении или записи тега.
- Kaspersky Industrial CyberSecurity for Networks отправляет полученное значение тега стороннему приложению, для которого действует подписка на уведомления о получении значений этого тега.
Основные особенности реализации подписки:
- После того, как стороннее приложение указывает нужные теги Kaspersky Industrial CyberSecurity for Networks, Сервер отправляет подтверждение о возможности получать значения этих тегов. Далее стороннее приложение ожидает поступление значений этих тегов по установленному соединению.
- Для создания и сопровождения подписки используется протокол WebSocket и соединение по тому же адресу, который используется сервером REST API.
- Сервер Kaspersky Industrial CyberSecurity for Networks поддерживает не более одной активной подписки на значения тегов. Если активная подписка уже создана и используется, при попытке создания еще одной подписки возвращается ошибка о слишком большом количестве подключений.
- Стороннее приложение имеет возможность в любой момент закрыть установленное соединение по подписке для прекращения получения значений тега.
- Подписка прекращается либо после ее закрытия сторонним приложением, либо при разрыве соединения. Если Сервер Kaspersky Industrial CyberSecurity for Networks был временно недоступен (разорвано соединение) и отправка значений по подписке не выполнялась, то после восстановления соединения стороннему приложению потребуется заново подписаться на получение значений тегов.
Подключение с использованием WebSocket
Для получения тегов по подписке могут использоваться как стандартные функции WebSocket, так и библиотека SignalR Core. Пакеты для работы с библиотекой SignalR Core доступны для наиболее распространенных языков программирования: С++, С#, Java, Python, Go, JavaScript/TypeScript.
Для подключения с использованием WebSocket вам нужно указывать следующий адрес:<адрес publicApi из файла свертки>/kics4net/api/ /v3/tag-values
При этом указываемый протокол в строке адреса зависит от используемой функциональности для подключения.
Если используется библиотека SignalR Core, строка адреса начинается с https://. Например:https://kics-server:8080/kics4net/api/ /v3/tag-values
Если используются стандартные функции WebSocket, в строке адреса нужно заменить https на wss. Например: wss://kics-server:8080/kics4net/api/v3/tag-values
Если при подключении не предоставлен токен аутентификации (или предоставленный токен не прошел проверку), в ответ на открытие подключения сервер возвращает код 401.
Создание подписки на значения тегов
Для создания подписки требуется выполнить запрос с именем метода GetTagValuesStream.
Пример аргумента запроса: {
"tagIdentifiers": [
{ "tagName": "Asdu_1_object_1001", "assetName": "Asset 079" },
{ "tagName": "Asdu_1_object_1003", "assetName": "Asset 079" }
],
"streamConfig": {
"samplingRateHz": 1
}
}
|
Аргумент запроса состоит из следующих полей:
tagIdentifiers– массив идентификаторов тегов, значения которых нужно получать по подписке.assetName,tagName– значения, представляющие имя устройства и имя тега (используются для идентификации тега, на значения которого нужно создать подписку).samplingRateHz– частота сэмплирования значений тегов (используется для уменьшения объема передаваемых данных). Если для поля задано нулевое значение, сэмплирование не выполняется.
Если аргумент создания подписки не удовлетворяет требованиям к полям, возвращается ошибка с описанием проблемы.
Пример ошибки для аргумента создания подписки:
|
Подтверждение подписки
При подтверждении подписки сервер возвращает по одному результату подтверждения для каждого тега, подходящего под значения tagIdentifiers в запросе.
Пример подтверждения подписки: {
"confirmation": {
"result": "ok",
"tagIdentifier": { "tagName": "Asdu_1_object_1001", "assetName": "Asset 079" },
"tagId": 102
}
}
|
Ответ с подтверждением подписки состоит из следующих полей:
result– статус подписки на значение тега. Может принимать значения:ok– подписка успешно создана;notFound– тег с указаннымиassetName,tagNameне найден.
tagIdentifier– идентификатор тега, аналогичный одному значению из массиваtagIdentifiersаргументов запроса на создание подписки.tagId– уникальный идентификатор тега в программе. Может быть использован для получения информации о теге через Kaspersky Industrial CyberSecurity for Networks API, а также для идентификации тега в ответе с его значениями.
Значения тегов по подписке
Программа отправляет значения тегов по подписке в структуре полей. На верхнем уровне в структуре представлены следующие поля:
Информация о новом значении тега отправляется в стороннее приложение в формате JSON. Отправляемый объект с данными содержит следующие поля:
n– тип данных тега, представленный именем изTagStructure.ts– время регистрации последнего обновления значений тега. Указывается в микросекундах от 01.01.1970.dn– направление передачи. Может принимать значения:r,w,rw.mp– идентификатор точки мониторинга.d– содержимое полей тега.
Атрибут d представляет словарь, в котором каждый ключ является именем поля тега нулевой иерархии. Значение каждого поля имеет следующие атрибуты:
t– обязательный атрибут, указывающий один из следующих типов данных:u– UINT64.i– INT64.b– BOOL.d– DOUBLE.s– строка UTF8.t– время в микросекундах от 01.01.1970.e– ENUM. Дополнительно поле содержит следующие атрибуты:n– имя типа ENUM;- v – исходное значение ENUM;
- s – строковое значение ENUM.
st– структура.un– UNION.
v– обязательный атрибут, указывающий значение поля тега.n– имя типа ENUM изTagStructure(только для типаe– ENUM).s– строковое значение ENUM (только для типаe– ENUM).Пример:
- enum:name: OpType #Имя типа ENUM (атрибут 'n')data:0: NUL #0 запишется в атрибут 'v', NUL запишется в 's'1: PULSE_ON2: PULSE_OFFx– идентифицирует основное значение тега.Формат:
"x": 1Для всех остальных полей тега атрибут
xотсутствует.- m – специальный маркер параметра тега. Соответствует атрибуту marker со следующими полями:
q– значение атрибута качества.ts– статус метки времени, отображающий её правильность, временное состояние или причину ошибки при проверке.ds– статус данных.o– источник, от которого пришло значение или команда.t– время последнего обновления значений тега, взятое из трафика.ct– причина передачи.
Формат:
"m": "q"Пример отправляемого значения тега в формате JSON:
{ "n": "TagStructure1", "ts": 18446744073709551616, "dn": "r", "mp": 1, "d": { "value": { "t": "d", "v": 3.1415, "x": 1 }, "quality": { "t": "s", "v": "good", "m": "q" }, "mask": { "t": "u", "v": 18446744073709551616 }, "enumfield": { "t": "e", "n": "SwitchState", "v": 0, "s": "Off" }, "strucfield": { "t": "st", "v": { "v1": { "t": "d", "v": 3.1415 }, "q2": { "t": "s", "v": "good", "m": "q" } } }, "unionfield": { "t": "un", "v": { "_": { "t": "u", "v": 42 }, "low4bits": { "t": "u", "v": 10 }, "high4bits": { "t": "u", "v": 2 } } } } }
Примеры получения значений тегов по подписке
Ниже представлен пример получения значений тегов по подписке с использованием стандартных функций WebSocket на языке Python.
Предварительно требуется выполнить команду:pip install websocket_client
Пример подписки с использованием стандартных функций WebSocket: import json, ssl, websocket
def on_message(ws, message):
print(message)
def on_error(ws, error):
print(f' error: {error}')
def on_close(ws):
print("### closed ###")
def on_open(ws):
print("connection opened and handshake received ready to send messages")
# all sent messages must end with this character
message_separator = chr(30)
protocol_selection_args = {
'protocol': 'json',
'version': 1
}
ws.send(json.dumps(protocol_selection_args) + message_separator)
args = {
'arguments': [
{
'tagIdentifiers': [
{
'tagName': 'tag_01',
'assetName': 'asset_02'
}
],
'streamConfig': {
'samplingRateHz': 5
}
}
],
'invocationId': '0',
'target': 'getTagValuesStream',
'type': 4
}
ws.send(json.dumps(args) + message_separator)
def login():
token = "you should get access token for API here"
return token
if __name__ == "__main__":
server_url = "wss://localhost:8091/kics4net/api/tag-values"
auth = "Authorization: Bearer " + login()
ws = websocket.WebSocketApp(server_url,
on_message=on_message,
on_error=on_error,
on_close=on_close,
header=[auth])
print(f'opening connection to {server_url}')
ws.on_open = on_open
ws.run_forever(
sslopt={"cert_reqs": ssl.CERT_NONE}
)
|
Ниже представлен пример получения значений тегов по подписке с использованием библиотеки SignalR Core на языке Python.
Предварительно требуется выполнить команду:pip install signalrcore
Пример подписки с использованием библиотеки SignalR Core: import logging
from signalrcore.hub_connection_builder import HubConnectionBuilder
TOKEN = 'you should get access token for API here’
IP = '192.168.0.7'
PORT = '8080'
HUB = 'kics4net/api/v3/tag-values'
class WebsocketConnection(HubConnectionBuilder):
def __init__(self, url: str = None, options: dict = None, verify_ssl: bool = False):
super().__init__()
self.with_url(url, options=options)
self.configure_logging(logging.WARNING)
self.with_automatic_reconnect({
"type": "raw",
"keep_alive_interval": 10,
"reconnect_interval": 5,
"max_attempts": 5
})
self.verify_ssl = verify_ssl
def on_tag_stream_value(self, m):
result.append(m)
print(f'on_new_tag_value, {m}')
def on_tag_strean_error(self, e):
print(f'onError, {e}')
def on_tag_stream_complete(self, q):
print(f'onComplete, {q}')
def subscribe_tags(self):
print("connection opened and handshake received ready to send messages")
args = {
'tagIdentifiers': [
{
'tagName': 'tag_01',
'assetName': 'asset_02'}
],
'streamConfig': {
'samplingRateHz': 5
}
}
self.stream("GetTagValuesStream", [args]) \
.subscribe({
"next": self.on_tag_stream_value,
"complete": self.on_tag_stream_complete,
"error": self.on_tag_strean_error
})
def main():
server_url = "https://{}:{}/{}".format(IP, PORT, HUB)
login = 'bearer {}'.format(TOKEN)
conn = WebsocketConnection(url=server_url, options={"headers": {"authorization": login}})
conn.build()
logging.info(f'opening connection to {server_url}')
conn.on_open(conn.subscribe_tags)
conn.start()
logging.info('closing connection')
conn.stop()
if __name__ == '__main__':
main()
|
Решение типовых задач
Этот раздел содержит описание типовых пользовательских задач и инструкции по их выполнению.
Мониторинг системы в онлайн-режиме
Kaspersky Industrial CyberSecurity for Networks отображает данные для мониторинга текущего состояния системы в разделе Мониторинг веб-интерфейса программы. Обновление данных происходит автоматически в онлайн-режиме.
Данные в разделе Мониторинг представлены в виде отдельных блоков, называемых виджетами. В зависимости от назначения, виджет может содержать обновляемое значение, сообщение о текущем состоянии программы или предоставлять развернутую информацию об актуальных данных.
В разделе Мониторинг могут отображаться следующие виджеты:
- Виджеты с информацией о программе и аппаратных ресурсах Сервера и сенсоров:
- Трафик – скорость поступления входящего трафика. Виджет может отображать данные по всем точкам мониторинга всех узлов с установленными компонентами программы, по точкам мониторинга выбранного узла или только по одной точке мониторинга.
- Процессор – загруженность процессора на выбранном узле с установленным компонентом программы.
- Оперативная память – объем потребления физической оперативной памяти на выбранном узле с установленным компонентом программы.
- Работоспособность – информация о текущем состоянии работоспособности программы. Виджет может отображать следующие значения:
- ОК – нет сообщений о нарушении работоспособности или все проблемы работоспособности устранены.
- Некритический сбой – есть сообщения о некритических сбоях (отображается до момента устранения проблемы работоспособности).
- Нарушена работа – есть сообщения о нарушении работы программы (отображается до момента устранения проблемы работоспособности).
- Режим обслуживания – программа находится в режиме обслуживания.
- Теги – скорость обработки тегов, обнаруженных программой. Виджет может отображать данные по всем точкам мониторинга всех узлов с установленными компонентами программы, по точкам мониторинга выбранного узла или только по одной точке мониторинга.
- Хранилище – данные о диске, который находится в локальной файловой системе на выбранном узле с установленным компонентом программы. В этом виджете вы можете выбрать следующие данные для отображения:
- Использование диска – процентное значение времени на обработку операций чтения и записи данных.
- Занято на диске – объем занятого дискового пространства.
- Чтение с диска – скорость чтения данных с диска.
- Запись на диск – скорость записи данных на диск.
- Задержка обработки трафика – текущее время задержки при обработке трафика с момента его поступления на точку мониторинга узла (выводится максимальное время задержки, полученное со всех включенных точек мониторинга). Виджет может отображать данные по всем точкам мониторинга всех узлов с установленными компонентами программы или по точкам мониторинга выбранного узла.
- Состояние функций – общая информация о текущем состоянии функций защиты в составе программы. Виджет может отображать следующие значения:
- Включены все – работают все технологии и методы, предназначенные для постоянного использования, а также включены все созданные точки мониторинга.
- Не все включены – некоторые функции защиты выключены или включены в режиме обучения, либо включены не все точки мониторинга.
- Время работы – время работы Kaspersky Industrial CyberSecurity for Networks. В этом виджете вы можете выбрать следующие данные для отображения:
- Эффективное время работы – время нормальной работы программы (без сбоев) с последнего запуска до текущего момента.
- Общее время работы – время работы с первого запуска программы до текущего момента (включает периоды нормальной работы программы и периоды работы со сбоями).
- С первого запуска программы – общее время, прошедшее с первого запуска программы до текущего момента (включает периоды нормальной работы программы, периоды работы со сбоями и периоды неработоспособного состояния).
- Виджеты с информацией для контроля наиболее значимых изменений в системе:
- Устройства – содержит информацию об устройствах в промышленной сети (используется распределение по категориям устройств).
- События – содержит информацию о событиях и инцидентах, имеющих наиболее поздние значения даты и времени последнего появления.
- Наличие программ EPP – количественное соотношение устройств, защищенных и не защищенных EPP-программами. В центре круговой диаграммы отображается суммарное количество защищенных и не защищенных устройств.
Устройство считается защищенным EPP-программой, если в Kaspersky Industrial CyberSecurity for Networks имеются сведения о выполнении следующих условий:
- на устройстве установлена EPP-программа;
- для EPP-программы выполняется задача Постоянная защита (Real-Time Protection);
- EPP-программа имеет статус подключения к серверу интеграции Активное.
Устройство считается не защищенным EPP-программой, если не выполнено хотя бы одно из перечисленных условий. Проверка на незащищенность EPP-программой выполняется для всех устройств в Kaspersky Industrial CyberSecurity for Networks, содержащих название операционной системы Windows (любой версии) в качестве установленной операционной системы.
- Виджеты без динамически изменяемой информации. Вы можете создавать виджеты с произвольно заданным содержанием. Такие виджеты называются пользовательскими. С помощью пользовательских виджетов вы можете, например, логически разделять группы виджетов в разделе Мониторинг.
Для виджетов предусмотрены различные средства привлечения внимания в зависимости от поступающих данных. Например, виджеты с информацией о программе и аппаратных ресурсах могут автоматически изменять цвет, если информация требует внимания (в частности, при нагрузке на аппаратный ресурс близкой к критической).
В виджетах отображается только основная информация, которая изменяется динамически. Если вам нужно просмотреть более подробную информацию (например, об устройствах, требующих внимания), вы можете перейти из раздела Мониторинг к другим разделам веб-интерфейса программы. Переходы можно выполнять путем выбора элементов интерфейса виджетов с помощью мыши.
Добавление виджета
Чтобы добавить виджет:
- В разделе Мониторинг нажмите на кнопку Виджеты.
Откроется окно Добавление виджетов.
- Добавьте нужный виджет по ссылке Добавить справа от названия виджета.
Новый виджет займет свободное место в области отображения виджетов.
- Нажмите на кнопку Закрыть в окне Добавление виджетов.
После добавления вы можете настроить отображение виджета.
В начало
Настройка отображения виджетов
Для настройки отображения виджетов вы можете использовать следующие функции:
- Перемещение виджета
- В разделе Мониторинг наведите курсор на верхнюю часть нужного виджета (например, на название виджета).
Курсор примет вид
. - Перетащите виджет в нужную часть области отображения виджетов.
- В разделе Мониторинг наведите курсор на верхнюю часть нужного виджета (например, на название виджета).
- Изменение размера виджета
- Изменение параметров отображения данных в виджете
После добавления виджета для отображения данных используются параметры, заданные по умолчанию. При необходимости вы можете изменить параметры отображения (например, чтобы указать нужный источник или выбрать другие данные для отображения в виджете Хранилище).
Чтобы настроить параметры отображения виджета:
- В разделе Мониторинг откройте меню управления виджетом с помощью кнопки
в правом верхнем углу виджета. - В меню управления виджетом выберите пункт Настроить.
Откроется окно для настройки параметров отображения.
- Настройте параметры виджета.
В зависимости от выбранного виджета окно может содержать следующие параметры:
- Изменить название – если установлен флажок Изменить название, вы можете задать произвольное название виджета (отличающееся от заданного по умолчанию) в поле Название виджета. Параметр Изменить название отсутствует для пользовательских виджетов.
- Название виджета – поле для ввода названия виджета, отличающегося от названия по умолчанию.
- Изменить описание – если установлен флажок Изменить описание, вы можете задать произвольное описание виджета (отличающееся от заданного по умолчанию) в поле Описание виджета. Параметр Изменить описание отсутствует для пользовательских виджетов.
- Описание виджета – поле для ввода названия виджета, отличающегося от названия по умолчанию.
- Период обновления – задает период времени в секундах, после которого обновляются отображаемые данные.
- Отображать – задает тип отображаемых данных (для виджетов с возможностью выбора данных для отображения).
- Источник данных – задает узел с установленными компонентами программы, данные от которого отображаются в виджете. Если выбран вариант Вся программа, виджет отображает данные со всех узлов.
- Точка мониторинга – задает точку мониторинга выбранного узла для отображения данных. Если выбран вариант Все точки мониторинга, виджет отображает данные по всем точкам мониторинга выбранного узла.
- Изменять цвет по состоянию – если флажок установлен, цвет фона виджета автоматически изменяется в зависимости от уровня важности поступивших данных. Критическому (максимальному) уровню важности данных соответствует красный цвет фона. Если флажок снят, закрашивание фона выключено.
- Заданный фон – определяет цвет фона пользовательского виджета. Вы можете выбрать вариант закрашивания цветом, который соответствует одному из уровней важности (Информационный, Важный, Критический), или выключить закрашивание фона с помощью варианта Бесцветный.
- Нажмите на кнопку ОК.
- В разделе Мониторинг откройте меню управления виджетом с помощью кнопки
Информация в виджете Устройства
Виджет Устройства в разделе Мониторинг отображает информацию об устройствах, входящих в список известных программе устройств.
В виджете представлена следующая информация:
- Данные о количественном распределении известных программе устройств по категориям. Эти данные отображаются в верхней части виджета в виде значков категорий. Под значком каждой категории указано количество устройств этой категории. Если в списке известных программе устройств есть устройства, требующие внимания, на значках категорий этих устройств отображается значок предупреждения.
- Список категорий с устройствами, требующими внимания. Эти данные отображаются в средней части виджета при наличии таких устройств. Пространство для отображения графических элементов ограничено размером виджета.
Устройства, требующие внимания
Программа считает, что устройство требует внимания, в любом из следующих случаев:
- устройство имеет статус Разрешенное и состояние безопасности устройства отличается от ОК;
- устройство имеет статус Неразрешенное.
При наличии устройств, требующих внимания, для каждой категории в списке отображается следующая информация:
- Строка, содержащая значок категории, текстовый комментарий и ссылку с количеством устройств, требующих внимания.
- Строка с графическими элементами, представляющими устройства. Строка отображается, если достаточно свободного пространства в виджете. Количество графических элементов в строке зависит от текущего размера окна браузера. Если устройств, требующих внимания, больше чем отображаемых графических элементов в строке, то справа отображается количество скрытых устройств в формате
+<количество устройств>.
Графические элементы устройств
Графические элементы, представляющие устройства, содержат следующую информацию:
- Имя устройства.
- Статус устройства. Отображается в виде значка, если устройство имеет статус Неразрешенное.
- Состояние безопасности устройства. Отображается в виде цветной линии на левой границе графического элемента. Цвет линии соответствует состояниям ОК, Важное или Критическое.
Графические элементы отображаются в следующем порядке:
- Устройства с присвоенным статусом Неразрешенное.
- Устройства, имеющие состояние безопасности Критическое.
- Устройства, имеющие состояние безопасности Важное.
Переходы к другим разделам из виджета Устройства
С помощью элементов интерфейса виджета Устройства вы можете выполнять переходы к таблице устройств для отображения подробных сведений об устройствах. Для этого предусмотрены следующие возможности:
В начало
Информация в виджете События
Виджет События в разделе Мониторинг отображает общую информацию о событиях и инцидентах, имеющих наиболее поздние значения даты и времени последнего появления.
В виджете отображаются следующие элементы:
- Гистограмма событий и инцидентов за выбранный период. Эти данные отображаются в верхней части виджета. Гистограмма отображает распределение событий и инцидентов по уровням важности.
- Список с информацией о зарегистрированных событиях и инцидентах, отсортированный по дате и времени последнего появления. Эти данные отображаются в средней части виджета.
Статистика событий и инцидентов
На гистограмме распределения событий и инцидентов столбцы соответствуют суммарному количеству событий за каждый интервал времени. Внутри столбцов цветом обозначены уровни важности событий и инцидентов. Уровням важности соответствуют следующие цвета:
- Синий цвет. Этот цвет используется для событий и инцидентов с уровнем важности Информационные.
- Желтый цвет. Этот цвет используется для событий и инцидентов с уровнем важности Важные.
- Красный цвет. Этот цвет используется для событий и инцидентов с уровнем важности Критические.
Для вывода информации о столбце гистограммы наведите на него курсор мыши. Во всплывающем окне отобразятся сведения о дате и времени интервала, а также о количестве событий и инцидентов по уровням важности.
Длительность интервалов времени зависит от выбранного периода для отображения. Для построения гистограммы предусмотрены следующие периоды:
- 1 час. Этот период делится на интервалы по одной минуте.
- 12 часов, 24 часа. Эти периоды делятся на интервалы по одному часу.
- 7 дней. Этот период делится на интервалы по одному дню.
Выбор периода для отображения гистограммы
Список событий и инцидентов
Список событий и инцидентов в виджете События обновляется в онлайн-режиме. События и инциденты с наиболее поздними значениями даты и времени последнего появления помещаются в начало списка.
Количество отображаемых элементов списка событий и инцидентов ограничено размером виджета.
Для каждого события или инцидента в списке представлены следующие сведения:
- заголовок события или инцидента;
- дата и время последнего появления;
- значок, обозначающий уровень важности события или инцидента: Информационные, Важные, или Критические.
Инциденты в списке обозначаются значком 
.
Переходы к другим разделам из виджета События
С помощью элементов интерфейса виджета События вы можете выполнять переходы к таблице событий для отображения подробных сведений о событиях и инцидентах. Для этого предусмотрены следующие возможности:
В начало
Удаление виджета
Чтобы удалить виджет:
- В разделе Мониторинг вызовите меню управления виджетом с помощью кнопки в правом верхнем углу виджета.
- В меню управления виджетом выберите пункт Удалить.
Откроется окно с запросом подтверждения.
- В окне запроса подтвердите удаление выбранного виджета.
Контроль активов
Kaspersky Industrial CyberSecurity for Networks позволяет контролировать устройства промышленной сети, представляющие активы предприятия. Для контроля активов вы можете просматривать таблицу устройств в разделе Активы веб-интерфейса Kaspersky Industrial CyberSecurity for Networks. Также вы можете просматривать информацию о взаимодействиях устройств и выполнять различные действия с устройствами при работе с картой сети.
Таблица устройств
Для контроля устройств в программе формируется таблица устройств. Все устройства, присутствующие в таблице, считаются известными программе.
Для таблицы устройств действуют следующие ограничения по количеству элементов:
- Суммарное количество устройств со статусами Разрешенное и Неразрешенное – не более 100 тыс.
Если достигнуто ограничение максимального количества устройств со статусами Разрешенное и Неразрешенное, новые устройства с этими статусами не добавляются в таблицу. В этом случае, чтобы добавить новое устройство в таблицу, вам нужно удалить одно из ранее добавленных устройств.
- Количество устройств со статусом Неиспользуемое – не более 100 тыс.
Если достигнуто ограничение максимального количества устройств со статусом Неиспользуемое, новые устройства с этим статусом добавляются в таблицу вместо устройств, которые дольше всего не проявляли активность.
При переполнении таблицы устройств программа выводит соответствующее сообщение.
Таблица устройств содержит следующие сведения:
- Имя – имя, под которым устройство представлено в программе.
- ID устройства – идентификатор устройства, присвоенный в Kaspersky Industrial CyberSecurity for Networks.
- Статус – статус устройства, определяющий разрешение активности устройства в промышленной сети. Устройство может иметь один из следующих статусов:
- Разрешенное. Этот статус присваивается устройству, которому разрешена активность в промышленной сети.
- Неразрешенное. Этот статус присваивается устройству, которому не разрешена активность в промышленной сети.
- Неиспользуемое. Этот статус присваивается устройству, если оно больше не используется или не должно использоваться в промышленной сети, либо если устройство длительное время не проявляло активность и не изменялись сведения об этом устройстве (30 дней и более).
- Адресная информация – MAC- и/или IP-адреса устройства. Если устройство имеет несколько сетевых интерфейсов, вы можете указать MAC- и/или IP-адреса для сетевых интерфейсов устройства. Для устройства может быть указано до 64 сетевых интерфейсов.
- Категория – название категории, определяющей функциональное назначение устройства. В Kaspersky Industrial CyberSecurity for Networks предусмотрены следующие категории устройств:
- ПЛК – программируемые логические контроллеры.
- IED – интеллектуальные электронные устройства.
- HMI / SCADA – компьютеры с установленным ПО систем человеко-машинного интерфейса (Human-machine interface, HMI) или SCADA-систем.
- Инженерная станция – компьютеры с установленным ПО для использования инженерами АСУ ТП.
- Сервер – устройства с установленным серверным ПО.
- Сетевое устройство – устройства, относящиеся к сетевому оборудованию (например, маршрутизаторы, коммутаторы).
- Рабочая станция – стационарные персональные компьютеры или рабочие станции операторов.
- Мобильное устройство – портативные электронные устройства с функциями компьютера.
- Ноутбук – переносные персональные компьютеры.
- HMI-панель – устройства, использующие человеко-машинный интерфейс для управления отдельными устройствами или операциями технологического процесса.
- Принтер – печатающие устройства.
- ИБП – блоки бесперебойного питания, подключаемые к вычислительной сети.
- Сетевая камера – устройства, выполняющие функции видеонаблюдения и передачи изображения в цифровом виде.
- Шлюз – устройства для сопряжения сетей, преобразующие различные интерфейсы (например, Serial/Ethernet) в сетях с разнородной средой передачи данных и разными протоколами.
- Система хранения – устройства для хранения информации внутри систем памяти.
- Брандмауэр – устройства, выполняющие функции сетевого экрана для проверки и блокировки нежелательного трафика.
- Коммутатор – устройства для физического соединения узлов локальной сети.
- Виртуальный коммутатор – устройства, логически объединяющие физические коммутаторы, или программно реализованные коммутаторы для систем виртуализации.
- Маршрутизатор – устройства, выполняющие функции перенаправления сетевых пакетов между сегментами вычислительной сети.
- Виртуальный маршрутизатор – устройства, логически объединяющие физические маршрутизаторы, или маршрутизаторы, использующие несколько независимых таблиц маршрутизации.
- Wi-Fi – точки доступа, обеспечивающие беспроводное подключение устройств из сетей Wi-Fi.
- Сервер Historian – серверы архивных данных.
- Другое – устройства, не относящиеся к вышеперечисленным категориям.
- Группа – имя группы, в которую помещено устройство в дереве групп устройств (содержит имя самой группы и имена всех ее родительских групп).
- Состояние безопасности – состояние безопасности устройства, определяемое по наличию связанных с устройством событий и актуальных уязвимостей. Предусмотрены следующие состояния безопасности:
- Критическое. С устройством связаны необработанные события с уровнем важности Критические или актуальные уязвимости с уровнем критичности Высокий.
- Важное. С устройством связаны необработанные события с уровнем важности Важные или актуальные уязвимости с уровнем критичности Средний (при этом нет необработанных событий с уровнем важности Критические или актуальных уязвимостей с уровнем критичности Высокий).
- ОК. Все события, связанные с устройством, обработаны или имеют уровень важности Информационные. А также все уязвимости, связанные с устройством, переведены в состояние Устранена или Принята или имеют уровень критичности Низкий.
- Последнее появление – дата и время последней зафиксированной активности устройства.
- Последнее изменение – дата и время последнего изменения сведений об устройстве.
- Создано – дата и время добавления устройства в таблицу устройств.
- ОС – название операционной системы, установленной на устройстве.
- Сетевое имя – имя, под которым устройство представлено в сети.
- Производитель оборудования – название производителя аппаратного обеспечения устройства.
- Модель оборудования – название модели устройства.
- Версия оборудования – номер версии аппаратного обеспечения устройства.
- Название ПО – название программного обеспечения устройства.
- Производитель ПО – название производителя программного обеспечения устройства.
- Версия ПО – номер версии программного обеспечения устройства.
- Метки – список меток, назначенных устройству.
- Уязвимости – CVE-идентификаторы уязвимостей, связанных с устройством (уязвимости, обнаруженные по сведениям об устройстве).
- Параметры контроля процесса – признак наличия или отсутствия параметров контроля процесса, заданных для устройства.
- Программа EPP – краткое название EPP-программы, установленной на устройстве (если данные от этой программы поступали в Kaspersky Industrial CyberSecurity for Networks).
- Подключение EPP – статус подключения EPP-программы, установленной на устройстве, к серверу интеграции. Предусмотрены следующие статусы:
- Активное. Со времени последнего соединения программы с сервером интеграции прошло менее суток.
- Неактивное. Со времени последнего соединения программы с сервером интеграции прошло более суток.
- Отсутствует. Статус подключения неизвестен.
- Последнее соединение с EPP – Дата последнего соединения EPP-программы, установленной на устройстве, с сервером интеграции.
Просмотр таблицы устройств
Таблица устройств отображается в разделе Активы на закладке Устройства веб-интерфейса программы. В таблице устройств представлены основные сведения об устройствах, известных программе.
При просмотре таблицы устройств вы можете использовать следующие функции:
- Настройка отображения и порядка граф в таблице устройств
- Фильтрация по графам таблицы
Чтобы отфильтровать устройства по графе Статус, Категория, Состояние безопасности, Параметры контроля процесса, Программа EPP или Подключение EPP:
- На закладке Устройства в разделе Активы нажмите на значок фильтрации в нужной графе таблицы.
При фильтрации по состояниям безопасности устройств вы также можете воспользоваться соответствующими кнопками в панели инструментов.
Откроется окно фильтрации.
- Установите флажки напротив значений, по которым вы хотите выполнить фильтрацию. Вы можете снять или удалить все флажки по ссылке, которая отображается в верхней части окна фильтрации.
- Нажмите на кнопку OK.
Чтобы отфильтровать устройства по графе ID устройства, ОС, Производитель оборудования, Модель оборудования, Версия оборудования, Название ПО, Производитель ПО, Версия ПО или Сетевое имя:
- На закладке Устройства в разделе Активы нажмите на значок фильтрации в нужной графе таблицы.
Откроется окно фильтрации.
- В полях Включая и Исключая введите значения для устройств, которые вы хотите включить в фильтрацию и/или исключить из фильтрации.
- Если вы хотите применить несколько условий фильтрации, объединенных логическим оператором ИЛИ, в окне фильтрации выбранной графы нажмите на кнопку Добавить условие и введите условие в открывшемся поле.
- Если вы хотите удалить одно из созданных условий фильтрации, в окне фильтрации выбранной графы нажмите на значок .
- Нажмите на кнопку OK.
Чтобы отфильтровать устройства по графе Адресная информация:
- На закладке Устройства в разделе Активы нажмите на значок фильтрации в графе Адресная информация.
Откроется окно фильтрации.
- В полях Включая и Исключая выберите в раскрывающихся списках типы адресов для устройств, которые вы хотите включить в фильтрацию и/или исключить из фильтрации. Вы можете выбрать следующие типы адресов:
- IP-адрес.
- MAC-адрес.
- Комплексный – если вы хотите указать несколько адресов разных типов, объединенных логическим оператором И. Для добавления адресов разных типов используйте кнопку Добавить условие (И).
- Если вы хотите применить несколько условий фильтрации по типам адресов, объединенных логическим оператором ИЛИ, в окне фильтрации нажмите на кнопку Добавить условие (ИЛИ) и выберите нужные типы адресов.
- Если вы хотите удалить одно из созданных условий фильтрации, в окне фильтрации нажмите на значок , который расположен справа от поля с раскрывающимся списком.
- Нажмите на кнопку OK.
Чтобы отфильтровать устройства по графе Группа:
- На закладке Устройства в разделе Активы нажмите на значок фильтрации в графе Группа.
Откроется окно фильтрации.
- Нажмите на значок в правой части поля для указания группы.
Появится окно Выбор группы в дереве.
- В дереве групп устройств выберите нужную группу и нажмите на кнопку Выбрать.
Путь к выбранной группе появится в поле в окне фильтрации.
- Если вы хотите применить несколько условий фильтрации, объединенных логическим оператором ИЛИ, в окне фильтрации нажмите на кнопку Добавить условие (ИЛИ) и укажите другую группу в открывшемся поле.
- Если вы хотите удалить одно из созданных условий фильтрации, в окне фильтрации нажмите на значок .
Вы также можете выключить фильтрацию в графе по ссылке Фильтр по умолчанию, которая отображается в верхней части окна фильтрации.
- Нажмите на кнопку OK.
Чтобы отфильтровать устройства по графе Последнее появление, Последнее изменение или Создано:
- На закладке Устройства в разделе Активы нажмите на значок фильтрации в нужной графе таблицы.
Откроется календарь.
- В календаре задайте дату и время начальной и конечной границ периода фильтрации. Для этого выберите дату в календаре (при этом будет указано текущее время) или введите значение вручную в формате ДД.ММ.ГГ чч:мм:сс.
- Нажмите на кнопку OK.
Чтобы отфильтровать устройства по графе Метки:
- На закладке Устройства в разделе Активы нажмите на значок фильтрации в графе Метки.
Откроется окно фильтрации.
- Введите одну или несколько меток, объединенных логическим оператором И.
- Если вы хотите применить несколько условий фильтрации, объединенных логическим оператором ИЛИ, в окне фильтрации нажмите на кнопку Добавить условие (ИЛИ) и введите нужные метки (несколько меток в этом условии также будут объединены логическим оператором И).
- Если вы хотите удалить лишние метки в окне фильтрации, вы можете:
- удалить лишние метки с помощью значка рядом с названиями меток;
- удалить одно из созданных условий фильтрации с помощью значка , который расположен справа от поля.
Вы также можете выключить фильтрацию в графе по ссылке Фильтр по умолчанию, которая отображается в верхней части окна фильтрации.
- удалить лишние метки с помощью значка
- Нажмите на кнопку OK.
Чтобы отфильтровать устройства по графе Уязвимости:
- На закладке Устройства в разделе Активы нажмите на значок фильтрации в графе Уязвимости.
Откроется окно фильтрации.
- Если вы хотите задать параметры фильтрации устройств с уязвимостями, оставьте переключатель Исключить устройства с уязвимостями в состоянии Выключено и настройте параметры с помощью следующих элементов управления:
- CVE – позволяет ввести CVE-идентификатор для отображения устройств с этой уязвимостью.
- Оценка CVSS – позволяет задать диапазон значений оценок по системе CVSS для отображения устройств с уязвимостями, у которых значение оценки входит в указанный диапазон.
- Состояние – группирует кнопки для включения и выключения фильтрации по состояниям уязвимостей (кнопки отображаются, если в параметрах отображения таблицы устройств установлен флажок Отображать устраненные и принятые уязвимости.
- Если вы хотите отобразить только устройства без уязвимостей, переведите переключатель Исключить устройства с уязвимостями в состояние Включено.
- Нажмите на кнопку OK.
- На закладке Устройства в разделе Активы нажмите на значок фильтрации в нужной графе таблицы.
- Поиск устройств
- Сброс заданных параметров фильтрации и поиска
- Сортировка устройств
- Обновление таблицы устройств
Просмотр подсетей для контроля активов
Kaspersky Industrial CyberSecurity for Networks контролирует только те IP-адреса устройств, которые принадлежат подсетям из числа известных программе.
По умолчанию в программе задан стандартный список подсетей, наиболее часто используемых на предприятиях. Пользователи с ролью Администратор могут сформировать список известных программе подсетей с учетом особенностей адресации устройств в сети вашего предприятия. Если в Kaspersky Industrial CyberSecurity for Networks поступают данные от EPP-программ, по этим данным программа может автоматически добавлять подсети в список подсетей.
Программа проверяет обнаруженные IP-адреса по списку известных подсетей и в зависимости от принадлежности IP-адресов определенным типам подсетей может выполнять следующие действия:
- добавлять устройство с обнаруженным IP-адресом в таблицу устройств и контролировать активность этого устройства;
- отображать устройство c обнаруженным IP-адресом на карте сети в виде узла соответствующего типа (известное программе устройство, неизвестное или узел WAN);
- отображать соединение на карте сети, в котором одной из сторон взаимодействия является устройство с обнаруженным IP-адресом;
- проверять взаимодействия устройства с обнаруженным IP-адресом по заданным правилам (правила контроля взаимодействий, правила обнаружения вторжений и правила корреляции);
- игнорировать активность устройства с обнаруженным IP-адресом.
Вы можете просматривать сведения о подсетях на закладке Подсети в разделе Активы.
При просмотре сведений о подсетях вы можете использовать следующие функции:
- Настройка отображения и порядка граф в таблице подсетей
- Фильтрация по графам таблицы
- Поиск подсетей
- Сброс заданных параметров фильтрации и поиска
- Сортировка подсетей
Выбор устройств в таблице устройств
В таблице устройств вы можете выбирать устройства для просмотра сведений и для работы с этими устройствами. При выборе устройств в правой части окна веб-интерфейса появляется область деталей.
Чтобы выбрать нужные устройства в таблице:
- Если вы хотите выбрать одно устройство, установите флажок напротив этого устройства или выберите устройство с помощью мыши.
- Если вы хотите выбрать несколько устройств, установите флажки напротив нужных устройств или выберите их, удерживая нажатой клавишу CTRL или SHIFT.
- Если вы хотите выбрать все устройства, удовлетворяющие текущим параметрам фильтрации и поиска, выполните одно из следующих действий:
- выберите любое устройств в таблице и нажмите комбинацию клавиш CTRL+A;
- установите флажок в заголовке левой крайней графы таблицы.
При выборе более одного устройства в области деталей отображается количественное распределение выбранных устройств по категориям. Если среди выбранных устройств присутствуют устройства с различными категориями, вы можете исключить устройства одной из категорий. Для этого нужно снять флажок рядом с названием этой категории.
В заголовке левой крайней графы таблицы отображается флажок выбора устройств. В зависимости от количества выбранных устройств флажок может быть в одном из следующих состояний:
- – в таблице не выполнялся выбор всех устройств, удовлетворяющих текущим параметрам фильтрации и поиска. При этом в таблице может быть выбрано одно устройство или несколько устройств с помощью флажков напротив устройств или с использованием клавиш CTRL или SHIFT.
- – в таблице выбраны все устройства, удовлетворяющие текущим параметрам фильтрации и поиска.
- – в таблице были выбраны все устройства, удовлетворяющие текущим параметрам фильтрации и поиска, и после этого для некоторых устройств были сняты флажки. Это состояние сохраняется и в случае, если флажки сняты для всех устройств, выбранных таким способом (из-за того, что количество выбранных устройств может измениться).
Если выбраны все устройства, удовлетворяющие параметрам фильтрации и поиска, количество выбранных устройств может автоматически изменяться. Например, состав устройств в таблице может быть изменен пользователем программы в другом сеансе подключения или при автоматическом добавлении устройств. Рекомендуется настраивать параметры фильтрации и поиска таким образом, чтобы в выборку попали только нужные устройства (например, перед выбором всех устройств вы можете отфильтровать устройства по идентификаторам).
В начало
Выбор подсетей в таблице подсетей
В таблице подсетей вы можете выбирать подсети для просмотра сведений и для работы с этими подсетями. При выборе подсети в правой части окна веб-интерфейса появляется область деталей.
Чтобы выбрать нужные подсети в таблице:
- Если вы хотите выбрать одну подсеть, установите флажок напротив этой подсети или выберите подсеть с помощью мыши.
- Если вы хотите выбрать несколько подсетей, установите флажки напротив нужных подсетей или выберите их, удерживая нажатой клавишу CTRL или SHIFT.
- Если вы хотите выбрать все подсети, удовлетворяющие текущим параметрам фильтрации и поиска, выполните одно из следующих действий:
- выберите любую подсеть в таблице и нажмите комбинацию клавиш CTRL+A;
- установите флажок в заголовке левой крайней графы таблицы.
В заголовке левой крайней графы таблицы отображается флажок выбора подсетей. В зависимости от количества выбранных подсетей флажок может быть в одном из следующих состояний:
- – в таблице не выполнялся выбор всех подсетей, удовлетворяющих текущим параметрам фильтрации и поиска. При этом в таблице может быть выбрана одна подсеть или несколько подсетей с помощью флажков напротив подсетей или с использованием клавиш CTRL или SHIFT.
- – в таблице выбраны все подсети, удовлетворяющие текущим параметрам фильтрации и поиска.
- – в таблице были выбраны все подсети, удовлетворяющие текущим параметрам фильтрации и поиска, и после этого для некоторых подсетей были сняты флажки. Это состояние сохраняется и в случае, если флажки сняты для всех подсетей, выбранных таким способом (из-за того, что количество выбранных подсетей может измениться).
Если выбраны все подсети, удовлетворяющие параметрам фильтрации и поиска, количество выбранных подсетей может автоматически изменяться. Например, состав подсетей в таблице может быть изменен пользователем программы в другом сеансе подключения. Рекомендуется настраивать параметры фильтрации и поиска таким образом, чтобы в выборку попали только нужные подсети.
В начало
Просмотр сведений об устройстве
Подробные сведения об устройстве включают информацию из таблицы устройств, а также следующие поля (если есть значения для этих полей):
- Маршрут. устройство – признак маршрутизирующего устройства.
Если признак маршрутизирующего устройства не определен автоматически, то его требуется выставить вручную (например, для устройства, которое выполняет функции сетевого коммутатора между сегментами промышленной сети). В частности, если в различных сегментах находятся ПЛК и компьютер со SCADA-системой, взаимодействующий с этими ПЛК. В этом случае программа сможет автоматически добавлять в таблицу устройств все устройства, обнаруженные в сегменте с такими ПЛК.
- Доп. сведения – дополнительные сведения об устройстве, заданные пользователем программы (например, описание размещения устройства).
- Пользовательские поля – набор нестандартных сведений об устройстве, заданных пользователем программы (например, категории и классы защиты устройства). Для устройства может быть указано до 16 пользовательских полей.
- Динамические поля – набор расширенных сведений об устройстве, обнаруженных в трафике при работе метода обнаружения сведений об устройствах. Поле отображается, если расширенные сведения были обнаружены программой.
- Kaspersky Endpoint Agent – сведения о программе Kaspersky Endpoint Agent, установленной на устройстве.
- Программа EPP – сведения об установленной программе, выполняющей функции защиты рабочих станций и серверов (EPP-программа).
Если для устройства заданы параметры контроля процесса, они отображаются в отдельном блоке параметров.
Чтобы просмотреть сведения об устройстве,
на закладке Устройства в разделе Активы выберите нужное устройство.
В правой части окна веб-интерфейса появится область деталей. В области деталей отображаются все сведения, для которых заданы значения. Сведения, для которых выключено автоматическое изменение, отмечены значком ![icon_tabs_privileged-mode[4]](lock_autoupdate.png)
.
Автоматическое добавление и обновление устройств
Программа может автоматически добавлять устройства в таблицу и обновлять сведения об устройствах. Для автоматического добавления и обновления устройств в Kaspersky Industrial CyberSecurity for Networks требуется включить следующие методы контроля активов:
- Обнаружение активности устройств. При использовании этого метода программа добавляет в таблицу новые обнаруженные устройства по полученным MAC- и/или IP-адресам устройств. Если обнаружена активность уже известного программе устройства, программа может изменить его статус в зависимости от текущего режима работы контроля активов.
- Обнаружение сведений об устройствах. При использовании этого метода программа обновляет сведения об известных устройствах на основе полученных данных из трафика или от EPP-программ. По данным из трафика обновляются те сведения, для которых включено автоматическое изменение в параметрах устройства (включено по умолчанию до изменения значения вручную пользователем программы). Если обнаружение сведений об устройствах выключено, программа не обновляет и не дополняет имеющиеся сведения об устройствах по поступающим данным из трафика и от EPP-программ.
При добавлении устройства программа по умолчанию задает имя устройства по шаблону: Устройство <значение внутреннего счетчика устройств>. При этом значение внутреннего счетчика в имени устройства может не совпадать с идентификатором устройства, который отображается в графе ID устройства.
С помощью метода обнаружения сведений об устройствах программа может обновить имя устройства после получения данных, представляющих следующие сведения:
- название модели устройства;
- сетевое имя, под которым устройство представлено в сети (сетевое имя устройства имеет приоритет при актуализации).
Программа может автоматически обновлять сведения, относящиеся к производителям сетевого оборудования устройств, на основе MAC-адресов устройств. Для определения производителей по MAC-адресам программа сверяет MAC-адреса устройств с диапазонами адресов, которые были зарегистрированы в открытой базе данных международной организации Institute of Electrical and Electronics Engineers (IEEE). Если производитель сетевого оборудования определен по MAC-адресу, то в качестве названия производителя программа сохраняет такое же название, какое представлено в базе данных IEEE.
После установки программы используется копия базы данных IEEE, содержащая сведения о MAC-адресах и производителях на момент выпуска текущей версии программы. Вы можете поддерживать локальную копию базы данных IEEE в актуальном состоянии, устанавливая обновления.
В начало
Автоматическое изменение статусов устройств
При отслеживании активности устройств в промышленной сети программа может автоматически присваивать статусы обнаруженным устройствам по полученным MAC- и/или IP-адресам устройств. Статусы присваиваются в зависимости от текущего режима контроля активов.
В режиме обучения программа присваивает статус Разрешенное всем обнаруженным устройствам (как новым устройствам, так и ранее добавленным в таблицу устройств). Статус обнаруженного устройства не изменяется, если устройству ранее был присвоен статус Неразрешенное.
В режиме наблюдения присваиваемый статус зависит от того, является ли устройство, проявившее активность, известным или неизвестным программе. В этом режиме присвоение статусов происходит по следующим правилам:
- Если устройство является новым (отсутствовало в таблице устройств на момент обнаружения), этому устройству присваивается статус Неразрешенное.
- Если устройство присутствует в таблице устройств со статусом Разрешенное или Неразрешенное, статус не меняется.
- Если устройство присутствует в таблице устройств со статусом Неиспользуемое, этому устройству присваивается статус Неразрешенное.
По умолчанию если устройство со статусом Разрешенное не проявляет активность более 30 дней и за это время не изменялись сведения об устройстве, этому устройству автоматически присваивается статус Неиспользуемое. Вы можете выключить автоматическое изменение статуса при изменении статуса устройства вручную (например, чтобы статус Разрешенное не изменялся на статус Неиспользуемое для редко подключаемого устройства).
При появлении в таблице устройств со статусом Неразрешенное, вам нужно определить, требуется ли каждое из этих устройств для обеспечения технологического процесса. После этого каждому такому устройству рекомендуется вручную присвоить один из следующих статусов:
- Разрешенное – если устройство требуется для обеспечения технологического процесса.
- Неиспользуемое – если устройство не должно использоваться в промышленной сети.
Вместо присвоения статуса Неиспользуемое вы можете удалить устройство. Однако в этом случае также будут удалены все сведения, указанные для этого устройства. Если удаленное устройство снова будет обнаружено, в программе будут доступны только сведения, полученные с момента повторного добавления в таблицу устройств (в том числе обновится дата и время первого обнаружения устройства).
Дерево групп устройств
Дерево групп устройств предназначено для распределения устройств в соответствии с их назначением, размещением или по каким-либо другим произвольным признакам. Устройства могут быть распределены по группам вручную (например, для соответствия местоположению устройств в производственной структуре предприятия) или автоматически (по принадлежности IP-адресов устройств подсетям, по категориям устройств или по производителям).
Если устройство не включено ни в одну из групп, это устройство считается относящимся к верхнему уровню иерархии в дереве групп. Устройства, автоматически добавленные в таблицу, по умолчанию не включаются в группы.
Распределять устройства по группам могут только пользователи с ролью Администратор.
Узнать, в какие группы входят устройства, вы можете при просмотре таблицы устройств. Пути к группам указаны в графе Группа. Группы устройств также отображаются и на карте сети, однако входящие в эти группы устройства могут не отображаться, если они не удовлетворяют параметрам фильтрации объектов на карте сети.
В начало
Контроль чтения и записи проектов ПЛК
Kaspersky Industrial CyberSecurity for Networks может обнаруживать в трафике промышленной сети информацию о проектах ПЛК и сравнивать эту информацию с ранее полученной информацией о проектах ПЛК.
Проект ПЛК – микропрограмма, написанная для ПЛК. Проект ПЛК хранится в памяти ПЛК и выполняется в рамках технологического процесса, использующего ПЛК. Проект ПЛК может состоять из блоков, которые по отдельности передаются и принимаются по сети при чтении или записи проекта.
Информация о проекте или блоке проекта ПЛК может быть получена программой при обнаружении операций чтения проекта/блока из ПЛК или записи проекта/блока в ПЛК. Полученная информация сохраняется в Kaspersky Industrial CyberSecurity for Networks. При следующем обнаружении операции чтения или записи проекта/блока программа сравнивает полученную информацию о проекте/блоке и сохраненную информацию. Если полученная информация о проекте/блоке не совпадает с последней сохраненной информацией об этом проекте/блоке (в том числе при отсутствии сохраненной информации), программа регистрирует соответствующее событие.
Получение информации о проектах ПЛК поддерживается для устройств следующих типов:
- Schneider Electric серии Modicon: M580, M340;
- Siemens SIMATIC серий S7-300, S7-400.
Для контроля чтения и записи проектов ПЛК не требуется добавлять параметры контроля процесса для устройств. Контроль чтения и записи проектов ПЛК осуществляется для всех обнаруженных устройств перечисленных типов.
Для каждого устройства программа сохраняет не более 100 различных вариантов проектов ПЛК. Если проект ПЛК передается или принимается отдельными блоками, сохраняется до 100 различных вариантов каждого блока.
Если для устройства достигнуто ограничение максимального количества сохраненных проектов ПЛК (или одноименных блоков проекта ПЛК), программа сохраняет новый обнаруженный проект/блок вместо самого старого обнаруженного проекта/блока.
При контроле чтения и записи проектов ПЛК программа регистрирует события по технологии Контроль активов. Для регистрации используются системные типы событий, которым присвоены следующие коды:
- коды типов событий при обнаружении чтения проекта/блока из ПЛК:
- 4000005200 – для события обнаружения чтения неизвестного блока проекта из ПЛК (если отсутствует сохраненная информация об этом блоке);
- 4000005201 – для события обнаружения чтения известного блока проекта из ПЛК (если есть сохраненная информация об этом блоке, но полученная информация не совпадает с последней сохраненной информацией об этом блоке);
- 4000005204 – для события обнаружения чтения неизвестного проекта из ПЛК (если отсутствует сохраненная информация об этом проекте);
- 4000005205 – для события обнаружения чтения известного проекта из ПЛК (если есть сохраненная информация об этом проекте, но полученная информация не совпадает с последней сохраненной информацией об этом проекте);
- коды типов событий при обнаружении записи проекта/блока из ПЛК:
- 4000005202 – для события обнаружения записи нового блока проекта в ПЛК (если отсутствует сохраненная информация об этом блоке);
- 4000005203 – для события обнаружения записи известного блока проекта в ПЛК (если есть сохраненная информация об этом блоке, но полученная информация не совпадает с последней сохраненной информацией об этом блоке);
- 4000005206 – для события обнаружения записи нового проекта в ПЛК (если отсутствует сохраненная информация об этом проекте);
- 4000005207 – для события обнаружения записи известного проекта в ПЛК (если есть сохраненная информация об этом проекте, но полученная информация не совпадает с последней сохраненной информацией об этом проекте).
Вы можете настроить доступные параметры для типов событий в разделе Параметры → Типы событий.
Сведения о зарегистрированных событиях вы можете просмотреть при подключении к Серверу через веб-интерфейс.
В начало
Просмотр событий, связанных с устройствами
Вы можете просмотреть события, связанные с устройствами. Для загрузки событий автоматически применяется фильтрация по идентификаторам известных программе устройств с использованием значений MAC- и IP-адресов, которые указаны для устройств.
В таблице событий программа показывает события, в которых среди значений в графах Отправитель или Получатель присутствуют MAC- или IP-адреса выбранных устройств.
Возможность загрузки событий доступна, если выбрано не более 200 устройств.
Чтобы просмотреть события, связанные с устройствами:
- Выберите раздел Активы.
- На закладке Устройства выберите устройства, для которых вы хотите просмотреть события.
В правой части окна веб-интерфейса появится область деталей.
- В зависимости от того, какие события вы хотите загрузить, нажмите на одну из следующих кнопок (кнопки недоступны, если выбрано более 200 устройств):
- Показать события – если вы хотите просмотреть события с любым статусом.
- Показать необработанные события – если вы хотите просмотреть события со статусами Новое или В обработке.
Откроется раздел События. В таблице событий будет применена фильтрация по идентификаторам устройств. Список идентификаторов устройств, заданных для фильтрации событий, отобразится в поле ID устройств в панели инструментов. Если вы загрузили события с помощью кнопки Показать необработанные события, события будут дополнительно отфильтрованы по графе Статус.
В начало
Экспорт устройств в файл
Вы можете экспортировать сведения об устройствах в файлы следующих форматов:
- Формат CSV.
При экспорте в этот формат в файле сохраняется информация из граф, отображаемых в таблице в текущий момент, а также дополнительные поля и параметры контроля процесса в сведениях об устройствах.
- Формат JSON.
При экспорте в этот формат в файле сохраняется вся доступная информация об устройствах, включая служебную информацию из базы данных (например, сведения об событиях, с которыми связаны устройства). Файл можно использовать для загрузки подробных данных об устройствах в другие системы.
Экспорт можно выполнять для всех устройств, удовлетворяющих текущим параметрам фильтрации и поиска, или выборочно для устройств, отображаемых в таблице.
Чтобы экспортировать информацию о всех устройствах, удовлетворяющих текущим параметрам фильтрации и поиска:
- Выберите раздел Активы.
- По ссылке Экспорт в панели инструментов на закладке Устройства откройте меню для выбора формата сохраняемого файла.
- В открывшемся меню выберите пункт с нужным форматом файла: файл формата CSV или файл формата JSON.
- Если в меню выбран пункт файл формата CSV, отобразится запрос для выбора варианта сохранения параметров контроля процесса и тегов, связанных с устройствами. Если вы хотите сохранить в файле параметры контроля процесса и теги, установите флажок С параметрами контроля процесса и тегами и нажмите на кнопку Экспортировать.
Запустится процесс формирования файла.
- Если формирование файла занимает длительное время (более 15 секунд), операция по формированию файла переводится в список фоновых операций. В этом случае для загрузки файла выполните следующие действия:
- Нажмите на кнопку в меню веб-интерфейса программы.
Откроется список фоновых операций.
- Дождитесь завершения операции формирования файла.
- Нажмите на кнопку Загрузить файл.
- Нажмите на кнопку
Браузер сохранит загруженный файл. В зависимости от параметров, заданных в браузере, на экране может появиться окно для изменения пути и имени сохраняемого файла.
Чтобы экспортировать информацию о выбранных устройствах:
- Выберите раздел Активы.
- На закладке Устройства выберите устройства, информацию о которых вы хотите экспортировать в файл.
- По правой клавише мыши откройте контекстное меню одного из выбранных устройств.
- В контекстном меню выберите пункт, в которой указан нужный формат файла для экспорта (в CSV-файл или в JSON-файл).
- Если в меню выбран пункт для экспорта в файл формата CSV, отобразится запрос для выбора варианта сохранения параметров контроля процесса и тегов, связанных с устройствами. Если вы хотите сохранить в файле параметры контроля процесса и теги, установите флажок С параметрами контроля процесса и тегами и нажмите на кнопку Экспортировать.
Запустится процесс формирования файла. Если формирование файла занимает длительное время (более 15 секунд), выполните действия пункта 5, описанные в процедуре экспорта информации о всех устройствах.
Экспорт подсетей в файл
Вы можете экспортировать сведения о подсетях в файл формата JSON. В файле сохраняется основная информация о подсетях независимо от того, какие графы отображаются в таблице подсетей в текущий момент.
Экспорт можно выполнять для всех подсетей, удовлетворяющих текущим параметрам фильтрации и поиска, или выборочно для подсетей, отображаемых в таблице.
Чтобы экспортировать информацию о всех подсетях, удовлетворяющих текущим параметрам фильтрации и поиска:
- Выберите раздел Активы.
- По ссылке Экспорт в панели инструментов на закладке Подсети откройте меню для выбора формата сохраняемого файла.
- В открывшемся меню выберите пункт файл формата JSON.
Запустится процесс формирования файла.
- Если формирование файла занимает длительное время (более 15 секунд), операция по формированию файла переводится в список фоновых операций. В этом случае для загрузки файла выполните следующие действия:
- Нажмите на кнопку в меню веб-интерфейса программы.
Откроется список фоновых операций.
- Дождитесь завершения операции формирования файла.
- Нажмите на кнопку Загрузить файл.
- Нажмите на кнопку
Браузер сохранит загруженный файл. В зависимости от параметров, заданных в браузере, на экране может появиться окно для изменения пути и имени сохраняемого файла.
Чтобы экспортировать информацию о выбранных подсетях:
- Выберите раздел Активы.
- На закладке Подсети выберите подсети, информацию о которых вы хотите экспортировать в файл.
После выбора подсетей в правой части окна веб-интерфейса появится область деталей.
- В кнопке Экспортировать в нажмите на ту часть, в которой указан формат файла: JSON-файл.
Запустится процесс формирования файла. Если формирование файла занимает длительное время (более 15 секунд), выполните действия пункта 4, описанные в процедуре экспорта информации о всех устройствах.
Работа с картой сети
Карта сети – это визуальное отображение обнаруженных взаимодействий между устройствами промышленной сети. С помощью карты сети вы можете просматривать сведения о взаимодействиях устройств в различные периоды времени.
На карте сети могут отображаться следующие объекты:
- Узлы. Эти объекты обозначают отправителей и получателей сетевых пакетов.
- Группы устройств. Эти объекты соответствуют группам в дереве групп устройств. Группы содержат узлы, представляющие включенные в эти группы устройства, и дочерние группы.
- Соединения. Эти объекты обозначают взаимодействия между узлами.
Узлы и соединения появляются на карте сети на основании данных, полученных из трафика или от программ EPP за определенный промежуток времени. Группы устройств отображаются постоянно.
При необходимости вы можете использовать фильтрацию узлов и соединений. По умолчанию на карте сети в онлайн-режиме отображаются объекты с заданным периодом для фильтрации длительностью один час.
Объекты, требующие внимания, визуально выделяются на карте сети. Программа считает требующими внимания следующие объекты:
- Узел, если с этим узлом связаны необработанные события с уровнем важности Важные или Критические, либо если этот узел представляет устройство со статусом Неразрешенное.
- Соединение, если к нему относятся события с уровнем важности Важные или Критические. Учитываются события, зарегистрированные в течение заданного периода для фильтрации объектов. При этом текущий статус событий не учитывается.
- Группа, если она содержит устройства, требующие внимания, или есть требующие внимания соединения от узлов этой группы. Рассматриваются объекты как в самой группе, так и в любой дочерней группе всех уровней вложенности.
Узлы на карте сети
Узлы на карте сети могут быть следующих типов:
- Известное программе устройство. Узел этого типа представляет устройство, входящее в таблицу устройств.
- Неизвестное программе устройство. Узел этого типа представляет устройство с уникальным IP- или MAC-адресом, не входящее в таблицу устройств. Такой узел может появиться на карте сети, например, в случае отправки сетевых пакетов с помощью команды
pingна адрес несуществующего устройства. Узлы неизвестных программе устройств отображаются по отдельности, если их общее количество (в соответствии с текущими параметрами фильтрации на карте сети) не превышает 100. Если таких узлов больше, отображается один общий узел неизвестных устройств. - WAN. Узел этого типа представляет устройства глобальной сети (Wide Area Network), с которыми соединяются устройства из промышленной сети. Устройствами глобальной сети считаются все устройства, у которых IP-адреса принадлежат только известным программе подсетям с типом Публичная.
Отображаемая информация на узлах, представляющих известные программе устройства
Для узлов, представляющих известные программе устройства, при максимальном масштабе карты сети отображается следующее:
- Заданное имя устройства.
- Значок категории устройства.
- IP-адрес устройства (если IP-адрес не задан, отображается MAC-адрес).
- Различные значки в зависимости от выполнения следующих условий:
- если для устройства задан признак маршрутизирующего устройства;
- если на устройстве установлена программа EPP (цвет значка зависит от состояния подключения);
- если устройство имеет статус Неиспользуемое.
- Утолщенная линия на левой границе узла одного из следующих цветов в зависимости от состояния безопасности устройства:
- зеленый цвет – состояние безопасности ОК;
- желтый цвет – состояние безопасности Важные события;
- красный цвет – состояние безопасности Критические события.
Если устройство имеет статус Неразрешенное или состояние безопасности устройства отличается от состояния ОК, фон узла закрашен красным цветом.
Отображаемая информация на узлах, представляющих неизвестные программе устройства
Для узлов, представляющих неизвестные программе устройства, при максимальном масштабе карты сети отображается следующее:
- Если узел представляет одно неизвестное устройство, отображается IP- или MAC-адрес устройства. Если узел является общим узлом неизвестных устройств (узел, объединяющий более 100 неизвестных программе устройств), отображается Неизвестные устройства.
- Значок неизвестного устройства и его статуса
.
Узлы, представляющие неизвестные программе устройства, имеют серый цвет фона.
Отображаемая информация на узлах WAN
Для узлов WAN при максимальном масштабе карты сети отображается следующее:
- Имя узла: WAN.
- Значок узла WAN.
Группы устройств на карте сети
Группы из дерева групп устройств могут отображаться на карте сети в свернутом или развернутом состояниях. Свернутые группы отображаются в виде значков, аналогичных узлам. Развернутые группы отображаются в виде окон с включенными в них узлами и другими группами.
Отображаемая информация на свернутых группах
Если группа свернута, при максимальном масштабе карты сети отображается следующее:
- Имя группы.
- Количество устройств, удовлетворяющих текущим параметрам фильтрации на карте сети. Учитываются устройства в этой группе и в ее дочерних группах всех уровней вложенности.
- Количество дочерних групп всех уровней вложенности.
Если группа содержит устройства или соединения, требующие внимания, (в том числе в дочерних группах любого уровня вложенности), рамка этой группы окрашивается красным цветом.
Отображаемая информация на развернутых группах
Окно развернутой группы содержит заголовок с именем группы и область для отображения объектов. В окне группы отображаются включенные в эту группу устройства, а также дочерние группы следующего уровня вложенности. Из числа устройств, включенных в группу, отображаются только те устройства, которые удовлетворяют текущим параметрам фильтрации на карте сети.
Если группа содержит устройства или соединения, требующие внимания, (в том числе в дочерних группах любого уровня вложенности), окно закрашено красным фоном.
Сворачивание и разворачивание групп
Если группа свернута, вы можете ее развернуть двойным щелчком мыши на значке группы. Если группа развернута, вы можете ее свернуть двойным щелчком мыши на заголовке окна этой группы или с помощью кнопки 
в заголовке.
Чтобы одновременно развернуть несколько свернутых групп:
- На карте сети выберите несколько свернутых групп, выполнив одно из следующих действий:
- Удерживая нажатой клавишу SHIFT, выделите мышью прямоугольную область с нужными группами.
- Удерживая нажатой клавишу CTRL, выберите нужные свернутые группы с помощью мыши.
- Нажмите на кнопку
в панели инструментов, которая расположена в левой части области отображения карты сети (кнопка доступна, если выбрана хотя бы одна свернутая группа).
Чтобы одновременно свернуть все развернутые группы,
нажмите на кнопку в панели инструментов, которая расположена в левой части области отображения карты сети (кнопка доступна, если развернута хотя бы одна группа).
Соединения на карте сети
Соединения на карте сети определяются по обнаруженным сетевым пакетам, в которых адреса отправителей и получателей можно сопоставить с адресами узлов.
Каждое соединение показывает две стороны взаимодействия. Стороной взаимодействия в соединении может быть один из следующих объектов на карте сети:
- узел одного из типов:
- известное программе устройство;
- неизвестное программе устройство;
- общий узел неизвестных устройств – если соединение показывает взаимодействие с одним или несколькими неизвестными устройствами этого узла;
- узел WAN – если соединение показывает взаимодействие, в котором отправителем сетевых пакетов является устройство глобальной сети (IP-адрес принадлежит только известным программе подсетям с типом Публичная);
- свернутая группа, если соединение показывает взаимодействие с одним или несколькими устройствами в этой группе.
В зависимости от уровней важности событий, зарегистрированных при обнаружении взаимодействий, линия соединения может быть окрашена следующими цветами:
- Серый цвет – взаимодействие не вызвало регистрацию событий или зарегистрированы только события с уровнем важности Информационные.
- Красный цвет – взаимодействие вызвало регистрацию событий с уровнем важности Важные или Критические.
Для соединений учитываются события, зарегистрированные в течение заданного периода для фильтрации объектов. При этом текущий статус событий не учитывается.
Программа сохраняет данные о соединениях в базе данных на Сервере. Суммарный объем сохраняемых записей не может превышать заданного ограничения. Если объем превышает заданное ограничение, программа автоматически удаляет 10% самых старых записей. Вы можете задать ограничение максимального объема для карты сети при настройке параметров хранения данных на узле Сервера.
В начало
Просмотр подробных сведений об объектах
Подробные сведения об объектах, представленных на карте сети, отображаются в области деталей. Для отображения подробных сведений вы можете выбрать объект с помощью мыши (если вы хотите просмотреть сведения о группе, требуется сначала свернуть группу).
Для узлов отображаются следующие сведения:
- Если узел представляет известное программе устройство, в области деталей отображаются те же сведения, которые выводятся в таблице устройств.
- Если узел представляет одно неизвестное программе устройство, в области деталей отображаются MAC- и/или IP-адреса устройства.
- Если выбран общий узел неизвестных устройств, отображаются следующие сведения:
- Количество узлов, которые объединяет этот узел с учетом текущих параметров фильтрации.
- IP-адреса – количество IP-адресов неизвестных устройств и первые 100 IP-адресов. Раздел отображается, если среди узлов неизвестных устройств есть узлы с IP-адресами.
- MAC-адреса – количество MAC-адресов неизвестных устройств и первые 100 MAC-адресов. Раздел отображается, если среди узлов неизвестных устройств есть узлы с MAC-адресами.
- Если выбран узел WAN, отображаются следующие сведения:
- Исключить заданные адреса – признак исключения из группы устройств всех устройств, адреса которых входят в перечисленные подсети.
- Подсети – раздел со списком известным программе подсетям, для которых указан тип Публичная (внешние сети).
Для групп отображаются следующие сведения:
- Количество устройств и групп в выбранной группе и в ее дочерних группах всех уровней вложенности.
- Путь к группе в дереве групп устройств. Если группа относится к верхнему уровню иерархии, отображается Группа верхнего уровня.
- Сведения о количестве объектов, требующих внимания, в выбранной группе и в ее дочерних группах всех уровней вложенности. Если таких объектов нет, отображается состояние безопасности ОК.
Для соединений отображаются следующие сведения:
- Уровень важности – значок, соответствующий максимальному уровню важности событий, связанных с соединением. Если с соединением не связано ни одно событие, отображается Без событий. Учитываются события, зарегистрированные в течение заданного периода для фильтрации объектов. При этом текущий статус событий не учитывается.
- Разделы с основными сведениями о первой и второй сторонах взаимодействия:
- Если стороной взаимодействия является узел известного устройства или узел неизвестного устройства, в разделе отображается имя или адрес устройства, категория и адресная информация (при этом для известного программе устройства адресная информация представлена только по тем сетевым интерфейсам, которые использовались при взаимодействии).
- Если стороной взаимодействия является свернутая группа, в разделе отображается имя группы и количество устройств и дочерних групп в ней.
- Если стороной взаимодействия является общий узел неизвестных устройств, в разделе отображается имя узла Неизвестные устройства и количество узлов, объединенных в этом узле.
- Если одной из сторон взаимодействия является свернутая группа, отображаются сведения о количестве соединений, обозначенных выбранным соединением:
- Всего соединений – общее количество соединений с устройствами свернутой группы.
- Список с количественным распределением соединений по уровням важности связанных с ними событий (в том числе указывается количество соединений, с которыми не связано ни одно событие). Рядом с элементами списка отображаются ссылки для просмотра подробных сведений об элементах. По ссылке К устройствам вы можете перейти на закладку Устройства в разделе Активы и отфильтровать устройства, относящиеся к соединениям. По ссылке К событиям вы можете перейти в раздел События и отфильтровать события, с которыми связаны соединения.
- Протоколы – раздел со списком протоколов, используемых при взаимодействии. Для каждого протокола указан объем переданных данных, вычисленный по обнаруженным сетевым пакетам. Раздел не отображается, если одной из сторон взаимодействия является общий узел неизвестных устройств.
Изменение масштаба карты сети
Карта сети может отображаться в масштабе 1–100%. Текущее значение масштаба отображается в панели инструментов, которая расположена в левой части области отображения карты сети.
Чтобы изменить масштаб карты сети,
используйте колесико мыши или кнопки + и –, расположенные в панели инструментов рядом с текущим значением масштаба.
При уменьшении масштаба карты сети сокращается объем выводимой информации в узлах и свернутых группах.
В масштабе отображения менее 25% в узлах и свернутых группах не отображаются значки и текстовая информация. Узлы и свернутые группы видоизменяются следующим образом:
- На узле, представляющем известное программе устройство, в правом верхнем углу отображается статус устройства в виде треугольника одного из следующих цветов:
- зеленый цвет – устройство имеет статус Разрешенное;
- красный цвет – устройство имеет статус Неразрешенное;
- серый цвет – устройство имеет статус Неиспользуемое.
- На узле WAN появляется утолщенная линия черного цвета на левой границе узла.
- На свернутой группе в правом верхнем углу отображается треугольник, который обозначает признак наличия объектов, требующих внимания. Треугольник закрашен одним из следующих цветов:
- зеленый цвет – группа не содержит объектов, требующих внимания;
- красный цвет – группа содержит объекты, требующие внимания.
Позиционирование карты сети
При необходимости вы можете изменить позиционирование карты сети вручную или автоматически. Автоматическое позиционирование позволяет переместить карту сети и изменить ее масштаб таким образом, чтобы на экране отображались все узлы, удовлетворяющие заданным параметрам фильтрации, а также все развернутые группы.
Чтобы позиционировать карту сети вручную:
- Наведите курсор мыши на любое место карты сети, не занятое объектами.
- Удерживая нажатой левую клавишу мыши, перетащите изображение карты сети.
Чтобы автоматически позиционировать карту сети,
нажмите на кнопку 
в панели инструментов, которая расположена в левой части области отображения карты сети.
Позиционирование и масштаб карты сети изменятся для отображения всех узлов и развернутых групп.
В начало
Закрепление и открепление узлов и групп
По умолчанию узлы и свернутые группы не закреплены на карте сети. Незакрепленные узлы и свернутые группы могут автоматически перемещаться для оптимального отображения остальных объектов.
Закрепление узлов и групп происходит при изменении их местоположения вручную или при автоматическом распределении. Также вы можете закрепить текущее местоположение отображаемых объектов, не перемещая их.
Для закрепления и открепления объектов без их перемещения вы можете использовать следующие элементы интерфейса:
- Кнопки в панели инструментов, которая расположена в левой части области отображения карты сети. С помощью кнопок
и 
вы можете закрепить и открепить все узлы и группы, отображаемые на карте сети (в том числе узлы в развернутых группах). - Кнопки в заголовке окна развернутой группы. С помощью кнопок и вы можете закрепить и открепить только узлы и группы в окне развернутой группы (но не в окнах вложенных групп).
Кнопки доступны, если на карте сети есть объекты, к которым можно применить соответствующие действия.
После того, как местоположение узла или свернутой группы закреплено, в правом верхнем углу этого элемента отображается значок (если для карты сети задан масштаб не менее 25%). Вы также можете использовать этот значок для открепления объекта.
Местоположение закрепленного узла или закрепленной группы сохраняется. Если закрепленный узел перестал отображаться на карте сети (например, после применения фильтрации), при следующем появлении этот узел отобразится на том же месте.
В начало
Изменение местоположения узлов и групп вручную
Вы можете вручную изменять местоположение узлов и групп на карте сети, распределяя их наиболее удобным для вас способом.
После перемещения узлы и группы закрепляются на новом местоположении. При необходимости вы можете откреплять эти объекты.
Объекты, включенные в группы, можно перемещать только в пределах окон этих групп.
Чтобы изменить местоположение узлов и/или свернутых групп:
- На карте сети выберите один или несколько объектов, представляющих узлы и/или свернутые группы.
Для выбора нескольких узлов и/или свернутых групп выполните одно из следующих действий:
- Удерживая нажатой клавишу SHIFT, выделите мышью прямоугольную область с нужными объектами.
- Удерживая нажатой клавишу CTRL, выберите нужные объекты с помощью мыши.
- С помощью мыши перетащите выбранные объекты в нужное место.
После перемещения узлы и свернутые группы останутся закрепленными. В этих объектах появится значок .
Чтобы изменить местоположение развернутой группы,
наведите курсор на заголовок окна развернутой группы, нажмите на левую клавишу мыши и перетащите окно в нужное место.
В начало
Автоматическое распределение узлов и групп
Для оптимального размещения объектов на карте сети вы можете использовать алгоритмы автоматического изменения местоположения (распределения) узлов и групп. Предусмотрены следующие алгоритмы:
- распределение по радиальному принципу;
- распределение с выравниванием по сетке.
Вы можете использовать алгоритмы автоматического распределения для следующих объектов:
- Все отображаемые узлы и группы, относящиеся к верхнему уровню иерархии в дереве групп. Автоматическое распределение выполняется с помощью кнопок
(для распределения по радиальному принципу) и 
(для распределения с выравниванием по сетке) в панели инструментов, которая расположена в левой части области отображения карты сети. - Все отображаемые узлы и группы внутри развернутой группы. Автоматическое распределение выполняется с помощью кнопок (для распределения по радиальному принципу) и (для распределения с выравниванием по сетке) в заголовке окна развернутой группы.
- Только выбранные узлы и свернутые группы. Перед автоматическим распределением вам нужно выбрать не менее трех узлов и/или свернутых групп внутри развернутой группы или на верхнем уровне иерархии. Для выбора нескольких объектов вы можете выделить мышью прямоугольную область с нужными объектами, удерживая нажатой клавишу SHIFT, или выбрать нужные объекты с помощью мыши, удерживая нажатой клавишу CTRL. Автоматическое распределение выполняется с помощью кнопок
(для распределения по радиальному принципу) и 
(для распределения с выравниванием по сетке) в панели инструментов, которая расположена в левой части области отображения карты сети.
После автоматического распределения узлы и группы закрепляются на новом месте. В этих объектах появляется значок . При необходимости вы можете открепить эти объекты.
Фильтрация объектов на карте сети
Для ограничения количества узлов и соединений, отображаемых на карте сети, вы можете использовать следующие функции:
- Функции для комплексной фильтрации узлов и соединений:
- Функции для фильтрации узлов:
- Функции для фильтрации соединений:
- Сброс параметров фильтрации
Сохранение и загрузка параметров отображения карты сети
Программа позволяет сохранить текущие параметры отображения карты сети. Набор сохраняемых параметров отображения называется видом. Вы можете использовать виды для применения сохраненных в них параметров на карте сети (например, чтобы быстро восстановить параметры отображения после каких-либо изменений или для работы с картой сети на другом компьютере).
При сохранении вида карты сети сохраняются следующие параметры отображения:
- масштаб;
- позиционирование карты сети;
- местоположение закрепленных узлов и групп;
- фильтрация узлов и соединений.
В программе можно сохранить и использовать не более 10 наборов параметров, представляющих различные виды карты сети.
Управлять списком видов карты сети (в том числе сохранять текущие параметры отображения) могут только пользователи с ролью Администратор. При этом просматривать список видов и применять сохраненные наборы параметров могут как пользователи с ролью Администратор, так и пользователи с ролью Оператор.
Для работы с видами карты сети вы можете использовать следующие функции:
- Добавление нового вида с сохранением текущих параметров отображения карты сети
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- В разделе Карта сети настройте параметры отображения карты сети.
- Откройте окно Настройка видов карты сети по ссылке Настроить виды.
- Нажмите на кнопку Добавить.
- В поле ввода введите имя вида.
Вы можете использовать буквы, цифры, пробел, а также следующие специальные символы:
! @ # № $ % ^ & ( ) [ ] { } ' , . - _.Имя вида должно удовлетворять следующим требованиям:
- начинается и заканчивается любым символом, кроме пробела;
- содержит до 100 символов;
- не совпадает с именем другого вида (регистр символов не учитывается).
- Нажмите на значок справа от поля ввода.
- Обновление вида с сохранением текущих параметров отображения карты сети
- Переименование вида карты сети
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- В разделе Карта сети откройте окно Настройка видов карты сети по ссылке Настроить виды.
- Выберите вид, который вы хотите переименовать.
- Нажмите на значок справа от текущего имени вида.
- В поле ввода введите новое имя вида.
Вы можете использовать буквы, цифры, пробел, а также следующие специальные символы:
! @ # № $ % ^ & ( ) [ ] { } ' , . - _.Имя вида должно удовлетворять следующим требованиям:
- начинается и заканчивается любым символом, кроме пробела;
- содержит до 100 символов;
- не совпадает с именем другого вида (регистр символов не учитывается).
- Нажмите на значок справа от поля ввода.
- Удаление вида карты сети
- Применение на карте сети параметров, сохраненных в виде
Поиск узлов на карте сети
Вы можете выполнять поиск узлов на карте сети по сведениям об этих узлах. В поиске участвуют все узлы, удовлетворяющие текущим параметрам фильтрации, в том числе находящиеся в свернутых группах или за пределами отображаемой части карты сети.
Для узлов, представляющих известные программе устройства, поиск выполняется по всем графам таблицы устройств, кроме граф Статус, Состояние безопасности, Последнее появление, Последнее изменение и Создано. Поиск также выполняется по значениям пользовательских полей для устройств.
Чтобы найти нужные узлы на карте сети,
в разделе Карта сети введите поисковый запрос в поле Поиск узлов. Поиск инициируется по мере ввода символов в строку поиска.
Если найдены узлы, удовлетворяющие поисковому запросу, контуры этих узлов подсвечиваются желтым цветом. Аналогично подсвечиваются контуры свернутых групп, в которых найдены узлы. При этом в правой части поля Поиск узлов появляются следующие элементы:
- Порядковый номер текущего выбранного объекта (узла или свернутой группы с найденными узлами) среди результатов поиска.
- Общее количество найденных объектов (узлов и/или свернутых групп с найденными узлами).
В общем количестве найденных объектов не учитывается количество узлов в свернутых группах. Если вы хотите, чтобы узлы в группах также учитывались в результатах поиска, разверните свернутые группы.
- Стрелки для переходов между найденными объектами. Переходы выполняются в алфавитном порядке имен найденных объектов. При переходе к очередному объекту карта сети автоматически позиционируется для отображения этого объекта.
Просмотр событий, связанных с узлами известных программе устройств
Для узлов на карте сети, представляющих известные программе устройства, вы можете просмотреть связанные с ними события. При загрузке событий автоматически применяется фильтрация по идентификаторам известных программе устройств с использованием значений MAC- и IP-адресов, которые указаны для устройств.
Возможность загрузки событий доступна, если выбрано не более 200 узлов на карте сети. Вы можете выбирать нужные узлы как по отдельности, так и в составе свернутых групп, включающих нужные устройства. При выборе свернутой группы в выборку устройств также попадают все устройства в дочерних группах любого уровня вложенности.
Чтобы просмотреть события, связанные с устройствами:
- На карте сети выберите один или несколько объектов, представляющих узлы известных программе устройств и/или свернутые группы.
Для выбора нескольких узлов и/или групп выполните одно из следующих действий:
- Удерживая нажатой клавишу SHIFT, выделите мышью прямоугольную область с нужными объектами.
- Удерживая нажатой клавишу CTRL, выберите нужные объекты с помощью мыши.
В правой части окна веб-интерфейса появится область деталей. В области деталей отобразится общее количество выбранных узлов и групп с количественным распределением выбранных объектов по типам.
- Если выбранные объекты относятся к различным типам или категориям устройств, вы можете исключить объекты определенных типов (например, узлы неизвестных программе устройств) или категорий (например, ПЛК). Для этого снимите флажок рядом с названием типа или категории.
- В зависимости от того, какие события вы хотите загрузить, нажмите на одну из следующих кнопок (кнопки недоступны, если общее количество известных программе устройств в выборке превышает 200):
- Показать события – если вы хотите просмотреть события с любым статусом.
- Показать необработанные события – если вы хотите просмотреть события со статусами Новое или В обработке.
Откроется раздел События. В таблице событий будет применена фильтрация по идентификаторам устройств, которым соответствуют выбранные узлы на карте сети (появится поле ID устройств в панели инструментов). Если вы загрузили события с помощью кнопки Показать необработанные события, события дополнительно отфильтруются по графе Статус.
В начало
Просмотр событий, связанных с соединением
Для соединений на карте сети вы можете просмотреть связанные с ними события. При загрузке событий применяется фильтрация по идентификаторам событий, связанных с соединением, и по периоду времени.
Для загрузки событий, связанных с соединениями, вы можете использовать следующие способы:
- Загрузка событий, связанных с выбранным соединением. Этот способ можно использовать для любых соединений, кроме соединений с общим узлом неизвестных устройств.
- Загрузка событий, связанных с соединениями с узлами в свернутой группе.
Программа загружает для просмотра не более 200 событий, связанных с соединением. Если событий больше, в первую очередь отбираются события с наиболее высокими уровнями важности и с наиболее поздним временем появления событий.
Чтобы просмотреть события, связанные с соединением:
- На карте сети выберите соединение (кроме соединения, в котором одной из сторон взаимодействия является общий узел неизвестных устройств).
В правой части окна веб-интерфейса появится область деталей.
- В зависимости от того, какие события вы хотите загрузить, нажмите на одну из следующих кнопок (кнопки доступны, если есть события, связанные с соединением):
- Показать события – если вы хотите просмотреть события с любым статусом.
- Показать необработанные события – если вы хотите просмотреть события со статусами Новое или В обработке.
- Если в течение периода времени, заданного на карте сети, было зарегистрировано более 200 событий, связанных с соединением, отобразится предупреждение о большом количестве событий. Для загрузки событий с наиболее высокими уровнями важности подтвердите решение в окне запроса.
Откроется раздел События. В таблице событий будет применена фильтрация по идентификаторам событий и по периоду времени, заданному на карте сети. Если вы загрузили события с помощью кнопки Показать необработанные события, события дополнительно отфильтруются по графе Статус.
Чтобы просмотреть события, связанные с соединениями узлов в свернутых группах:
- На карте сети выберите соединение, показывающее взаимодействия с узлами в свернутой группе.
В правой части окна веб-интерфейса появится область деталей. Блок параметров Всего соединений: <количество> содержит список максимальных уровней важности событий в соединениях с узлами свернутой группы. Для каждого уровня важности отображается количество соединений с этим уровнем важности. Отображаются только те уровни важности, с которыми есть соединения с узлами свернутой группы. Если есть соединения, с которыми не связано ни одно событие, отображается Без событий с количеством таких соединений.
- Загрузите события по ссылке К событиям в строке с нужным уровнем важности.
Вы можете загрузить следующие события:
- для уровня Критические – загружаются события, связанные с соединениями с уровнем важности Критические;
- для уровня Важные – загружаются события, связанные с соединениями с уровнями важности Важные и Критические;
- для уровня Информационные – загружаются события, связанные с соединениями с уровнями важности Информационные, Важные и Критические.
- Если в течение периода времени, заданного на карте сети, было зарегистрировано более 200 событий, связанных с соединениями выбранных уровней важности, отобразится предупреждение о большом количестве событий. Для загрузки событий с наиболее высокими уровнями важности подтвердите решение в окне запроса.
Откроется раздел События. В таблице событий будет применена фильтрация по идентификаторам событий и по периоду времени, заданному на карте сети.
В начало
Просмотр сведений в таблице устройств по выбранным узлам
Для узлов на карте сети, представляющих известные программе устройства, вы можете просмотреть сведения в таблице устройств. В таблице устройств автоматически применяется фильтрация по идентификаторам известных программе устройств.
Возможность загрузки сведений доступна, если выбрано не более 200 узлов, представляющих известные программе устройства. Вы можете выбирать нужные узлы как по отдельности, так и в составе свернутых групп, включающих нужные устройства. При выборе свернутой группы в выборку устройств также попадают все устройства в дочерних группах любого уровня вложенности.
Чтобы просмотреть сведения об устройствах в таблице устройств:
- На карте сети выберите один или несколько объектов, представляющих узлы известных программе устройств и/или свернутые группы.
Для выбора нескольких узлов и/или групп выполните одно из следующих действий:
- Удерживая нажатой клавишу SHIFT, выделите мышью прямоугольную область с нужными объектами.
- Удерживая нажатой клавишу CTRL, выберите нужные объекты с помощью мыши.
В правой части окна веб-интерфейса появится область деталей. В области деталей отобразится общее количество выбранных узлов и групп с количественным распределением выбранных объектов по типам.
- Если выбранные объекты относятся к различным типам или категориям устройств, вы можете исключить объекты определенных типов (например, узлы неизвестных программе устройств) или категорий (например, ПЛК). Для этого снимите флажок рядом с названием типа или категории.
- В зависимости от количества выбранных объектов нажмите на кнопку Показать устройство или Показать устройства (кнопка Показать устройства недоступна, если общее количество известных программе устройств в выборке превышает 200).
Откроется раздел Активы. В таблице устройств на закладке Устройства будет применена фильтрация по идентификаторам устройств, которым соответствуют выбранные узлы на карте сети.
В начало
Просмотр сведений в таблице устройств по выбранному соединению
Для соединений на карте сети вы можете просмотреть сведения об известных программе устройствах, участвовавших во взаимодействиях. Для загрузки сведений выполняется переход к таблице устройств. В таблице устройств автоматически применяется фильтрация по идентификаторам известных программе устройств.
Вы можете просматривать сведения в таблице устройств только для соединений с узлами в свернутых группах.
Программа загружает для просмотра не более 200 устройств, относящихся к соединениям с узлами в свернутых группах. Если устройств больше, в первую очередь отбираются устройства, относящиеся к соединениям с наиболее высокими уровнями важности.
Чтобы просмотреть сведения об устройствах, относящихся к соединениям с узлами в свернутых группах:
- На карте сети выберите соединение, показывающее взаимодействия с узлами в свернутой группе.
В правой части окна веб-интерфейса появится область деталей. Блок параметров Всего соединений: <количество> содержит список максимальных уровней важности событий в соединениях с узлами свернутой группы. Для каждого уровня важности отображается количество соединений с этим уровнем важности. Отображаются только те уровни важности, с которыми есть соединения с узлами свернутой группы. Если есть соединения, с которыми не связано ни одно событие, отображается Без событий с количеством таких соединений.
- Загрузите сведения об устройствах по ссылке К устройствам в строке с нужным уровнем важности.
Вы можете загрузить следующие сведения об устройствах:
- для уровня Критические – загружаются сведения об устройствах, относящихся к соединениям с уровнем важности Критические;
- для уровня Важные – загружаются сведения об устройствах, относящихся к соединениям с уровнями важности Важные и Критические;
- для уровня Информационные – загружаются сведения об устройствах, относящихся к соединениям с уровнями важности Информационные, Важные и Критические;
- для уровня Без событий – загружаются сведения об устройствах, относящихся к соединениям со всеми уровнями важности.
- Если общее количество известных программе устройств в выборке превысило 200, отобразится предупреждение о большом количестве устройств. Для загрузки устройств, относящиеся к соединениям с наиболее высокими уровнями важности, подтвердите решение в окне запроса.
Откроется раздел Активы. В таблице устройств на закладке Устройства будет применена фильтрация по идентификаторам устройств.
В начало
Мониторинг событий и инцидентов
При анализе трафика промышленной сети программа регистрирует события и инциденты.
Событие в Kaspersky Industrial CyberSecurity for Networks – это запись, содержащая информацию об обнаружении в трафике промышленной сети определенных изменений или условий, которые требуют внимания специалиста по безопасности АСУ ТП. События регистрируются и передаются на Сервер Kaspersky Industrial CyberSecurity for Networks. Сервер обрабатывает полученные события и сохраняет их в базе данных.
Инцидент – это событие особого типа, которое регистрируется при получении определенной последовательности событий. Инциденты группируют события, имеющие некоторые общие признаки или относящиеся к одному процессу.
Программа регистрирует инциденты по правилам корреляции событий. Правило корреляции событий описывает условия для проверки последовательностей событий. При обнаружении последовательности событий, удовлетворяющих условиям правила, программа регистрирует инцидент, в котором указано название сработавшего правила. Для регистрации инцидентов используется системный тип события, которому присвоен код 8000000001.
Правила корреляции событий встроены в программу и применяются независимо от политики безопасности.
После установки программы используются исходные правила корреляции событий. Для повышения эффективности работы правил специалисты "Лаборатории Касперского" регулярно обновляют базы с наборами правил. Вы можете обновлять правила корреляции, устанавливая обновления.
Сервер Kaspersky Industrial CyberSecurity for Networks регистрирует события и инциденты в соответствии с параметрами, заданными для регистрации типов событий. Вы можете настроить эти параметры в разделе Типы событий (для всех типов событий) и при настройке правил контроля процесса (только для событий, регистрируемых при срабатывании правил контроля процесса).
Для сокращения количества часто повторяющихся событий, которые не требуют внимания оператора, предусмотрена возможность создания разрешающих правил на события. События, удовлетворяющие разрешающим правилам, не регистрируются. Например, с помощью разрешающего правила можно временно выключить регистрацию всех событий с определенной точки мониторинга. Вы можете просматривать разрешающие правила для событий в разделе Разрешающие правила. Для таких правил указан тип EVT.
Программа сохраняет события и инциденты в базе данных на Сервере. Суммарный объем сохраняемых записей не может превышать заданного ограничения. Если объем превышает заданное ограничение, программа автоматически удаляет 10% самых старых записей. При этом если включено ограничение на минимальное время хранения, при удалении записей, время хранения которых меньше заданного ограничения, в журнале сообщений программы появляется соответствующее сообщение. Вы можете настроить параметры хранения событий и инцидентов.
Файлы базы данных сохраняются на Сервере в директориях СУБД. Удаление или изменение любого файла в этих директориях может привести к нарушению работоспособности программы.
Вы можете просматривать информацию о событиях и инцидентах в следующих разделах веб-интерфейса Kaspersky Industrial CyberSecurity for Networks:
- Раздел Мониторинг – отображает общую информацию о последних событиях и инцидентах, зарегистрированных программой.
- Раздел События – отображает подробную информацию о событиях и инцидентах и предоставляет возможность загрузки информации из базы данных Сервера за любой период.
Уровни важности событий
События и инциденты в Kaspersky Industrial CyberSecurity for Networks классифицируются по следующим уровням важности:
- Информационные (обозначаются значком ).
Информационные события и инциденты содержат сведения справочного характера. Эти события обычно не требуют немедленной реакции.
- Важные (обозначаются значком ).
Важные события и инциденты содержат сведения, на которые нужно обратить внимание. Эти события могут требовать реакции.
- Критические (обозначаются значком ).
Критические события и инциденты содержат сведения, которые могут оказать критическое влияние на технологический процесс. Эти события требуют немедленной реакции.
Вы можете задать уровни важности для пользовательских типов событий. Уровни важности для системных типов событий (включая события инцидентов) присваиваются программой автоматически.
В начало
Технологии регистрации событий
Kaspersky Industrial CyberSecurity for Networks регистрирует события по одной из следующих технологий:
- Контроль технологического процесса (DPI).
По этой технологии регистрируются события, связанные с нарушениями технологического процесса (например, событие при превышении заданного значения температуры).
- Контроль целостности сети (NIC).
По этой технологии регистрируются события, связанные с целостностью промышленной сети или с безопасностью взаимодействий (например, событие при обнаружении взаимодействия устройств в промышленной сети по новому для этих устройств протоколу).
- Обнаружение вторжений (IDS).
По этой технологии регистрируются события, связанные с обнаружением в трафике аномалий, которые являются признаками атак (например, событие при обнаружении признаков ARP-спуфинга).
- Контроль системных команд (CC).
По этой технологии регистрируются события, связанные с обнаружением в трафике системных команд для устройств (например, событие при обнаружении неразрешенной системной команды).
- Внешние системы (EXT).
К этой технологии относятся инциденты, а также события, которые поступают в Kaspersky Industrial CyberSecurity for Networks от сторонних систем с использованием методов Kaspersky Industrial CyberSecurity for Networks API.
- Контроль активов (AM).
По этой технологии регистрируются события, связанные с обнаружением информации об устройствах в трафике или в полученных данных от EPP-программ (например, событие при обнаружении нового IP-адреса у устройства).
- Защита конечных устройств (EPP).
По этой технологии регистрируются события об угрозах, обнаруженных программами "Лаборатории Касперского", которые выполняют функции защиты рабочих станций и серверов (например, событие при обнаружении вредоносной программы).
Статусы событий
Статусы событий и инцидентов позволяют отобразить в программе последовательность обработки полученной информации специалистом по безопасности АСУ ТП.
Событиям и инцидентам могут быть присвоены следующие статусы:
- Новое (обозначается значком
).Этот статус присваивается всем событиям и инцидентам при их регистрации в Kaspersky Industrial CyberSecurity for Networks.
- В обработке (обозначается значком
).Этот статус вы можете присвоить событиям и инцидентам, которые находятся в обработке (например, во время расследования причин регистрации этих событий и инцидентов).
- Обработано (обозначается значком
).Этот статус вы можете присвоить событиям и инцидентам, которые уже обработаны (например, завершено расследование причин их регистрации).
После присвоения статуса Обработано события и инциденты с этим статусом не учитываются программой при определении состояний безопасности устройств, отображаемых в таблице устройств и на карте сети.
Изменение статусов событий и инцидентов выполняется вручную. Вы можете последовательно присваивать статусы в порядке от статуса Новое до статуса Обработано (при этом можно не присваивать промежуточный статус В обработке). После изменения статуса события или инцидента ему невозможно присвоить предыдущий статус.
В начало
Таблица зарегистрированных событий
Вы можете просмотреть таблицу зарегистрированных событий и инцидентов в разделе События веб-интерфейса программы.
По умолчанию таблица зарегистрированных событий и инцидентов обновляется в онлайн-режиме. В начале таблицы отображаются события и инциденты с наиболее поздними значениями даты и времени последнего появления.
Дата и время последнего появления события или инцидента может не совпадать с датой и временем его регистрации (дата и время регистрации отображается в графе Начало). Для события дата и время последнего появления может обновляться в течение времени разрешения повтора для типа этого события. Для инцидента дата и время последнего появления обновляется в соответствии с датой и временем последнего появления событий, входящих в инцидент.
При работе с таблицей событий и инцидентов вы можете выполнять следующие действия:
- управлять отображением событий в инцидентах;
- фильтровать события;
- осуществлять поиск событий;
- сортировать события;
- настраивать таблицу зарегистрированных событий;
- просматривать подробные данные о событии;
- изменять статусы событий;
- просматривать в таблице устройств сведения по событиям;
- просматривать на карте сети узлы и соединения по событиям;
- устанавливать метки;
- копировать события в текстовый редактор;
- экспортировать события в файл;
- загружать трафик событий.
Параметры отображения таблицы событий (например, параметры фильтрации) автоматически сохраняются для текущего пользователя программы. Сохраненные параметры применяются при следующем подключении этого пользователя к Серверу, если для подключения используются те же компьютер, браузер и учетная запись операционной системы.
В начало
Выбор событий в таблице событий
В таблице событий вы можете выбирать события и инциденты для просмотра сведений и для работы с этими событиями и инцидентами. При выборе событий и инцидентов в правой части окна веб-интерфейса появляется область деталей.
Чтобы выбрать нужные события и/или инциденты, выполните одно из следующих действий:
- Если вы хотите выбрать одно событие или инцидент, установите флажок напротив этого события или инцидента или выберите его с помощью мыши.
- Если вы хотите выбрать несколько событий и/или инцидентов, установите флажки напротив нужных событий и/или инцидентов или выберите их, удерживая нажатой клавишу CTRL или SHIFT. При выборе нескольких событий и/или инцидентов программа проверяет их статус и определяет наличие событий и/или инцидентов со статусами Новое, В обработке и Обработано среди выбранных.
- Если вы хотите выбрать все события и инциденты, удовлетворяющие текущим параметрам фильтрации и поиска, выполните одно из следующих действий:
- выберите любое событие или инцидент в таблице и нажмите комбинацию клавиш CTRL+A;
- установите флажок в заголовке левой крайней графы таблицы.
При выборе нескольких событий и/или инцидентов в области деталей отображается общее количество выбранных элементов. При этом вложенные элементы свернутых инцидентов (события и другие инциденты) не учитываются.
Если вы выбрали все события и инциденты, удовлетворяющие текущим параметрам фильтрации и поиска, вложенные элементы свернутых инцидентов учитываются в общем количестве выбранных элементов. В области деталей отображается одно из следующих значений:
- Если выбрано до 1000 событий и инцидентов включительно, отображается точное количество. В этом случае программа проверяет статусы выбранных событий и инцидентов, как и при других способах выбора нескольких элементов.
- Если выбрано более 1000 событий и инцидентов, отображается
1000+. В этом случае программа не проверяет статусы выбранных событий и инцидентов.
В заголовке левой крайней графы таблицы отображается флажок выбора событий и инцидентов. В зависимости от количества выбранных элементов в таблице флажок может быть в одном из следующих состояний:
- – в таблице не выполнялся выбор всех событий и инцидентов, удовлетворяющих текущим параметрам фильтрации и поиска. При этом в таблице может быть выбрано одно событие/инцидент или выбрано несколько событий и/или инцидентов с помощью флажков напротив событий и инцидентов или с использованием клавиш CTRL или SHIFT.
- – в таблице выбраны все события и инциденты, удовлетворяющие текущим параметрам фильтрации и поиска.
- – в таблице были выбраны все события и инциденты, удовлетворяющие текущим параметрам фильтрации и поиска, и после этого для некоторых из них были сняты флажки. Это состояние сохраняется и в случае, если флажки сняты для всех событий и инцидентов, выбранных таким способом (из-за того, что количество выбранных событий и инцидентов может измениться).
Если выбраны все события и инциденты, удовлетворяющие параметрам фильтрации и поиска, количество выбранных элементов может автоматически изменяться. Например, если зарегистрированы новые события или инциденты. Рекомендуется настраивать параметры фильтрации и поиска таким образом, чтобы в выборку попали только нужные элементы (например, перед выбором всех событий и инцидентов вы можете отфильтровать события по идентификаторам).
В начало
Просмотр событий, включенных в инцидент
Для просмотра событий, включенных в инциденты, в таблице событий предусмотрены следующие режимы:
- Простой режим отображения. В этом режиме в таблице событий отображаются все события без учета вложенности событий в инциденты.
- Режим отображения структур. В этом режиме инциденты отображаются в виде структур, которые могут быть свернуты и развернуты с помощью кнопок
и 
рядом с заголовками инцидентов.
Вы можете изменить режим отображения при настройке таблицы событий.
В начало
Фильтрация событий
Для ограничения количества событий и инцидентов, отображаемых в таблице событий, вы можете использовать следующие функции:
- Фильтрация по стандартным периодам
- Фильтрация по заданному периоду
- Фильтрация по графам таблицы
Вы можете настроить фильтрацию событий и инцидентов по значениям во всех графах, кроме граф Завершение, Заголовок и Описание.
Чтобы отфильтровать таблицу событий по графе Начало:
- В разделе События нажмите на значок фильтрации в графе Начало.
Откроется календарь.
- В календаре задайте дату начальной и конечной границ периода фильтрации. Для этого выберите дату в календаре (при этом будет указано текущее время) или введите значение вручную в формате ДД.ММ.ГГГГ чч:мм:сс. Если указывать дату и время границы периода фильтрации не требуется, вы можете не выбирать дату или удалить текущее значение.
- Нажмите на кнопку OK.
Чтобы отфильтровать таблицу событий по графе Важность, Технология, Статус, Точка мониторинга или Метка:
- В разделе События нажмите на значок фильтрации в нужной графе.
При фильтрации по уровням важности или по технологиям вы также можете воспользоваться соответствующими кнопками в панели инструментов.
Откроется окно фильтрации.
- Установите флажки напротив значений, по которым вы хотите выполнить фильтрацию. Для выбора всех значений в графах Метка и Технология вы можете установить флажок Все.
- Нажмите на кнопку OK.
Чтобы отфильтровать таблицу событий по графе Отправитель или Получатель:
- В разделе События нажмите на значок фильтрации в нужной графе.
Откроется окно фильтрации.
- В полях Включая и Исключая выберите в раскрывающихся списках типы адресных блоков, которые вы хотите включить в фильтрацию и/или исключить из фильтрации. Вы можете выбрать следующие типы адресных блоков:
- IP-адрес.
- Номер порта.
- MAC-адрес.
- Адрес прикладного уровня.
- VLAN ID.
- Комплексный – если вы хотите указать несколько адресных блоков разных типов, объединенных логическим оператором И. Для добавления адресных блоков разных типов используйте кнопку Добавить условие (И).
- Если вы хотите применить несколько условий фильтрации по типам адресных блоков, объединенных логическим оператором ИЛИ, в окне фильтрации нажмите на кнопку Добавить условие (ИЛИ) и выберите нужные типы адресов.
- Если вы хотите удалить одно из созданных условий фильтрации, в окне фильтрации нажмите на значок , который расположен справа от поля с раскрывающимся списком.
- Нажмите на кнопку OK.
Чтобы отфильтровать таблицу событий по графе Протокол:
- В разделе События нажмите на значок фильтрации в графе Протокол.
Откроется окно с таблицей поддерживаемых протоколов, отображаемых в виде дерева стека протоколов. Вы можете управлять отображением элементов дерева с помощью кнопок + и - рядом с названиями протоколов, которые содержат протоколы следующих уровней.
В графах таблицы представлена следующая информация:
- Протокол – название протокола в дереве стека протоколов.
- EtherType – номер протокола следующего уровня внутри протокола Ethernet (если протокол имеет заданный номер). Отображается в десятичном формате.
- IP-номер – номер протокола следующего уровня внутри протокола IP (если протокол имеет заданный номер). Указывается только для протоколов, входящих в структуру протокола IP. Отображается в десятичном формате.
- При необходимости воспользуйтесь поисковой строкой над таблицей, чтобы найти нужные протоколы.
- В списке протоколов установите флажки напротив протоколов, по которым вы хотите выполнить фильтрацию.
Если вы устанавливаете или снимаете флажок для протокола, который содержит вложенные протоколы, то для всех вложенных протоколов также автоматически устанавливаются или снимаются флажки.
- Нажмите на кнопку OK.
Чтобы отфильтровать таблицу событий по графе Всего появлений, ID, Сработавшее правило или Тип события:
- В разделе События нажмите на значок фильтрации в нужной графе.
Откроется окно фильтрации.
- В полях Включая и Исключая введите значения для событий и инцидентов, которые вы хотите включить в фильтрацию и/или исключить из фильтрации.
- Если вы хотите применить несколько условий фильтрации, объединенных логическим оператором ИЛИ, в окне фильтрации выбранной графы нажмите на кнопку Добавить условие и введите условие в открывшемся поле.
- Если вы хотите удалить одно из созданных условий фильтрации, в окне фильтрации выбранной графы нажмите на значок .
- Нажмите на кнопку OK.
- В разделе События нажмите на значок фильтрации в графе Начало.
- Фильтрация по значениям в ячейках таблицы
При фильтрации таблицы событий в режиме отображения структур инциденты, удовлетворяющие параметрам фильтрации, могут быть представлены в следующих вариантах:
- со всеми вложенными элементами;
- только с теми вложенными элементами, которые также удовлетворяют заданным параметрам фильтрации.
Вы можете выбрать нужный вариант представления инцидентов с помощью флажка Показывать вложенные при фильтрации при настройке таблицы.
В начало
Поиск событий
Вы можете выполнять поиск событий и инцидентов в таблице событий.
Поиск выполняется по графам, содержащим символьные значения (буквы и/или цифры), кроме граф Начало, Последнее появление, Завершение и Всего появлений.
Чтобы найти нужные события и инциденты,
в разделе События введите поисковый запрос в поле Поиск событий. Поиск инициируется по мере ввода символов в строку поиска.
В таблице отобразятся события и инциденты, которые удовлетворяют условиям поиска.
При поиске в режиме отображения структур инциденты, удовлетворяющие параметрам фильтрации, могут быть представлены в следующих вариантах:
- со всеми вложенными элементами;
- только с теми вложенными элементами, которые также удовлетворяют условиям поиска.
Вы можете выбрать нужный вариант представления инцидентов с помощью флажка Показывать вложенные при фильтрации при настройке таблицы.
В начало
Сброс заданных параметров фильтрации и поиска в таблице событий
Вы можете сбросить заданные параметры фильтрации и поиска в таблице событий в состояние по умолчанию.
Чтобы сбросить заданные параметры фильтрации и поиска в таблице событий,
в панели инструментов в разделе События нажмите на кнопку Фильтр по умолчанию (кнопка отображается, если заданы параметры фильтрации и/или поиска).
В начало
Сортировка событий
Вы можете отсортировать события и инциденты, отображаемые в разделе События веб-интерфейса программы. Сортировку можно выполнить по значениям любой графы, кроме графы Описание.
По умолчанию строки таблицы отсортированы по графе Последнее появление в порядке убывания значений даты и времени последнего появления событий. При изменении сортировки по умолчанию программа перестает обновлять события в таблице.
Чтобы отсортировать события и инциденты:
- В разделе События нажмите на заголовок графы, по которой вы хотите выполнить сортировку.
- При сортировке событий по графе Получатель или Отправитель в раскрывающемся списке заголовка графы выберите адрес получателя или отправителя, по которому будет выполняться сортировка.
В зависимости от выбранных значений для отображения в этих графах, вы можете выбрать один из следующих элементов:
- IP-адрес.
- Номер порта.
- MAC-адрес.
- VLAN ID.
- Адрес прикладного уровня.
- Если требуется отсортировать таблицу по нескольким графам, нажмите на клавишу SHIFT и, удерживая ее нажатой, нажмите на заголовки граф, по которым нужно выполнить сортировку.
- Если обновление таблицы включено, в открывшемся окне подтвердите, что вы согласны приостановить обновление таблицы.
Таблица будет отсортирована по выбранной графе. При сортировке по нескольким графам строки таблицы сортируются в соответствии с последовательностью выбора граф. Рядом с заголовками граф, по которым выполнена сортировка, появляются значки, показывающие текущий порядок сортировки: по возрастанию или по убыванию значений.
В начало
Настройка таблицы зарегистрированных событий
Вы можете настраивать следующие параметры отображения таблицы событий:
- отображение информационной панели;
- отображение событий, включенных в инциденты;
- состав и порядок граф, отображаемых в таблице.
Чтобы настроить параметры отображения таблицы событий:
- В разделе События откройте окно для настройки отображения таблицы по ссылке Настроить таблицу.
- Если вы хотите включить отображение информационной панели, показывающей количество событий со статусами Новое и В обработке, установите флажок Отображать информационную панель.
- В блоке параметров Отображение вложенных списков выберите нужный режим отображения событий, включенных в инциденты:
- Простой вид. В этом режиме в таблице событий отображаются все события без учета вложенности событий в инциденты.
- Структурное представление. В этом режиме инциденты отображаются в виде дерева вложенных событий и других инцидентов. Если вы хотите, чтобы вложенные элементы инцидентов отображались независимо от текущих параметров фильтрации и поиска, установите флажок Показывать вложенные при фильтрации.
- В блоке параметров Отображаемые графы таблицы установите флажки напротив тех параметров, которые вы хотите просматривать в таблице. Необходимо выбрать хотя бы один параметр.
Для просмотра доступны следующие параметры:
- Начало.
Для события, не являющегося инцидентом – дата и время регистрации события. Для инцидента – дата и время регистрации первого события, включенного в инцидент. Вы можете просматривать в таблице дату совместно со временем, либо только дату или только время. Для выбора отображаемой информации нужно установить флажки напротив параметров Дата и/или Время.
- Последнее появление.
Для события, не являющегося инцидентом – дата и время последнего появления события. Может содержать дату и время регистрации события или дату и время увеличения счетчика повторов события, если повторились условия для регистрации события в течение времени разрешения повтора. Значение счетчика повторов отображается в графе Всего появлений. Для инцидента – самые поздние дата и время последнего появления событий, входящих в инцидент. Аналогично графе Начало, вы можете просматривать в таблице дату совместно со временем, либо только дату или только время.
- Заголовок.
Заголовок, заданный для типа события.
- Важность.
Значок, соответствующий уровню важности события или инцидента.
- Отправитель.
Адрес отправителя сетевых пакетов (в скобках указаны сокращенные названия для отображения в ячейках таблицы):
- IP-адрес.
- Номер порта (P).
- MAC-адрес.
- VLAN ID (VID).
- Адрес прикладного уровня.
- Получатель.
Адрес получателя сетевых пакетов (в скобках указаны сокращенные названия для отображения в ячейках таблицы):
- IP-адрес.
- Номер порта (P).
- MAC-адрес.
- VLAN ID (VID).
- Адрес прикладного уровня.
- Протокол.
Протокол прикладного уровня, при отслеживании которого программа зарегистрировала событие.
- Технология.
Значок, соответствующий технологии, которая использовалась для регистрации события.
- Всего появлений.
Для события, не являющегося инцидентом – значение счетчика повторов после регистрации события в течение времени разрешения повтора события. Значение больше 1 означает, что условия для регистрации события повторялись N – 1 раз. Для инцидента в этой графе отображается значение 1.
- ID.
Уникальный идентификатор зарегистрированного события или инцидента.
- Статус.
Значок, соответствующий статусу события или инцидента.
- Описание.
Описание, заданное для типа события.
- Завершение.
Для события, не являющегося инцидентом – дата и время присвоения статуса Обработано, либо дата и время разрешения повтора события. Для инцидента – самые поздние дата и время завершения событий, входящих в инцидент. Аналогично графе Начало, вы можете просматривать в таблице дату совместно со временем, либо только дату или только время.
- Сработавшее правило.
Для события, не являющегося инцидентом – имя правила контроля процесса или правила обнаружения вторжений, при срабатывании которого зарегистрировано событие. Для инцидента – имя правила корреляции, при срабатывании которого зарегистрирован инцидент.
- Точка мониторинга.
Точка мониторинга, трафик с которой вызвал регистрацию события.
- Тип события.
Числовой код, присвоенный типу события.
- Метка.
Набор значков, которые вы можете установить для любого события или инцидента, чтобы легко находить события и инциденты по критерию, отсутствующему в таблице.
- Начало.
- Если вы хотите изменить порядок отображения граф, выделите название графы, которую вы хотите разместить левее или правее в таблице, и используйте кнопки с изображением стрелок вверх и вниз.
Для граф Начало, Последнее появление и Завершение вы также можете изменить порядок отображения даты и времени, а для граф Отправитель и Получатель – адресов отправителей и получателей сетевых пакетов. Для этого выделите значение, которое вы хотите разместить левее или правее в таблице, и используйте кнопки с изображением стрелок вверх и вниз.
Выбранные графы отобразятся в указанном вами порядке в таблице в разделе События.
В начало
Просмотр подробных данных о событии
Подробные сведения о событиях и инцидентах отображаются в области деталей в разделе События веб-интерфейса программы.
Чтобы просмотреть подробные данные о событии или инциденте,
в разделе События выберите нужное событие или инцидент.
В правой части окна веб-интерфейса появится область деталей, в которой отобразятся подробные сведения о выбранном событии или инциденте.
В начало
Просмотр сведений об устройствах, связанных с событиями
Вы можете просмотреть сведения об устройствах, с которыми связаны события, в таблице устройств. При загрузке данных автоматически применяется фильтрация по идентификаторам известных программе устройств с использованием значений MAC- и IP-адресов, которые указаны в событиях.
Чтобы просмотреть сведения об устройствах в таблице устройств:
- Выберите раздел События.
- В таблице событий выберите события и/или инциденты, для которых вы хотите просмотреть сведения об устройствах.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Показать устройства.
Кнопка Показать устройства недоступна, если среди выбранных событий нет инцидентов и количество выбранных событий превышает 200.
- Если общее количество выбранных событий (включая события выбранных инцидентов) превысило 200, отобразится предупреждение о большом количестве событий. Для загрузки устройств, относящиеся к первым 200 событиям из числа выбранных, подтвердите решение в окне запроса.
- Если общее количество устройств, с которыми связаны выбранные события, превысило 200, отобразится предупреждение о большом количестве устройств. Для загрузки первых 200 устройств, относящихся к выбранным событиям, подтвердите решение в окне запроса.
Откроется раздел Активы. В таблице устройств на закладке Устройства будет применена фильтрация по идентификаторам устройств, которые соответствуют выбранным событиям.
В начало
Переход на карту сети для отображения информации по событиям
Вы можете отобразить на карте сети узлы и соединения на основе информации, сохраненной в событиях. Узлы для отображения на карте сети определяются по адресной информации отправителей и получателей сетевых пакетов в выбранных событиях. Для отображения соединений применяется фильтрация по времени взаимодействий, начиная от даты и времени регистрации первого события из числа выбранных событий.
Возможность отображения узлов и соединений на карте сети доступна, если в таблице событий выбрано не более 200 событий (в том числе в составе выбранных инцидентов).
Чтобы отобразить на карте сети узлы и соединения по информации в событиях:
- Выберите раздел События.
- В таблице событий выберите события и/или инциденты, для которых вы хотите отобразить узлы и соединения на карте сети.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Показать на карте сети (кнопка недоступна, если количество выбранных событий превышает 200).
Откроется раздел Карта сети. На карте сети отобразятся узлы и соединения по информации в выбранных событиях (будет применена начальная фильтрация по событиям). При этом если выбран инцидент, в который продолжают добавляться события, на карте сети также отобразятся узлы и соединения по информации в новых событиях.
В начало
Изменение статусов событий
Вы можете изменять следующие статусы событий и инцидентов:
- Новое. Этот статус можно изменить на статус В обработке или на статус Обработано;
- В обработке. Этот статус можно изменить на статус Обработано.
Статус Обработано изменить невозможно.
Чтобы изменить статус событий или инцидентов:
- Выберите раздел События.
- В таблице событий выберите события и/или инциденты, статус которых вы хотите изменить.
В правой части окна веб-интерфейса появится область деталей.
- Присвойте событиям и/или инцидентам нужный статус с помощью кнопок В обработке или Обработано. Кнопки недоступны в следующих случаях:
- Кнопка В обработке недоступна, если среди выбранных элементов отсутствуют события или инциденты со статусом Новое.
- Кнопка Обработано недоступна, если среди выбранных элементов отсутствуют события или инциденты со статусами Новое или В обработке.
Если выбраны все события и инциденты, удовлетворяющие текущим параметрам фильтрации и поиска, и количество выбранных элементов более 1000, программа не проверяет их статусы. В этом случае доступны обе кнопки с названиями статусов В обработке и Обработано. При этом с помощью кнопки В обработке вы можете присвоить статус В обработке только событиям и инцидентам со статусом Новое.
Откроется окно с запросом подтверждения.
- В окне запроса нажмите на кнопку OK.
Создание разрешающих правил для событий
Если требуется выключить регистрацию событий с определенными признаками (например, все события с точки мониторинга), вы можете создавать разрешающие правила для событий.
Создавать разрешающие правила для событий могут только пользователи с ролью Администратор.
Для создания разрешающих правил для событий вы можете использовать следующие возможности:
- Создание правила с изначально пустыми значениями параметров или со значениями из шаблона
- Создание нового правила на основе имеющегося правила
- Создание правила на основе зарегистрированного события
Установка меток
Вы можете присваивать событиям и инцидентам определенные метки в разделе События веб-интерфейса программы.
Метка – значок, который позволяет легко находить события и инциденты по критерию, отсутствующему в таблице.
Чтобы установить метку для события или инцидента:
- В разделе События откройте контекстное меню по левой клавише мыши в ячейке графы Метка для строки с нужным событием или инцидентом.
- В контекстном меню выберите метку, которую вы хотите установить для этого события или инцидента.
Вы можете выбрать одну из семи меток, предусмотренных в программе. Назначение каждой метки вы выбираете самостоятельно.
- Если вам потребуется снять метку, выберите в контекстном меню пункт Без метки.
Копирование событий в текстовый редактор
Вы можете скопировать информацию о событиях и инцидентах, отображаемых в таблице событий, в любой текстовый редактор. Информация копируется из граф, отображаемых в таблице в текущий момент.
Возможность копирования доступна, если выбрано не более 200 событий и инцидентов.
Чтобы скопировать события и/или инциденты в текстовый редактор:
- Выберите раздел События.
- В таблице событий выберите события и/или инциденты, информацию о которых вы хотите скопировать в текстовый редактор.
В правой части окна веб-интерфейса появится область деталей.
- По правой клавише мыши откройте контекстное меню одного из выбранных событий.
- В контекстном меню выберите один из следующих пунктов:
- Копировать детали события, если выбрано одно событие или инцидент.
- Копировать детали выбранных событий, если выбрано несколько событий и/или инцидентов.
- Откройте любой текстовый редактор.
- В окне текстового редактора выполните вставку (например, с помощью комбинации клавиш CTRL+V).
Скопированная информация о событии будет доступна для изменения в текстовом редакторе. Информация о нескольких событиях будет разделена пустой строкой.
В начало
Экспорт событий в файл
При подключении к Серверу через веб-интерфейс вы можете экспортировать информацию о событиях (в том числе об инцидентах) в файлы следующих форматов:
- Формат CSV.
При экспорте в этот формат в файле сохраняется информация из граф, отображаемых в таблице в текущий момент.
- Формат JSON.
При экспорте в этот формат в файле сохраняется вся доступная информация о событиях, включая служебную информацию из базы данных (например, сведения об устройствах, с которыми связаны события). Файл можно использовать для загрузки подробных данных о событиях в другие системы.
Экспорт в файлы форматов CSV и JSON можно выполнять для всех событий, удовлетворяющих текущим параметрам фильтрации и поиска, или выборочно для событий, отображаемых в таблице.
Чтобы экспортировать информацию о всех событиях, удовлетворяющих текущим параметрам фильтрации и поиска:
- Выберите раздел События.
- По ссылке Экспорт в панели инструментов откройте меню для выбора формата сохраняемого файла.
- В открывшемся меню выберите пункт с нужным форматом файла: файл формата CSV или файл формата JSON.
Запустится процесс формирования файла.
- Если формирование файла занимает длительное время (более 15 секунд), операция по формированию файла переводится в список фоновых операций. В этом случае для загрузки файла выполните следующие действия:
- Нажмите на кнопку в меню веб-интерфейса программы.
Откроется список фоновых операций.
- Дождитесь завершения операции формирования файла.
- Нажмите на кнопку Загрузить файл.
- Нажмите на кнопку
Браузер сохранит загруженный файл. В зависимости от параметров, заданных в браузере, на экране может появиться окно для изменения пути и имени сохраняемого файла.
Чтобы экспортировать информацию о выбранных событиях:
- Выберите раздел События.
- В таблице событий выберите события, информацию о которых вы хотите экспортировать в файл.
После выбора событий в правой части окна веб-интерфейса появится область деталей.
- В кнопке Экспортировать в: CSV-файл или JSON-файл нажмите на ту часть, в которой указан нужный формат файла.
Запустится процесс формирования файла. Если формирование файла занимает длительное время (более 15 секунд), выполните действия пункта 4, описанные в процедуре экспорта информации о всех событиях.
Загрузка трафика для событий
При просмотре таблицы событий вы можете загружать трафик, относящийся к зарегистрированным событиям и/или инцидентам. Загрузка трафика выполняется в файл формата PCAP (при выборе одного события) или в архив формата ZIP, содержащий файлы формата PCAP (при выборе нескольких событий или инцидента).
Возможность загрузки трафика доступна, если в таблице событий выбрано не более 200 событий (в том числе в составе инцидентов).
Трафик для событий загружается из базы данных программы. В базе данных трафик может сохраняться при регистрации событий, для которых включено сохранение трафика. Также программа может сохранять трафик в базе данных непосредственно при запросе на загрузку трафика, используя файлы дампа трафика. Эти файлы предназначены для временного хранения трафика и автоматически удаляются по мере поступления трафика из промышленной сети (периодичность удаления файлов зависит от интенсивности поступающего трафика и от заданных параметров хранения данных программы). Для гарантированной загрузки трафика рекомендуется включить сохранение трафика для нужных типов событий и настроить параметры хранения трафика в базе данных в соответствии с интенсивностью его поступления и регистрации событий.
Чтобы загрузить файл трафика для событий и/или инцидентов:
- Выберите раздел События.
- В таблице событий выберите события и/или инциденты, для которых вы хотите загрузить трафик.
В правой части окна веб-интерфейса появится область деталей.
- В зависимости от количества выбранных элементов, нажмите на кнопку Загрузить трафик для события или Загрузить трафик для выбранных событий.
- Если формирование файла занимает длительное время (более 15 секунд), операция по формированию файла переводится в список фоновых операций. В этом случае для загрузки файла выполните следующие действия:
- Нажмите на кнопку в меню веб-интерфейса программы.
Откроется список фоновых операций.
- Дождитесь завершения операции формирования файла.
- Нажмите на кнопку Загрузить файл.
- Нажмите на кнопку
Браузер сохранит загруженный файл. В зависимости от параметров, заданных в браузере, на экране может появиться окно для изменения пути и имени сохраняемого файла.
В начало
Контроль уязвимостей устройств
Kaspersky Industrial CyberSecurity for Networks может обнаруживать уязвимости в контролируемых устройствах промышленной сети. Уязвимость – это недостаток в программном или аппаратном обеспечении устройства, используя который злоумышленник может повлиять на работу информационной системы или получить несанкционированный доступ к информации.
Программа обнаруживает уязвимости, анализируя имеющиеся сведения об устройствах. Сведения, по которым можно найти известную уязвимость для устройства, сравниваются с определенными полями в базе данных известных уязвимостей. База данных известных уязвимостей встроена в программу. Эту базу данных формируют специалисты "Лаборатории Касперского", размещая в ней сведения о наиболее актуальных или часто встречающихся уязвимостях устройств в промышленных сетях.
База данных известных уязвимостей содержит описания уязвимостей, а также устройств, которые подвержены этим уязвимостям. Кроме того, эта база данных содержит рекомендации для защиты системы в виде текстов или ссылок на общедоступные ресурсы. В базу данных известных уязвимостей загружены описания и рекомендации из различных источников, среди которых могут быть производители устройств и программного обеспечения, а также различные организации, специализирующиеся в области промышленной безопасности. Описания и рекомендации в базе данных приводятся на английском языке.
После установки программы используется исходная база данных известных уязвимостей. Вы можете поддерживать базу данных в актуальном состоянии, устанавливая обновления.
Kaspersky Industrial CyberSecurity for Networks сравнивает имеющиеся сведения об устройствах с полями в базе данных известных уязвимостей, которые описывают устройства, подверженные уязвимостям. Например, для сравнения используются имеющиеся сведения о версиях программного обеспечения на устройствах. При выявлении соответствия сведений программа регистрирует событие об обнаружении уязвимости устройства, после чего загружает информацию об этой уязвимости из базы данных известных уязвимостей.
Программа загружает информацию об обнаруженных уязвимостях в базу данных обнаруженных уязвимостей на Сервере. Содержимое этой базы данных отображается в таблице уязвимостей при подключении к Серверу через веб-интерфейс. Суммарный объем сохраняемых записей в базе данных обнаруженных уязвимостей не может превышать заданного ограничения. Если объем превышает заданное ограничение, программа автоматически удаляет 10% самых старых записей. Вы можете задать ограничение максимального объема для обнаруженных уязвимостей при настройке параметров хранения данных на узле Сервера.
Основным параметром, который идентифицирует уязвимость в базе данных программы, является идентификационный номер, присвоенный этой уязвимости в списке общеизвестных уязвимостей и рисков (Common Vulnerabilities and Exposures – CVE). Этот идентификационный номер называется CVE-идентификатором.
Вы можете просматривать информацию об уязвимостях устройств на странице веб-интерфейса Сервера в следующих разделах:
- Уязвимости – отображает подробную информацию обо всех уязвимостях, обнаруженных программой.
- Активы – на закладке Устройства отображает списки CVE-идентификаторов обнаруженных уязвимостей в графе Уязвимости и в области деталей выбранного устройства.
Сценарий реализации для процесса непрерывного управления уязвимостями
С помощью функциональности контроля активов и обнаружения уязвимостей вы можете реализовать непрерывное (циклическое) управление уязвимостями в устройствах промышленной сети. Для управления уязвимостями Kaspersky Industrial CyberSecurity for Networks предоставляет информацию об обнаруженных уязвимостях, на основе которой вы можете предпринять соответствующие меры по устранению уязвимостей и минимизации рисков. Непрерывность процесса управления уязвимостями обеспечивается за счет автоматического обновления сведений об устройствах и уязвимостях в программе.
Сценарий реализации для процесса непрерывного управления уязвимостями состоит из следующих этапов:
- Инвентаризация устройств и отслеживание сведений об устройствах
Этот этап реализуется с использованием методов обнаружения активности устройств и обнаружения сведений об устройствах (применение методов должно быть включено). На этом этапе программа автоматически обнаруживает новые устройства и обновляет сведения об устройствах. Для всех сведений, определяющих классификацию и эксплуатационные особенности устройств (например, информация о модели и версии программного обеспечения на устройстве), требуется включить автоматическое изменение в параметрах устройств. Если автоматическое изменение таких сведений не может выполняться по каким-либо причинам, эти сведения следует актуализировать вручную.
- Сканирование устройств на наличие уязвимостей
Этот этап реализуется с использованием метода обнаружения уязвимостей (применение метода должно быть включено). Сканирование выполняется по имеющимся сведениям об устройствах. Запуск сканирования происходит автоматически после обновления базы данных известных уязвимостей в программе или после добавления/изменения тех сведений об устройствах, которые используются для сравнения с полями в базе данных (например, после сохранения информации о модели и версии программного обеспечения на устройстве).
- Оценка обнаруженных уязвимостей и классификация рисков
Для каждой обнаруженной уязвимости указано значение оценки ее критичности по общей системе оценки уязвимостей (Common Vulnerability Scoring System – CVSS). В зависимости от числового значения этой оценки уязвимость может относиться к уровням критичности Низкий (оценки 0.0–3.9), Средний (оценки 4.0–6.9) или Высокий (оценки 7.0–10.0). Уровни критичности обнаруженных уязвимостей влияют на состояния безопасности связанных с ними устройств (так же, как и необработанные события, относящиеся к этим устройствам).
На основании уровней критичности со значениями оценок, а также с учетом факторов, связанных с особенностями работы устройств, можно классифицировать риски эксплуатации обнаруженных уязвимостей. Если риск, связанный с эксплуатацией уязвимости, оценивается как незначительный, эту уязвимость можно перевести из состояния Актуальна (в котором уязвимость находится по умолчанию после обнаружения) в состояние Принята. Например, в случае, если условия для эксплуатации уязвимости не могут быть воспроизведены. Все уязвимости, по которым требуется выполнить какие-либо дополнительные действия, следует оставить в состоянии Актуальна.
- Устранение уязвимостей и минимизация рисков
На этом этапе вам нужно устранить актуальные уязвимости или минимизировать риски, связанные с их эксплуатацией. Действия по устранению уязвимостей и минимизации рисков могут включать получение, проверку и установку необходимых исправлений или обновлений для устройств, организационные меры (например, изоляция уязвимых устройств от внешних сетей) или замену уязвимых устройств.
Вы можете получить информацию о рекомендуемых действиях, просматривая сведения об обнаруженных уязвимостях. Рекомендации для защиты системы представлены в виде текстов или ссылок на общедоступные ресурсы.
Действия по устранению уязвимостей и минимизации рисков выполняются без участия Kaspersky Industrial CyberSecurity for Networks.
- Проверка устранения уязвимостей
Этот этап аналогичен этапу сканирования устройств на наличие уязвимостей. При изменении сведений об устройстве программа автоматически переводит связанную с ним уязвимость из состояния Актуальна в состояние Устранена, если сведения об устройстве больше не соответствуют полям в базе данных, которые описывают уязвимость с тем же CVE-идентификатором (например, после изменения сведений о версии программного обеспечения на устройстве). Также в состояние Устранена переводятся те уязвимости, для которых больше нет описания в базе данных известных уязвимостей (в случае удаления описания из базы данных после загрузки обновлений). Если устройства с уязвимостями удалены из таблицы устройств, связанные с ними уязвимости также удаляются из базы данных обнаруженных уязвимостей на Сервере.
Если сведения об устройстве, с которым связана уязвимость, не изменились (например, минимизация рисков была выполнена путем изоляции уязвимого устройства от внешних сетей), вы можете вручную перевести эту уязвимость из состояния Актуальна в состояние Принята.
- Возвращение устройств в состояние безопасности ОК
При регистрации события об обнаружении уязвимости изменяется состояние безопасности устройства, для которого обнаружена уязвимость. Состояние безопасности устройства изменяется в зависимости от уровня важности события.
Устройство возвращается в состояние безопасности ОК после присвоения статуса Обработано всем событиям, которые связаны с уязвимостями этого устройства. При переводе уязвимости в состояние Устранена или Принята программа автоматически присваивает статус Обработано соответствующим событиям. Аналогично, если вы присвоили статус Обработано событию об обнаружении уязвимости, которая находится в состоянии Актуальна, эта уязвимость переводится в состояние Принята.
Сведения об устройствах, используемые для проверки уязвимостей
При сканировании устройств на наличие уязвимостей, как и при проверке устранения уязвимостей, программа использует следующие сведения об устройствах:
- Производитель оборудования.
- Модель оборудования.
- Версия оборудования.
- Производитель ПО.
- Название ПО.
- Версия ПО.
Программа сравнивает эти сведения с описаниями устройств в соответствующих полях базы данных известных уязвимостей. В базе данных описания устройств хранятся в формате языка CPE (Common Platform Enumeration). Программа сравнивает сведения с этими описаниями, автоматически преобразовывая сведения в формат языка CPE.
Для каждой уязвимости содержимое совпавших описаний приводится в области деталей в разделе Совпавшие CPE. В зависимости от того, какой тип сведений об устройстве совпал с описанием устройства в базе данных, в разделе Совпавшие CPE могут отображаться следующие сведения:
- CPE-код оборудования, Описание оборудования – если с описаниями в базе данных совпали сведения об устройстве Производитель оборудования, Модель оборудования и Версия оборудования.
- CPE-код ПО, Описание ПО – если с описаниями в базе данных совпали сведения об устройстве Производитель ПО, Название ПО и Версия ПО.
Просмотр устройств с обнаруженными уязвимостями
В таблице устройств отображаются CVE-идентификаторы уязвимостей, которые находятся в состоянии Актуальна (сведения об уязвимостях в других состояниях не отображаются в таблице устройств). CVE-идентификаторы отображаются в графе Уязвимости и в области деталей при выборе устройства. Вы можете использовать CVE-идентификатор для вызова окна деталей уязвимости.
Для обозначения уровней критичности уязвимостей CVE-идентификаторы могут быть окрашены одним из следующих цветов:
- Красный – уязвимость с уровнем критичности Высокий.
- Желтый – уязвимость с уровнем критичности Средний.
- Синий – уязвимость с уровнем критичности Низкий.
По умолчанию в графе Уязвимости отображаются CVE-идентификаторы уязвимостей в состоянии Актуальна с любыми значениями оценок по системе CVSS. При этом внутри ячеек CVE-идентификаторы отсортированы в порядке убывания значений оценок.
При просмотре таблицы устройств вы можете настроить параметры фильтрации, сортировки или поиска устройств по CVE-идентификаторам уязвимостей.
В начало
Просмотр таблицы уязвимостей
Таблица уязвимостей отображается в разделе Уязвимости веб-интерфейса программы. В таблице могут отображаться сведения как об уязвимостях в состоянии Актуальна, так и об уязвимостях в состояниях Устранена или Принята.
При просмотре таблицы уязвимостей вы можете использовать следующие функции:
- Настройка отображения и порядка граф в таблице уязвимостей
- Фильтрация по стандартным периодам
- Фильтрация по заданному периоду
- Фильтрация по графам таблицы
Чтобы отфильтровать уязвимости по графе CVE, Устройство, Условия эксплуатации, Возможные последствия, Вектор или Совпавшие CPE:
- В разделе Уязвимости нажмите на значок фильтрации в нужной графе таблицы.
Откроется окно фильтрации.
- В полях Включая и Исключая введите значения для уязвимостей, которые вы хотите включить в фильтрацию и/или исключить из фильтрации.
- Если вы хотите применить несколько условий фильтрации, объединенных логическим оператором ИЛИ, в окне фильтрации выбранной графы нажмите на кнопку Добавить условие и введите условие в открывшемся поле.
- Если вы хотите удалить одно из созданных условий фильтрации, в окне фильтрации выбранной графы нажмите на значок .
- Нажмите на кнопку OK.
Чтобы отфильтровать уязвимости по графе Оценка CVSS или Состояние:
- В разделе Уязвимости нажмите на значок фильтрации в нужной графе таблицы.
Для фильтрации по оценкам CVSS или по состояниям вы также можете воспользоваться соответствующими кнопками в панели инструментов.
Откроется окно фильтрации.
- Установите флажки напротив значений, по которым вы хотите выполнить фильтрацию. Вы можете снять или удалить все флажки по ссылке, которая отображается в верхней части окна фильтрации.
- Нажмите на кнопку OK.
Чтобы отфильтровать уязвимости по графе Группа устройств:
- В разделе Уязвимости нажмите на значок фильтрации в графе Группа устройств.
Откроется окно фильтрации.
- Нажмите на значок
в правой части поля, чтобы указать группу.Появится окно Выбор группы в дереве.
- В дереве групп устройств выберите нужную группу и нажмите на кнопку Выбрать.
Путь к выбранной группе появится в поле в окне фильтрации.
- Если вы хотите применить несколько условий фильтрации, объединенных логическим оператором ИЛИ, в окне фильтрации нажмите на кнопку Добавить условие (ИЛИ) и укажите другую группу в открывшемся поле.
- Если вы хотите удалить одно из созданных условий фильтрации, в окне фильтрации нажмите на значок .
- Нажмите на кнопку OK.
Чтобы отфильтровать уязвимости по графе Опубликовано или Первое обнаружение:
- В разделе Уязвимости нажмите на значок фильтрации в нужной графе таблицы.
Откроется календарь.
- В календаре задайте дату и время начальной и конечной границ периода фильтрации. Для этого выберите дату в календаре (при этом будет указано текущее время) или введите значение вручную в формате ДД.ММ.ГГ чч:мм:сс.
- Нажмите на кнопку OK.
Чтобы отфильтровать уязвимости по графе Источник:
- В разделе Уязвимости нажмите на значок фильтрации в графе Источник.
Откроется окно фильтрации.
- Установите флажки напротив значений, по которым вы хотите выполнить фильтрацию. Вы можете фильтровать и сортировать представленные значения с помощью поля ввода и ссылки Источник в верхней части окна фильтрации.
- Нажмите на кнопку OK.
- В разделе Уязвимости нажмите на значок фильтрации в нужной графе таблицы.
- Поиск уязвимостей
- Сброс заданных параметров фильтрации и поиска
- Сортировка уязвимостей
Выбор уязвимостей в таблице уязвимостей
В таблице уязвимостей вы можете выбирать уязвимости для просмотра сведений и для работы с этими уязвимостями. При выборе уязвимостей в правой части окна веб-интерфейса появляется область деталей.
Чтобы выбрать нужные уязвимости в таблице, выполните одно из следующих действий:
- Если вы хотите выбрать одну уязвимость, установите флажок напротив этой уязвимости или выберите уязвимость с помощью мыши.
- Если вы хотите выбрать несколько уязвимостей, установите флажки напротив нужных уязвимостей или выберите их, удерживая нажатой клавишу CTRL или SHIFT. При выборе нескольких уязвимостей программа проверяет состояние выбранных уязвимостей и определяет наличие актуальных, устраненных и принятых уязвимостей среди выбранных.
- Если вы хотите выбрать все уязвимости, удовлетворяющие текущим параметрам фильтрации и поиска, выполните одно из следующих действий:
- выберите любую уязвимость в таблице и нажмите комбинацию клавиш CTRL+A;
- установите флажок в заголовке левой крайней графы таблицы.
При выборе нескольких уязвимостей в области деталей отображается общее количество выбранных уязвимостей. Если вы выбрали все уязвимости, удовлетворяющие текущим параметрам фильтрации и поиска, в области деталей отображается одно из следующих значений:
- Если выбрано до 2000 уязвимостей включительно, отображается точное количество. В этом случае программа проверяет состояние выбранных уязвимостей, как и при других способах выбора нескольких уязвимостей.
- Если выбрано более 2000 уязвимостей, отображается
2000+. В этом случае программа не проверяет состояние выбранных уязвимостей.
В заголовке левой крайней графы таблицы отображается флажок выбора уязвимостей. В зависимости от количества выбранных уязвимостей флажок может быть в одном из следующих состояний:
- – в таблице не выполнялся выбор всех уязвимостей, удовлетворяющих текущим параметрам фильтрации и поиска. При этом в таблице может быть выбрана одна уязвимость или несколько уязвимостей с помощью флажков напротив уязвимостей или с использованием клавиш CTRL или SHIFT.
- – в таблице выбраны все уязвимости, удовлетворяющие текущим параметрам фильтрации и поиска.
- – в таблице были выбраны все уязвимости, удовлетворяющие текущим параметрам фильтрации и поиска, и после этого для некоторых уязвимостей были сняты флажки. Это состояние сохраняется и в случае, если флажки сняты для всех уязвимостей, выбранных таким способом (из-за того, что количество выбранных уязвимостей может измениться).
Если выбраны все уязвимости, удовлетворяющие параметрам фильтрации и поиска, количество выбранных уязвимостей может автоматически изменяться. Например, в результате действий пользователя программы в другом сеансе подключения или при обнаружении новых уязвимостей. Рекомендуется настраивать параметры фильтрации и поиска таким образом, чтобы в выборку попали только нужные уязвимости.
Просмотр сведений об уязвимости
Подробные сведения об уязвимости включают информацию из таблицы уязвимостей, а также следующие поля:
- Рекомендации – рекомендации по устранению уязвимости (например, сведения о том, какую версию программного обеспечения рекомендуется установить на устройстве).
- Ссылки – ссылки на общедоступные ресурсы с дополнительными сведениями об уязвимости.
- История CVE – даты этапов выявления, подтверждения и публикации уязвимости в общедоступных источниках.
- События – список событий, связанных с уязвимостью (если событий больше 10, под списком отображается количество непоказанных событий).
- Другие устройства с этой уязвимостью – список устройств, в которых также обнаружена эта уязвимость (если устройств больше 10, под списком отображается количество непоказанных устройств).
Чтобы просмотреть сведения об уязвимости в разделе Уязвимости,
выберите нужную уязвимость в таблице уязвимостей.
В правой части окна веб-интерфейса появится область деталей с подробными сведениями об уязвимости.
Чтобы просмотреть сведения об уязвимости на закладке Устройства в разделе Активы,
нажмите на CVE-идентификатор уязвимости в графе Уязвимости или в области деталей устройства с уязвимостью.
Появится окно с подробными сведениями об уязвимости.
В начало
Автоматическое изменение состояний уязвимостей
Программа может автоматически переводить состояния обнаруженных уязвимостей из состояния Актуальна в состояние Устранена и обратно.
Уязвимость переводится в состояние Устранена в одном из следующих случаев:
- сведения об устройстве больше не соответствуют полям, которые описывают уязвимость с тем же CVE-идентификатором в базе данных известных уязвимостей (например, после изменения сведений о версии программного обеспечения на устройстве);
- удалено описание уязвимости из базы данных известных уязвимостей (после загрузки обновлений).
Автоматическое возвращение уязвимости в состояние Актуальна происходит в случае, если уязвимость с тем же CVE-идентификатором снова обнаружена на том же устройстве.
В начало
Изменение состояний уязвимостей вручную
При работе в разделе Уязвимости вы можете вручную переводить уязвимости из состояния Актуальна в состояние Принята и обратно. При работе в разделе Активы вы можете переводить уязвимости только из состояния Актуальна в состояние Принята.
Также вы можете перевести уязвимость из состояния Актуальна в состояние Принята при присвоении статуса Обработано событиям, которые связаны с этой уязвимостью (например, событие об обнаружении уязвимости). При этом статус Обработано будет также присвоен и всем остальным событиям, которые связаны с этой уязвимостью.
Чтобы изменить состояние уязвимости вручную:
- Откройте область деталей или окно с подробными сведениями об уязвимости.
- В зависимости от того, в какое состояние вы хотите перевести уязвимость, нажмите на одну из следующих кнопок:
- Принята – если вы хотите перевести уязвимость из состояния Актуальна в состояние Принята.
- Актуальна – если вы хотите вернуть уязвимость из состояния Принята в состояние Актуальна.
Откроется окно с запросом подтверждения.
- Нажмите на кнопку OK.
Просмотр сведений об устройствах с обнаруженной уязвимостью
Если уязвимость была обнаружена в нескольких устройствах, вы можете просмотреть сведения об этих устройствах в таблице устройств.
Чтобы просмотреть сведения об одном из устройств с обнаруженной уязвимостью:
- Откройте область деталей или окно с подробными сведениями об уязвимости.
- В блоке Другие устройства с этой уязвимостью нажмите на строку с именем нужного устройства.
Откроется раздел Активы. На закладке Устройства будет применена фильтрация по идентификатору устройства.
Чтобы просмотреть сведения обо всех устройствах с обнаруженной уязвимостью:
- Откройте область деталей или окно с подробными сведениями об уязвимости.
- По ссылке Перейти к таблице устройств в блоке Другие устройства с этой уязвимостью перейдите к таблице устройств.
Откроется раздел Активы. На закладке Устройства будет применена фильтрация по CVE-идентификатору уязвимости.
В начало
Просмотр событий, связанных с уязвимостью
При мониторинге уязвимостей программа регистрирует события по технологии Контроль активов. Для регистрации используются системные типы событий, которым присвоены следующие коды:
- 4000005300 – обнаружена уязвимость устройства в первый раз или если уязвимость ранее была переведена в состояние Устранена (например, если измененные сведения об устройстве снова совпали с описанием устройства в уязвимости с тем же CVE-идентификатором);
- 4000005303 – обнаружены изменения в уязвимости, которые не повлияли на ее текущее состояние (например, если при обновлении базы данных известных уязвимостей были добавлены дополнительные рекомендации по защите системы).
Вы можете просмотреть события, связанные с уязвимостью, в таблице событий.
Чтобы просмотреть сведения об одном из событий, связанных с обнаруженной уязвимостью:
- Откройте область деталей или окно с подробными сведениями об уязвимости.
- В блоке События нажмите на строку с заголовком нужного события.
Откроется раздел События. В таблице событий будет применена фильтрация по идентификатору выбранного события.
Чтобы просмотреть сведения обо всех событиях, связанных с обнаруженной уязвимостью:
- Откройте область деталей или окно с подробными сведениями об уязвимости.
- По ссылке Перейти к таблице событий в блоке События перейдите к таблице событий.
Откроется раздел События. В таблице событий будет применена фильтрация по идентификаторам событий, связанных с уязвимостью.
В начало
Экспорт уязвимостей в файл
Вы можете экспортировать информацию об уязвимостях в файл формата CSV. Информация экспортируется из граф, отображаемых в таблице в текущий момент.
Чтобы экспортировать информацию об уязвимостях:
- Выберите раздел Уязвимости.
- В таблице уязвимостей выберите уязвимости, информацию о которых вы хотите экспортировать в файл.
Для экспорта информации о всех уязвимостях, удовлетворяющих текущим параметрам фильтрации и поиска, вы можете выбрать все уязвимости в таблице или использовать ссылку Экспорт в панели инструментов раздела Уязвимости. По ссылке Экспорт сразу запускается процесс формирования файла формата CSV.
После выбора уязвимостей в правой части окна веб-интерфейса появится область деталей.
- В зависимости от количества выбранных элементов, нажмите на кнопку Экспортировать уязвимость или Экспортировать выбранные уязвимости.
- Если формирование файла занимает длительное время (более 15 секунд), операция по формированию файла переводится в список фоновых операций. В этом случае для загрузки файла выполните следующие действия:
- Нажмите на кнопку в меню веб-интерфейса программы.
Откроется список фоновых операций.
- Дождитесь завершения операции формирования файла.
- Нажмите на кнопку Загрузить файл.
- Нажмите на кнопку
Браузер сохранит загруженный файл. В зависимости от параметров, заданных в браузере, на экране может появиться окно для изменения пути и имени сохраняемого файла.
В начало
Контроль технологического процесса
Kaspersky Industrial CyberSecurity for Networks позволяет контролировать технологический процесс, предоставляя информацию о параметрах технологического процесса и полученных системных командах, передаваемых в трафике промышленной сети. Программа отслеживает эти данные для устройств, представленных в таблице устройств и имеющих заданные параметры контроля процесса.
Вы можете просматривать контролируемые теги и имеющиеся правила контроля процесса на странице веб-интерфейса Сервера в разделе Контроль процесса. Параметры контроля процесса для устройств доступны при выборе устройств в разделах Активы и Карта сети.
Мониторинг значений параметров технологического процесса
Kaspersky Industrial CyberSecurity for Networks может отображать значения параметров технологического процесса (тегов) в онлайн-режиме.
Для отображения значений требуется добавить нужные теги в программу. Добавление тегов выполняется при настройке контроля процесса.
Программа не сохраняет значения тегов, которые отображаются в онлайн-режиме. Имена и значения тегов могут сохраняться в событиях, зарегистрированных по технологии Контроль технологического процесса (в событии сохраняются значения тегов, полученные на момент регистрации события). Для сохранения имен и значений тегов необходимо наличие переменной $tags в параметрах типов событий.
Чтобы просматривать значения параметров технологического процесса,
подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс и в разделе Контроль процесса выберите закладку Теги.
В окне браузера отобразится таблица с тегами и их текущими значениями. Оперативно изменяемые значения отображаются в следующих параметрах тегов:
- Значение.
- Тип данных основного значения.
- Структурные значения.
- Чтение/запись.
- Получено.
- Метка времени.
- Статус метки времени.
- Статус данных.
- Инициатор.
- Причина передачи.
- Источник.
Для мониторинга значений тегов вы можете использовать все функции, доступные при просмотре таблицы тегов.
В начало
Параметры тегов
Параметры тегов, используемые при контроле процесса, отображаются в таблице тегов и в области деталей при выборе тега.
В зависимости от того, какие графы выбраны для отображения, в таблице тегов могут отображаться следующие параметры:
- Группа устройств – имя группы, в которую помещено связанное с тегом устройство (содержит имя самой группы и имена всех ее родительских групп в дереве групп устройств).
- Устройство – имя связанного с тегом устройства.
- Протокол – название протокола, по которому передается тег.
- Имя тега – заданное имя тега.
- Значение – оперативно изменяемое значение тега.
- Единица измерения – единица измерения параметра технологического процесса, который представлен тегом.
- Тип данных – тип данных тега.
- Тип данных основного значения – тип данных для значения, которое является основным в структуре полей тега.
- Чтение/запись – направление передачи, при котором получено значение тега (R – при чтении из устройства, W – при записи в устройство, RW – любое направление).
- Получено – дата и время последнего получения значения тега программой.
- Метка времени – дата и время последнего изменения/обновления значения тега (полученное из трафика).
- Статус метки времени – текущий статус для даты и времени последнего изменения/обновления значения тега.
- Статус данных – текущий статус для полученного значения тега.
- Инициатор – название источника, от которого получено значение тега или передана команда.
- Причина передачи – причина изменения или отправки значения тега (полученная из трафика).
- В избранных – признак включения тега в список избранных.
- Описание – дополнительные сведения о теге.
- Адрес тега – физический адрес тега в памяти устройства.
- Идентификатор тега – порядковый номер тега. Идентификатор тега задается автоматически.
- Масштабируемый тег – признак масштабирования тега в пределах минимумов и максимумов для входных и выходных значений.
- Вход (минимально) – минимальный предел для входного значения.
- Вход (максимально) – максимальный предел для входного значения.
- Выход (минимально) – минимальный предел для выходного значения.
- Выход (максимально) – максимальный предел для выходного значения.
- Структурные значения – список имен и значений всех полей тега. Элементы списка разделяются запятой с пробелом (например:
field1: <значение1>, field2: <значение2>). Имена вложенных полей составляются из имен всех родительских полей, и имени самого поля, разделенных двоеточием (например:parent1:parent2:field: <значение>). Строковые значения должны быть заключены в кавычки. - Источник – сведения об источнике создания тега.
В области деталей для выбранного тега дополнительно могут отображаться другие параметры, определяемые в зависимости от устройства и протокола (например: Номер блока, Область памяти).
Для контроля технологического процесса на устройствах, которые взаимодействуют по протоколам стандартов IEC 60870-5-104 и IEC 60870-5-101, поддерживаются типы кадров, представляющие блоки данных прикладного уровня (ASDU). Сведения о поддерживаемых типах кадров ASDU в этих протоколах см. в Приложении.
В начало
Просмотр таблицы тегов
Таблица тегов отображается на закладке Теги в разделе Контроль процесса веб-интерфейса программы. В таблице представлены общие параметры тегов, а также устройств, к которым относятся теги.
При просмотре таблицы тегов вы можете использовать следующие функции:
- Настройка отображения и порядка граф в таблице тегов
- Фильтрация по графам таблицы
Вы можете отфильтровать таблицу тегов по значениям граф Группа устройств, Устройство, Протокол, Имя тега, Единица измерения, В избранных и Идентификатор тега.
Чтобы отфильтровать теги по графе Устройство, Имя тега, Единица измерения или Идентификатор тега:
- На закладке Теги в разделе Контроль процесса нажмите на значок фильтрации в нужной графе таблицы.
Откроется окно фильтрации.
- В полях Включая и Исключая введите значения для тегов, которые вы хотите включить в фильтрацию и/или исключить из фильтрации.
- Если вы хотите применить несколько условий фильтрации, объединенных логическим оператором ИЛИ, в окне фильтрации выбранной графы нажмите на кнопку Добавить условие и введите условие в открывшемся поле.
- Если вы хотите удалить одно из созданных условий фильтрации, в окне фильтрации выбранной графы нажмите на значок .
- Нажмите на кнопку OK.
Чтобы отфильтровать теги по графе Группа устройств:
- На закладке Теги в разделе Контроль процесса нажмите на значок фильтрации в графе Группа устройств.
Откроется окно фильтрации.
- Нажмите на значок в правой части поля для указания группы устройств.
Появится окно Выбор группы в дереве.
- В дереве групп устройств выберите нужную группу и нажмите на кнопку Выбрать.
Путь к выбранной группе появится в поле в окне фильтрации.
- Если вы хотите применить несколько условий фильтрации, объединенных логическим оператором ИЛИ, в окне фильтрации нажмите на кнопку Добавить условие (ИЛИ) и укажите другую группу в открывшемся поле.
- Если вы хотите удалить одно из созданных условий фильтрации, в окне фильтрации нажмите на значок .
- Нажмите на кнопку OK.
Чтобы отфильтровать теги по графе Протокол:
- На закладке Теги в разделе Контроль процесса нажмите на значок фильтрации в графе Протокол.
Откроется окно фильтрации.
- В поле Протоколы укажите нужный протокол из числа поддерживаемых протоколов прикладного уровня. Для этого начните вводить название протокола и выберите нужный протокол в раскрывшемся списке (список подходящих протоколов автоматически раскрывается при изменении значения в поле Протоколы).
Вы можете отсортировать открывшийся список протоколов по ссылке Сортировка.
- Если вы хотите добавить еще один протокол, нажмите на кнопку Добавить протокол и укажите другой протокол в открывшемся поле.
- Если вы хотите удалить один из указанных протоколов, в окне фильтрации нажмите на значок . Вы также можете удалить все указанные протоколы по ссылке Фильтр по умолчанию в окне фильтрации.
- Нажмите на кнопку OK.
Чтобы отфильтровать теги по графе В избранных:
- На закладке Теги в разделе Контроль процесса нажмите на значок фильтрации в графе В избранных.
Для фильтрации по графе В избранных вы также можете воспользоваться раскрывающимся списком Отображаемые теги в панели инструментов.
Откроется окно фильтрации.
- Выберите один из следующих вариантов:
- Только из списка избранных – для отображения только тегов с признаком Да в графе В избранных.
- Теги не из списка избранных – для отображения только тегов с признаком Нет в графе В избранных.
- Нажмите на кнопку OK.
- На закладке Теги в разделе Контроль процесса нажмите на значок фильтрации в нужной графе таблицы.
- Поиск тегов
- Сброс заданных параметров фильтрации и поиска
- Сортировка тегов
Просмотр сведений об устройствах, связанных с тегами
Вы можете просмотреть сведения об устройствах, с которыми связаны теги, в таблице устройств. В таблице устройств автоматически применяется фильтрация по идентификаторам устройств, которые указаны в тегах.
Возможность загружать сведения доступна, если выбрано не более 200 тегов.
Чтобы просмотреть сведения об устройствах в таблице устройств:
- Выберите раздел Контроль процесса.
- На закладке Теги выберите теги, для которых вы хотите просмотреть сведения об устройствах.
В правой части окна веб-интерфейса появится область деталей.
- Нажмите на кнопку Показать устройство (если выбран один тег) или Показать устройства (если выбрано несколько тегов).
Кнопка Показать устройства недоступна, если количество выбранных тегов превышает 200.
Откроется раздел Активы. На закладке Устройства будет применена фильтрация по идентификаторам устройств, с которыми связаны выбранные теги.
В начало
Обнаружение паролей по умолчанию при подключении к устройствам
При отслеживании взаимодействий устройств для контроля процесса Kaspersky Industrial CyberSecurity for Networks может определять используемые пароли по умолчанию. Если при подключении к устройству использован пароль, который задан для этого типа устройств как пароль по умолчанию, программа зарегистрирует соответствующее событие. Для регистрации событий обнаружения паролей по умолчанию используется системный тип события обнаружения системных команд.
Kaspersky Industrial CyberSecurity for Networks обнаруживает пароли по умолчанию в следующих случаях:
- Попытка использования пароля по умолчанию завершена успешно или не определен результат этой попытки. В этом случае регистрируется событие обнаружения системной команды DEFAULT PASSWORD ENTRY.
- Установка нового пароля, совпадающего с паролем по умолчанию. В этом случае регистрируется событие обнаружения системной команды DEFAULT PASSWORD SET.
- Получение пароля по умолчанию при чтении из устройства учетных данных для подключения. В этом случае регистрируется событие обнаружения системной команды DEFAULT PASSWORD READ или DEFAULT PASSWORD READ WITH TYPE (если в сведениях о пароле указан его тип, определяющий возможные операции с устройством с использованием этого пароля).
Обнаружение паролей по умолчанию поддерживается для устройств определенных типов и протоколов прикладного уровня (см. таблицу ниже).
Поддерживаемые устройства и протоколы с паролями по умолчанию
Устройства |
Протоколы |
Системные команды |
|---|---|---|
ABB серии Relion: RED670, REL670, RET670 |
ABB SPA-Bus |
DEFAULT PASSWORD ENTRY DEFAULT PASSWORD SET |
BECKHOFF серий CX |
BECKHOFF ADS/AMS |
DEFAULT PASSWORD ENTRY DEFAULT PASSWORD READ DEFAULT PASSWORD SET |
Emerson серии ControlWave |
Emerson ControlWave Designer |
DEFAULT PASSWORD ENTRY |
General Electric серии Multilin: B30, C60 |
Modbus TCP |
DEFAULT PASSWORD ENTRY DEFAULT PASSWORD READ DEFAULT PASSWORD READ WITH TYPE DEFAULT PASSWORD SET |
Mitsubishi System Q E71 |
Mitsubishi MELSEC System Q |
DEFAULT PASSWORD SET |
Schneider Electric серии Modicon: M580, M340 |
Modbus TCP |
DEFAULT PASSWORD READ WITH TYPE |
Siemens SIMATIC серий S7-200, S7-300, S7-400 |
Siemens Industrial Ethernet Siemens S7comm |
DEFAULT PASSWORD ENTRY DEFAULT PASSWORD READ |
Siemens SIMATIC серий S7-1200, S7-1500 |
Siemens Industrial Ethernet Siemens S7comm-plus |
DEFAULT PASSWORD ENTRY DEFAULT PASSWORD READ DEFAULT PASSWORD SET |
Прософт-Системы Regul R500, ПЛК с системой исполнения для CODESYS V3 |
CODESYS V3 Gateway |
DEFAULT PASSWORD ENTRY DEFAULT PASSWORD READ DEFAULT PASSWORD SET |
ЭКРА серии 200 |
Modbus TCP для устройств ЭКРА серии 200 |
DEFAULT PASSWORD READ DEFAULT PASSWORD SET |
ЭКРА серий БЭ2502, БЭ2704 |
ABB SPA-Bus |
DEFAULT PASSWORD ENTRY DEFAULT PASSWORD SET |
Для регистрации событий обнаружения паролей по умолчанию должны выполняться следующие условия:
- Контроль взаимодействий включен в режиме наблюдения с применением технологии Контроль системных команд.
- В таблице разрешающих правил отсутствуют правила для технологии Контроль системных команд, которые разрешают системные команды с паролями по умолчанию. Например, программа может автоматически создать такие правила в режиме обучения контроля взаимодействий. Если такие правила присутствуют в таблице разрешающих правил, рекомендуется их выключить.
- Для нужных устройств включено отслеживание системных команд с паролями по умолчанию.
Обнаружение проблем безопасности в протоколах шифрования
Если в промышленной сети используются протоколы шифрования (например, SSL/TLS или SSH), Kaspersky Industrial CyberSecurity for Networks может обнаруживать различные проблемы безопасности в сетевых взаимодействиях по этим протоколам. При обнаружении проблемы безопасности программа регистрирует соответствующее событие. Для регистрации таких событий используется системный тип события обнаружения системных команд.
Программа регистрирует события при обнаружении следующих проблем безопасности в протоколе шифрования:
- Использование устаревшей версии протокола шифрования (DEPRECATED PROTOCOL VERSION).
- Использование слабого алгоритма шифрования (WEAK CIPHER TYPE).
- Использование просроченного сертификата (OUTDATED CERTIFICATE).
- Использование самоподписанного сертификата (SELF-SIGNED CERTIFICATE).
Перечень обнаруживаемых проблем безопасности зависит от протокола шифрования.
После установки программы используются исходные модули обработки протоколов, обеспечивающие поддержку ограниченного количества протоколов шифрования. Вы можете обновлять модули обработки протоколов, устанавливая обновления.
Для обнаружения проблем безопасности в протоколах шифрования не требуется добавлять параметры контроля процесса для устройств. Программа анализирует протоколы шифрования во всех обнаруженных взаимодействиях.
Для регистрации событий обнаружения проблем безопасности должны выполняться следующие условия:
- Контроль взаимодействий включен в режиме наблюдения с применением технологии Контроль системных команд.
- В таблице разрешающих правил отсутствуют правила для технологии Контроль системных команд, которые блокируют регистрацию событий о проблемах безопасности в протоколах шифрования. Например, программа может автоматически создать такие правила в режиме обучения контроля взаимодействий. Если такие правила присутствуют в таблице разрешающих правил, рекомендуется их выключить.
Управление программой через Kaspersky Security Center
Этот раздел содержит информацию о настройке взаимодействия программы с Kaspersky Security Center и об использовании функций Kaspersky Security Center для работы с Kaspersky Industrial CyberSecurity for Networks. С помощью Kaspersky Security Center вы можете выполнять следующие действия:
- добавлять лицензионный ключ в Kaspersky Industrial CyberSecurity for Networks;
- загружать в Kaspersky Industrial CyberSecurity for Networks обновления баз и программных модулей;
- просматривать события Kaspersky Industrial CyberSecurity for Networks в Консоли администрирования Kaspersky Security Center;
- контролировать состояние безопасности АСУ ТП в Консоли администрирования или в SCADA-системе;
- удаленно подключаться к компьютеру Сервера Kaspersky Industrial CyberSecurity for Networks;
- использовать технологию единого входа для аутентификации пользователей Kaspersky Security Center 13.2 Web Console при подключении к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс;
- использовать расширенные возможности централизованного контроля систем с Kaspersky Industrial CyberSecurity for Networks в Kaspersky Security Center 13.2 Web Console (при использовании веб-плагина управления Kaspersky Industrial CyberSecurity for Networks).
Для взаимодействия Kaspersky Industrial CyberSecurity for Networks и Kaspersky Security Center должны быть выполнены следующие условия:
- При установке Сервера Kaspersky Industrial CyberSecurity for Networks добавлена функциональность взаимодействия программы с Kaspersky Security Center.
- В Kaspersky Industrial CyberSecurity for Networks включена и настроена функциональность взаимодействия с Kaspersky Security Center.
- В Kaspersky Security Center установлен плагин управления Kaspersky Industrial CyberSecurity for Networks для Kaspersky Security Center.
- В Kaspersky Security Center 13.2 Web Console установлен веб-плагин управления Kaspersky Industrial CyberSecurity for Networks (для реализации расширенных возможностей централизованного контроля систем с Kaspersky Industrial CyberSecurity for Networks).
- Компьютер, на котором установлен Сервер Kaspersky Industrial CyberSecurity for Networks, включен в группу администрирования Kaspersky Security Center (в группу Управляемые устройства или в ее подгруппу). Подробную информацию о перемещении управляемых устройств в группы администрирования см. в справочной системе для Kaspersky Security Center.
Включение и настройка функциональности взаимодействия с Kaspersky Security Center
После добавления в программу функциональности взаимодействия с Kaspersky Security Center эта функциональность по умолчанию выключена.
Чтобы включить и настроить функциональность взаимодействия программы с Kaspersky Security Center:
- Подключитесь к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс под учетной записью Администратора.
- Выберите раздел Параметры → Kaspersky Security Center.
- Включите взаимодействие с Kaspersky Security Center с помощью переключателя Включено.
- В блоке Параметры коннектора настройте параметры Kaspersky Security Center Connector:
- IP-адрес / сетевое имя компьютера с Сервером администрирования Kaspersky Security Center.
- SSL-порт для подключения.
- Максимальное количество передаваемых событий за сутки, начиная с нуля часов в часовом поясе Сервера Kaspersky Industrial CyberSecurity for Networks.
- В блоке Параметры плагина для Kaspersky Security Center Web Console настройте параметры подключений из Kaspersky Security Center Web Console:
- Имя пользователя Kaspersky Industrial CyberSecurity for Networks, который будет указан в записях журнала аудита при регистрации действий из Kaspersky Security Center Web Console.
- IP-адрес / сетевое имя веб-сервера.
- IP-адрес сервера REST API.
- Нажмите на кнопку Применить.
Добавление лицензионного ключа в Kaspersky Industrial CyberSecurity for Networks из Kaspersky Security Center
Вы можете добавить лицензионный ключ в Kaspersky Industrial CyberSecurity for Networks с использованием функциональности автоматического распространения лицензионных ключей в Kaspersky Security Center. Лицензионный ключ, полученный таким способом, обрабатывается в Kaspersky Industrial CyberSecurity for Networks так же, как и при добавлении ключа вручную в программе.
Для распространения лицензионного ключа вам нужно добавить его в хранилище Сервера администрирования Kaspersky Security Center. Вы можете добавить лицензионный ключ в хранилище Сервера администрирования из файла лицензионного ключа.
Автоматическое распространение лицензионного ключа работает, если компьютер Сервера Kaspersky Industrial CyberSecurity for Networks входит в группу администрирования в папке Управляемые устройства в дереве Консоли администрирования Kaspersky Security Center. Если компьютер Сервера Kaspersky Industrial CyberSecurity for Networks отсутствует в группе администрирования, вам нужно добавить его.
Подробную информацию о лицензировании управляемых программ в Kaspersky Security Center и описания действий для автоматического распространения ключей см. в справочной системе Kaspersky Security Center.
В начало
Получение обновлений с Сервера администрирования Kaspersky Security Center
Вы можете использовать Сервер администрирования Kaspersky Security Center в качестве источника обновлений баз и программных модулей Kaspersky Industrial CyberSecurity for Networks. Такой способ получения обновлений может потребоваться, например, для загрузки обновлений с серверов "Лаборатории Касперского" при отсутствии доступа в интернет на компьютере Сервера Kaspersky Industrial CyberSecurity for Networks.
Чтобы использовать Сервер администрирования Kaspersky Security Center в качестве источника обновлений баз и программных модулей Kaspersky Industrial CyberSecurity for Networks:
- В Консоли администрирования Kaspersky Security Center создайте и настройте задачу Загрузка обновлений в хранилище Сервера администрирования.
Подробную информацию о создании и использовании задачи Загрузка обновлений в хранилище Сервера администрирования см. в справочной системе Kaspersky Security Center.
- Выберите Сервер администрирования Kaspersky Security Center в качестве источника обновлений при запуске обновления вручную и/или при настройке автоматического обновления.
Мониторинг событий через Kaspersky Security Center
В Kaspersky Security Center сведения о событиях Kaspersky Industrial CyberSecurity for Networks отображаются в следующих графах таблицы событий:
- Время – время регистрации события Kaspersky Industrial CyberSecurity for Networks в часовом поясе компьютера, на котором установлен Kaspersky Security Center.
- Устройство – имя управляемого устройства в Kaspersky Security Center (компьютер, на котором установлен Сервер Kaspersky Industrial CyberSecurity for Networks).
- Событие – название типа события в Kaspersky Security Center, заданное для событий Kaspersky Industrial CyberSecurity for Networks.
- Описание – заголовок и краткое описание события Kaspersky Industrial CyberSecurity for Networks.
- Группа – имя группы администрирования, к которой относится компьютер Сервера Kaspersky Industrial CyberSecurity for Networks, в папке Управляемые устройства в дереве Консоли администрирования Kaspersky Security Center.
- Программа – название программы (Kaspersky Industrial CyberSecurity for Networks).
- Номер версии – номер версии программы.
- Уровень важности – уровень важности события в соответствии с типизацией Kaspersky Security Center.
- Зарегистрировано – время регистрации события в базе данных Kaspersky Security Center.
Вы можете настроить состав полей, отображаемых в таблице событий. Описания действий для добавления и удаления полей в таблицах см. в справочной системе Kaspersky Security Center.
Значения параметров событий, передаваемых из Kaspersky Industrial CyberSecurity for Networks, отображаются согласно параметрам локализации Kaspersky Industrial CyberSecurity for Networks. Язык локализации Kaspersky Security Center для этих параметров не учитывается.
Если событие Kaspersky Industrial CyberSecurity for Networks содержит сведения о нескольких сетевых взаимодействиях, это событие преобразуется в отдельные элементы таблицы событий Kaspersky Security Center. Таким образом, для каждого сетевого взаимодействия, указанного в событии Kaspersky Industrial CyberSecurity for Networks, создаются отдельные события в Kaspersky Security Center.
Чтобы события Kaspersky Industrial CyberSecurity for Networks отображались в таблице событий Kaspersky Security Center:
- Убедитесь, что в Kaspersky Industrial CyberSecurity for Networks и Kaspersky Security Center установлены необходимые компоненты.
- Убедитесь, что на компьютере Сервера Kaspersky Industrial CyberSecurity for Networks доступен порт для подключения к компьютеру с Kaspersky Security Center.
- В плагине управления Kaspersky Industrial CyberSecurity for Networks для Kaspersky Security Center настройте получение событий нужных типов для всех уровней важности событий. Подробную информацию о настройке получения событий Kaspersky Security Center см. в справочной системе для Kaspersky Security Center.
- В Kaspersky Industrial CyberSecurity for Networks настройте передачу событий через коннектор Kaspersky Security Center Connector.
При регистрации в Kaspersky Industrial CyberSecurity for Networks указанных типов событий эти события также будут отображаться в таблице событий Kaspersky Security Center.
Типы событий в Kaspersky Security Center для событий Kaspersky Industrial CyberSecurity for Networks
Для получения событий Kaspersky Industrial CyberSecurity for Networks в Kaspersky Security Center используется фиксированный набор типов событий. Типы событий в Kaspersky Security Center соответствуют определенным типам событий в Kaspersky Industrial CyberSecurity for Networks и в зависимости от уровней важности событий могут регистрироваться в качестве инцидентов Kaspersky Security Center (см. таблицу ниже).
Типы событий в Kaspersky Security Center для получения событий Kaspersky Industrial CyberSecurity for Networks
Отображаемое имя типа события |
Код типа события в Kaspersky Security Center |
Регистрация в качестве инцидента Kaspersky Security Center |
Соответствующий код типа события в Kaspersky Industrial CyberSecurity for Networks |
|---|---|---|---|
Достигнуто максимальное количество переданных событий |
32769 |
да, с уровнем важности Предупреждение |
– |
Тестовое событие (DPI) |
32770 |
нет |
4000000001 |
Тестовое событие (NIC) |
32771 |
нет |
4000000002 |
Тестовое событие (IDS) |
32772 |
нет |
4000000003 |
Тестовое событие (AM) |
32773 |
нет |
4000000004 |
Обнаружено неразрешенное сетевое взаимодействие |
32774 |
нет |
4000002601 |
Обнаружена системная команда |
32775 |
только события с уровнем важности Критические |
4000002602 |
Отсутствует трафик на точке мониторинга |
32776 |
нет |
4000002700 |
Обнаружена аномалия в протоколе TCP: подмена содержимого в перекрывающихся TCP-сегментах |
32777 |
да |
4000002701 |
Нарушено правило контроля процесса |
32778 |
только события с уровнем важности Критические |
4000002900 |
Сработало правило обнаружения вторжений из системного набора правил |
32779 |
нет |
4000003000 |
Сработало правило обнаружения вторжений из пользовательского набора правил |
32780 |
нет |
4000003001 |
Обнаружены признаки ARP-спуфинга в ARP-ответах |
32781 |
да |
4000004001 |
Обнаружены признаки ARP-спуфинга в ARP-запросах |
32782 |
да |
4000004002 |
Обнаружено новое устройство в сети |
32783 |
да |
4000005003 |
Обнаружены новые параметры устройства |
32784 |
нет |
4000005004 |
Обнаружен конфликт IP-адреса |
32785 |
да |
4000005005 |
Обнаружена активность устройства со статусом Неиспользуемое |
32786 |
нет |
4000005006 |
Обнаружен новый IP-адрес устройства |
32787 |
да |
4000005007 |
Обнаружен новый MAC-адрес устройства |
32788 |
да |
4000005010 |
Добавлен MAC-адрес устройству |
32789 |
нет |
4000005008 |
Добавлен IP-адрес устройству |
32790 |
нет |
4000005009 |
Контроль проектов ПЛК: обнаружено чтение неизвестного блока из ПЛК |
32791 |
нет |
4000005200 |
Контроль проектов ПЛК: обнаружено чтение известного блока из ПЛК |
32792 |
нет |
4000005201 |
Контроль проектов ПЛК: обнаружена запись нового блока в ПЛК |
32793 |
нет |
4000005202 |
Контроль проектов ПЛК: обнаружена запись известного блока в ПЛК |
32794 |
нет |
4000005203 |
Контроль проектов ПЛК: обнаружено чтение неизвестного проекта из ПЛК |
32795 |
нет |
4000005204 |
Контроль проектов ПЛК: обнаружено чтение известного проекта из ПЛК |
32796 |
нет |
4000005205 |
Контроль проектов ПЛК: обнаружена запись нового проекта в ПЛК |
32897 |
нет |
4000005206 |
Контроль проектов ПЛК: обнаружена запись известного проекта в ПЛК |
32898 |
нет |
4000005207 |
Обнаружена аномалия в протоколе IP: конфликт данных при сборке IP-пакета |
32899 |
да |
4000005100 |
Обнаружена аномалия в протоколе IP: превышение размера фрагментированного IP-пакета |
32800 |
да |
4000005101 |
Обнаружена аномалия в протоколе IP: размер начального фрагмента IP-пакета меньше ожидаемого |
32801 |
да |
4000005102 |
Обнаружена аномалия в протоколе IP: несоответствие фрагментов IP-пакета (mis-associated fragments) |
32802 |
да |
4000005103 |
Обнаружена уязвимость |
32803 |
только события с уровнем важности Критические |
4000005300 |
Изменены сведения об уязвимости |
32804 |
нет |
4000005303 |
Зарегистрировано событие по правилу корреляции |
32805 |
только события с уровнем важности Критические |
8000000001 |
Событие от внешней системы |
32806 |
да |
4000005400 |
Срабатывание в EPP-программе |
32807 |
да |
4000005500 |
Обнаружен другой MAC-адрес устройства в полученных данных от EPP-программы |
32808 |
да |
4000005011 |
Обнаружена новая адресная информация устройства в полученных данных от EPP-программы |
32809 |
да |
4000005012 |
Обнаружен конфликт в адресах устройств после получения данных от EPP-программы |
32810 |
да |
4000005013 |
Добавлена подсеть по данным от EPP-программы |
32811 |
да |
4000005014 |
Соответствие уровней важности событий в Kaspersky Security Center
Уровни важности событий в Kaspersky Security Center соответствуют уровням важности событий Kaspersky Industrial CyberSecurity for Networks (см. таблицу ниже).
Соответствие уровней важности событий
Уровни важности событий Kaspersky Security Center |
Уровни важности событий Kaspersky Industrial CyberSecurity for Networks |
|---|---|
Информационное сообщение |
Информационные |
Предупреждение |
Важные |
Критическое событие |
Критические |
Контроль состояния безопасности АСУ ТП: Kaspersky Security Center и SCADA
Kaspersky Industrial CyberSecurity for Networks может передавать данные о состоянии безопасности АСУ ТП в Kaspersky Security Center. Для передачи данных в Kaspersky Industrial CyberSecurity for Networks и Kaspersky Security Center должны быть установлены необходимые компоненты.
Если настроена передача данных о состоянии безопасности АСУ ТП в Kaspersky Security Center, вы можете настроить в SCADA-системе получение соответствующей информации из Kaspersky Security Center.
Просмотр состояния безопасности АСУ ТП в Kaspersky Security Center
Чтобы просмотреть состояние безопасности АСУ ТП в Kaspersky Security Center:
- Откройте Консоль администрирования Kaspersky Security Center.
- В дереве Консоли администрирования Kaspersky Security Center в папке Управляемые устройства выберите группу администрирования, содержащую компьютер, на котором установлен Сервер Kaspersky Industrial CyberSecurity for Networks.
Информация о статусе компьютера отобразится в блоке работы с выбранным объектом, который появляется справа в рабочей области выбранной группы.
- Если блок работы с выбранным объектом не отображается, откройте его с помощью правой границы таблицы со списком управляемых устройств.
Статус компьютера Сервера Kaspersky Industrial CyberSecurity for Networks соответствует состоянию безопасности АСУ ТП. Состояние безопасности АСУ ТП определяется по наличию необработанных инцидентов Kaspersky Security Center. Инциденты Kaspersky Security Center регистрируются при получении определенных типов событий Kaspersky Industrial CyberSecurity for Networks.
Цвет значка компьютера Сервера Kaspersky Industrial CyberSecurity for Networks соответствует одному из следующих состояний безопасности АСУ ТП:
- Красный цвет: статус Критический. Есть необработанные инциденты Kaspersky Security Center. Этот статус отображается, если для выбранной группы администрирования включено условие Есть необработанные инциденты в списке условий статуса Критический (включено по умолчанию).
- Желтый цвет: статус Предупреждение. Есть необработанные инциденты Kaspersky Security Center. Этот статус отображается, если для выбранной группы администрирования включено условие Есть необработанные инциденты в списке условий статуса Предупреждение (и при этом такое условие выключено для статуса Критический).
- Зеленый цвет: статус ОК. Отсутствуют необработанные инциденты Kaspersky Security Center.
Зеленый цвет значка со статусом ОК может отображаться и при наличии необработанных инцидентов Kaspersky Security Center. Это возможно, если для выбранной группы администрирования выключено условие Есть необработанные инциденты в списках условий статусов Предупреждение и Критический. Для правильного отображения состояния безопасности АСУ ТП требуется включить указанное условие в списке условий хотя бы одного из статусов Предупреждение или Критический.
Просмотр состояния безопасности АСУ ТП через SCADA-систему
Чтобы настроить получение и отображение состояния безопасности АСУ ТП в SCADA-системе:
- На компьютере с Kaspersky Security Center установите Kaspersky Security Gateway.
Вы можете найти подробную информацию об установке и настройке Kaspersky Security Gateway в документе Руководство администратора Kaspersky Security Gateway.
- В SCADA-системе создайте элемент управления, отображающий состояние компьютера с Kaspersky Industrial CyberSecurity for Networks.
- Настройте созданный элемент управления на получение данных по протоколу OPC DA 2.0 или IEC 60870-5-104.
Способ настройки элемента управления описан в документе Руководство администратора Kaspersky Security Gateway.
Подключение к компьютеру Сервера из Kaspersky Security Center
Вы можете удаленно подключаться к компьютеру Сервера Kaspersky Industrial CyberSecurity for Networks из Консоли администрирования Kaspersky Security Center. Подключение выполняется с помощью системы удаленного доступа к рабочему столу Virtual Network Computing (далее VNC).
Для подключения вам необходимо установить и настроить следующие компоненты VNC:
- VNC-сервер. Устанавливается на компьютере, который выполняет функции Сервера Kaspersky Industrial CyberSecurity for Networks. При настройке VNC-сервера нужно задать пароль для VNC-подключения. Дополнительно, если на этом компьютере включен межсетевой экран, нужно открыть порты для протоколов VNC и SSH.
- VNC-клиент. Устанавливается на компьютере с Консолью администрирования Kaspersky Security Center.
Чтобы получить доступ к компьютеру Сервера Kaspersky Industrial CyberSecurity for Networks из Kaspersky Security Center:
- Откройте Консоль администрирования Kaspersky Security Center.
- В дереве Консоли администрирования Kaspersky Security Center в папке Управляемые устройства выберите группу администрирования, содержащую компьютер, на котором установлен Сервер Kaspersky Industrial CyberSecurity for Networks.
- В рабочей области на закладке Устройства выберите компьютер, на котором установлен Сервер Kaspersky Industrial CyberSecurity for Networks, и в контекстном меню компьютера выберите пункт Внешние инструменты → VNC.
По умолчанию инструмент VNC отсутствует в списке внешних инструментов. Для добавления инструмента в контекстном меню компьютера выберите пункт Внешние инструменты → Настроить внешние инструменты. В окне Внешние инструменты нажмите на кнопку Добавить и укажите следующие значения параметров:
- В поле Имя инструмента введите произвольное имя инструмента (например,
VNC). - В поле Имя исполняемого файла введите полный путь к исполняемому файлу VNC-клиента (например,
C:\Program Files\TightVNC\tvnviewer.exe). - В поле Рабочая папка введите полный путь к рабочей папке VNC-клиента (например,
C:\Program Files\TightVNC\). - В поле Командная строка введите значение:
<A>:<P>. - Установите флажок Создать туннель для заданного ниже TCP-порта и введите номер VNC-порта на VNC-сервере (например, если VNC-сервер использует экран :3, введите номер VNC-порта
5903).
- В поле Имя инструмента введите произвольное имя инструмента (например,
- После запуска внешнего инструмента VNC отобразится окно с запросом пароля. Введите пароль для VNC-подключения.
В открывшемся окне отобразится рабочий стол компьютера, на котором установлен Сервер Kaspersky Industrial CyberSecurity for Networks.
В начало
Централизованный контроль систем с Kaspersky Industrial CyberSecurity for Networks в Kaspersky Security Center Web Console
Kaspersky Security Center 13.2 Web Console (далее также Web Console) предоставляет расширенные возможности для централизованного контроля состояния безопасности информационных систем, в которых функционирует Kaspersky Industrial CyberSecurity for Networks. Расширенные возможности реализуются при использовании веб-плагина управления Kaspersky Industrial CyberSecurity for Networks (далее также "веб-плагин") в Web Console. Для использования веб-плагина его требуется установить на компьютер с установленной программой Kaspersky Security Center Web Console.
После установки и настройки веб-плагина вы можете выполнять в Web Console следующие действия:
- мониторинг систем, контролируемых Kaspersky Industrial CyberSecurity for Networks, а также Серверов Kaspersky Industrial CyberSecurity for Networks, с помощью веб-виджетов, предназначенных только для работы с Kaspersky Industrial CyberSecurity for Networks;
- поиск устройств и событий по базам данных выбранных Серверов Kaspersky Industrial CyberSecurity for Networks с использованием различных критериев фильтрации;
- размещение компонентов и групп компонентов Kaspersky Industrial CyberSecurity for Networks на картах (географических, схематических или на любых других изображениях) для распределения объектов по территориальному признаку;
- группирование компонентов Kaspersky Industrial CyberSecurity for Networks в организационных единицах (далее также "подразделениях"), логически разграничивающих зоны контроля и/или развертывания Kaspersky Industrial CyberSecurity for Networks.
При использовании перечисленных функций вы можете выполнять быстрые переходы из Web Console для подключения к нужным Серверам Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс. При этом если используется технология единого входа, то при подключении к Серверу Kaspersky Industrial CyberSecurity for Networks не обязательно указывать учетные данные только тех пользователей, которые созданы в Kaspersky Industrial CyberSecurity for Networks. Аутентификацию могут также пройти пользователи, выполнившие вход в Web Console.
О веб-плагине управления Kaspersky Industrial CyberSecurity for Networks
Веб-плагин управления Kaspersky Industrial CyberSecurity for Networks обеспечивает взаимодействие программы c Kaspersky Security Center 13.2 Web Console.
Веб-плагин по умолчанию не установлен в Web Console. В отличие от плагина управления для Консоли администрирования Kaspersky Security Center, который устанавливается на рабочее место администратора, веб-плагин требуется установить на компьютер с установленной программой Kaspersky Security Center Web Console. При этом функции веб-плагина доступны всем администраторам, у которых есть доступ к Web Console в браузере.
Вы можете просмотреть список установленных веб-плагинов в интерфейсе Web Console: Параметры Консоли → Веб-плагины.
Установка веб-плагина
Вы можете установить веб-плагин следующими способами:
- Установить веб-плагин из списка доступных дистрибутивов в Web Console.
Для установки веб-плагина выберите дистрибутив веб-плагина в интерфейсе Web Console: Параметры Консоли → Веб-плагины. Список доступных дистрибутивов обновляется автоматически после выпуска новых версий программ "Лаборатории Касперского".
- Загрузить дистрибутив в Web Console из стороннего источника.
Для установки веб-плагина добавьте ZIP-архив дистрибутива веб-плагина в интерфейсе Web Console: Параметры Консоли → Веб-плагины. Дистрибутив веб-плагина можно загрузить, например, на веб-сайте "Лаборатории Касперского". Для локальной версии программы вам также нужно загрузить текстовый файл, содержащий сигнатуру.
- Загрузить дистрибутив из списка доступных дистрибутивов, плагинов и патчей для Kaspersky Security Center.
Для установки веб-плагина выберите дистрибутив веб-плагина в интерфейсе Web Console: Операции → Программы "Лаборатории Касперского" → Текущие версии программ. Список доступных дистрибутивов обновляется автоматически после выпуска новых версий программ "Лаборатории Касперского".
Обновление веб-плагина
При появлении новой версии веб-плагина Web Console отобразит уведомление Доступны обновления для используемых плагинов. Вы можете перейти к обновлению версии веб-плагина из уведомления Web Console. Также вы можете проверить наличие обновлений веб-плагина вручную в интерфейсе Web Console (Параметры Консоли → Веб-плагины). Предыдущая версия веб-плагина будет автоматически удалена во время обновления.
При обновлении веб-плагина сохраняются уже существующие элементы (например, добавленные виджеты или изображения карт). Новые параметры элементов, реализующие новые функции Kaspersky Industrial CyberSecurity for Networks, будут иметь значения по умолчанию.
Вы можете обновить веб-плагин следующими способами:
- Обновить веб-плагин в списке веб-плагинов в онлайн-режиме.
Для обновления веб-плагина требуется выбрать дистрибутив веб-плагина Kaspersky Industrial CyberSecurity for Networks в интерфейсе Web Console и запустить обновление (Параметры Консоли → Веб-плагины). Web Console проверит наличие обновлений на серверах "Лаборатории Касперского" и загрузит необходимые обновления.
- Обновить веб-плагин из файла.
Для обновления веб-плагина требуется выбрать ZIP-архив дистрибутива веб-плагина Kaspersky Industrial CyberSecurity for Networks в интерфейсе Web Console: Параметры Консоли → Веб-плагины. Дистрибутив веб-плагина можно загрузить, например, на веб-сайте "Лаборатории Касперского". Для локальной версии программы вам также нужно загрузить текстовый файл, содержащий сигнатуру.
Вы можете обновить веб-плагин только до более новой версии. Обновить веб-плагин до более старой версии невозможно.
Сценарий подготовки к использованию технологии единого входа (SSO)
При совместной работе с Kaspersky Security Center вы можете использовать технологию единого входа (англ. Single Sign-On, SSO), которая позволяет пользователям, выполнившим вход в Kaspersky Security Center Web Console, пройти аутентификацию при подключении к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс. Таким образом, любые учетные записи пользователей, которым доступна возможность работы с Kaspersky Security Center Web Console (включая пользователей Active Directory), могут подключаться к Серверу со своими учетными данными.
Технология единого входа доступна для использования с Kaspersky Industrial CyberSecurity for Networks в версии Kaspersky Security Center 13.2 Web Console.
Сценарий подготовки к использованию технологии единого входа состоит из следующих этапов:
- Проверка и выполнение необходимых условий для взаимодействия Kaspersky Industrial CyberSecurity for Networks и Kaspersky Security Center
На этом этапе вам нужно проверить выполнение всех условий для взаимодействия Kaspersky Industrial CyberSecurity for Networks и Kaspersky Security Center. Если какое-то из условий не выполнено, обеспечьте выполнение этого условия. Например, если в Kaspersky Industrial CyberSecurity for Networks не настроена функциональность взаимодействия с Kaspersky Security Center, то включите и настройте эту функциональность.
- Включение и настройка компонента Kaspersky Security Center Web Console Identity and Access Manager (IAM)
На этом этапе выполняются процедуры установки и настройки компонента Identity and Access Manager в Kaspersky Security Center Web Console. Подробную информацию об установке и настройке этого компонента см. в справочной системе Kaspersky Security Center.
При настройке компонента IAM рекомендуется указывать DNS-имя компьютера в качестве сетевого имени устройства только в том случае, если компьютер доступен по этому имени с компьютера Сервера Kaspersky Industrial CyberSecurity for Networks. Если доступ возможен только по IP-адресу, укажите этот IP-адрес вместо DNS-имени.
- Регистрация Сервера Kaspersky Industrial CyberSecurity for Networks в качестве клиента для компонента IAM
На этом этапе компонент IAM обнаруживает Серверы Kaspersky Industrial CyberSecurity for Networks, готовые для регистрации в качестве клиентов для этого компонента. Вам нужно принять запрос на регистрацию Сервера после его обнаружения. Обнаруженные и зарегистрированные клиенты компонента IAM отображаются в таблице, которую вы можете открыть в Kaspersky Security Center Web Console в разделе Параметры консоли → Интеграция → Identity and Access Manager. Для того, чтобы зарегистрировать Серверы, откройте таблицу по ссылке Параметры в блоке с информацией о зарегистрированных клиентах, установите флажки рядом с нужными Серверами и нажмите на кнопку Одобрить.
После того, как вы подтвердили регистрацию клиента компонента IAM, вам нужно дождаться завершения процесса подготовки к работе. По окончании синхронизации между компонентом IAM и клиентом, для этого клиента отобразится статус готовности к работе. Если статус не изменился, нажмите на кнопку Обновить.
Компоненту IAM требуется некоторое время на обнаружение клиентов и синхронизацию с ними. В зависимости от загруженности Сервера администрирования Kaspersky Security Center и Сервера Kaspersky Industrial CyberSecurity for Networks, выполнение этих действий может занять до 15 минут.
- Подготовка пользователей с правами доступа для подключения к Kaspersky Industrial CyberSecurity for Networks
На этом этапе вам нужно предоставить права доступа пользователям Kaspersky Security Center, соответствующие ролям Администратор и Оператор Kaspersky Industrial CyberSecurity for Networks. Вы можете использовать для этого как уже существующие учетные записи, так и новые учетные записи пользователей и групп, созданные для предоставления только таких прав.
В результате выполнения сценария в Kaspersky Industrial CyberSecurity for Networks появится возможность подключения к Серверу через веб-интерфейс с учетными данными пользователей Kaspersky Security Center. Для этого вы можете использовать кнопку Пользователь Kaspersky Security Center на странице ввода учетных данных веб-интерфейса Kaspersky Industrial CyberSecurity for Networks.
В начало
Предоставление пользователям Kaspersky Security Center прав доступа, соответствующих ролям пользователей в Kaspersky Industrial CyberSecurity for Networks
Для использования технологии единого входа и для выполнения некоторых действий в Web Console пользователям Kaspersky Security Center требуется предоставить права доступа, соответствующие ролям пользователей в Kaspersky Industrial CyberSecurity for Networks. Вы можете предоставлять такие права после того, как на Сервер администрирования Kaspersky Security Center загружен файл, содержащий конфигурацию модели управления доступом на основе ролей (RBAC) для Kaspersky Industrial CyberSecurity for Networks.
Конфигурация загружается автоматически при установке веб-плагина управления Kaspersky Industrial CyberSecurity for Networks. Если конфигурация загружена на Сервер администрирования, то в папке %ProgramData%\KasperskyLab\adminkit\1093\dat\rbac\ сохраняется файл KICS4NET_<номер версии файла>.conf. При отсутствии в указанной папке файла KICS4NET_<номер версии файла>.conf создайте и настройте задачу Загрузка обновлений в хранилище Сервера администрирования. Подробную информацию о создании и использовании задачи Загрузка обновлений в хранилище Сервера администрирования см. в справочной системе Kaspersky Security Center. В качестве источника обновлений вы можете выбрать Серверы обновлений "Лаборатории Касперского".
После загрузки конфигурации RBAC для Kaspersky Industrial CyberSecurity for Networks в Kaspersky Security Center появляется возможность назначения пользователям прав, соответствующих ролям Администратор и Оператор Kaspersky Industrial CyberSecurity for Networks.
Ролям пользователей в Kaspersky Industrial CyberSecurity for Networks соответствуют следующие права доступа в Kaspersky Security Center из функциональной области Kaspersky Industrial CyberSecurity for Networks: Общие функции:
- Чтение – соответствует роли Оператор.
- Запись – соответствует роли Администратор.
Совместно с этими правами пользователям должны быть назначены все права из функциональной области Сервер администрирования Kaspersky Security Center: Общие функции: Базовая функциональность (в эту функциональную область входят права Чтение, Запись, Выполнение и Выполнение действий над выборками устройств).
Подробную информацию об управлении учетными записями пользователей и назначении прав см. в справочной системе Kaspersky Security Center.
В начало
Веб-виджеты для мониторинга систем и Серверов Kaspersky Industrial CyberSecurity for Networks
Для мониторинга систем, контролируемых Kaspersky Industrial CyberSecurity for Networks, а также Серверов Kaspersky Industrial CyberSecurity for Networks, вы можете использовать веб-виджеты. Kaspersky Security Center Web Console отображает веб-виджеты в панели мониторинга (раздел Мониторинг и отчеты → Панель мониторинга). По умолчанию веб-виджеты для Kaspersky Industrial CyberSecurity for Networks не отображаются в панели мониторинга. Вы можете добавить нужные веб-виджеты после установки веб-плагина управления Kaspersky Industrial CyberSecurity for Networks.
Веб-виджеты позволяют разместить в панели мониторинга следующую информацию:
- Статусы KICS for Networks.
- Критические события KICS for Networks.
- Устройства, требующие внимания в KICS for Networks.
- Актуальные события KICS for Networks.
- Карта размещения KICS for Networks.
- Информация о Серверах KICS for Networks.
Веб-виджеты для Kaspersky Industrial CyberSecurity for Networks входят в категорию Другие в списке доступных веб-виджетов Web Console.
Отображаемая информация на веб-виджетах автоматически обновляется каждые 1–2 минуты. Если данные от Сервера не поступают дольше двух минут, устаревшие данные на веб-виджетах скрываются. При необходимости вы можете обновить отображаемую информацию вручную, используя соответствующий пункт в меню веб-виджета.
Веб-виджет Статусы KICS for Networks
В веб-виджете Статусы KICS for Networks для Web Console отображается количественное соотношение текущих статусов, присвоенных Серверам Kaspersky Industrial CyberSecurity for Networks. Сведения представлены только по актуальным статусам (если нет Серверов с каким-либо статусом, этот статус не отображается в веб-виджете).
Для Серверов в веб-виджете предусмотрены следующие статусы:
- Критический.
Этот статус присваивается Серверу, если выполняется хотя бы одно из следующих условий:
- на Сервере есть сообщения о нарушении работы программы;
- в базе данных Сервера есть необработанные события с уровнем важности Критические;
- есть устройства со статусом Неразрешенное;
- закончился срок годности лицензионного ключа.
- Важный.
Этот статус присваивается Серверу, если не выполняются условия для присвоения статуса Критический и при этом выполняется хотя бы одно из следующих условий:
- на Сервере есть сообщения о некритических сбоях;
- в базе данных Сервера есть необработанные события с уровнем важности Важные;
- до окончания срока годности лицензионного ключа осталось менее 14 дней.
- ОК.
Этот статус присваивается Серверу во всех остальных случаях (при доступности Сервера и поступлении данных для обработки).
- Обслуживание.
Этот статус присваивается Серверу, если программа находится в режиме обслуживания (например, во время импорта политики безопасности).
Если статус Сервера определить невозможно, для этого Сервера отображается статус Неизвестно.
По умолчанию в веб-виджете отображается информация о статусах всех Серверов в группах администрирования Kaspersky Security Center. Если данные от какого-либо Сервера не поступают дольше двух минут, устаревшая информация перестает отображаться в веб-виджете. При необходимости в меню параметров веб-виджета вы можете выбрать Серверы, данные от которых должны отображаться в веб-виджете.
В начало
Веб-виджет Критические события KICS for Networks
В веб-виджете Критические события KICS for Networks для Web Console отображается количественное соотношение необработанных событий с уровнем важности Критические на Серверах Kaspersky Industrial CyberSecurity for Networks. Для каждого Сервера, в базе данных которого есть необработанные события с уровнем важности Критические, указывается количество этих событий.
Цветовое оформление представленных данных в веб-виджете не соответствует уровням важности событий. Цвета на диаграмме веб-виджета используются только для визуального разделения событий от разных Серверов.
По умолчанию в веб-виджете отображается информация по данным, поступающим в Web Console от всех Серверов в группах администрирования Kaspersky Security Center. Если данные от какого-либо Сервера не поступают дольше двух минут, устаревшая информация перестает отображаться в веб-виджете. При необходимости в меню параметров веб-виджета вы можете выбрать Серверы, данные от которых должны отображаться в веб-виджете.
В начало
Веб-виджет Устройства, требующие внимания в KICS for Networks
В веб-виджете Устройства, требующие внимания в KICS for Networks для Web Console отображается информация об устройствах, которые были обнаружены программами Kaspersky Industrial CyberSecurity for Networks и требуют внимания. Устройство считается требующим внимания в любом из следующих случаев:
- состояние безопасности устройства отличается от ОК;
- устройство имеет статус Неразрешенное.
При наличии устройств, требующих внимания, веб-виджет содержит следующую информацию:
- Количество устройств, требующих внимания, в каждой категории. Эти данные отображаются в верхней части веб-виджета под значками категорий устройств. Количество отображаемых категорий зависит от свободного пространства в виджете. Если категорий для отображения больше, вы можете открыть окно со всеми категориями с помощью значка Показать все.
- Список категорий устройств, требующих внимания. Эти данные отображаются в средней части виджета. Для каждой категории в списке отображается следующая информация:
- Строка со значком категории и комментарием. В конце строки отображается ссылка с количеством устройств, требующих внимания.
- Строка с графическими элементами, представляющими устройства. Строка отображается, если достаточно свободного пространства в виджете. Если устройств, требующих внимания, больше чем отображаемых графических элементов в строке, то справа отображается количество скрытых устройств в формате
+<количество устройств>.
По умолчанию в веб-виджете отображается информация по данным, поступающим в Web Console от всех Серверов в группах администрирования Kaspersky Security Center. Если данные от какого-либо Сервера не поступают дольше двух минут, устаревшая информация перестает отображаться в веб-виджете. При необходимости в меню параметров веб-виджета вы можете выбрать Серверы, данные от которых должны отображаться в веб-виджете.
Графические элементы устройств
Графические элементы, представляющие устройства, содержат следующую информацию:
- Имя устройства.
- Статус устройства. Отображается в виде значка, если устройство имеет статус Неразрешенное.
- Состояние безопасности устройства. Отображается в виде цветной линии на левой границе графического элемента. Цвет линии соответствует состояниям ОК, Важное или Критическое.
Графические элементы отображаются в следующем порядке:
- Устройства с присвоенным статусом Неразрешенное.
- Устройства, имеющие состояние безопасности Критическое.
- Устройства, имеющие состояние безопасности Важное.
Переходы из веб-виджета
С помощью элементов интерфейса веб-виджета вы можете выполнять переходы для отображения подробных сведений об устройствах. Для этого предусмотрены следующие возможности:
- Переход для вывода сведений о выбранном устройстве в таблице устройств на странице веб-интерфейса Сервера
- Переход для вывода сведений об устройствах выбранной категории в таблице результатов поискового запроса в Web Console
- Переход для вывода сведений обо всех устройствах в таблице результатов поискового запроса в Web Console
Веб-виджет Актуальные события KICS for Networks
В веб-виджете Актуальные события KICS for Networks для Web Console отображается общая информация о событиях Kaspersky Industrial CyberSecurity for Networks, имеющих наиболее поздние значения даты и времени последнего появления.
Веб-виджет содержит следующую информацию:
- Гистограмма событий за выбранный период. Эти данные отображаются в верхней части веб-виджета. Гистограмма отображает распределение событий по уровням важности.
- Список зарегистрированных событий. Эти данные отображаются в средней части веб-виджета. События отсортированы по дате и времени последнего появления.
По умолчанию в веб-виджете отображается информация по данным, поступающим в Web Console от всех Серверов в группах администрирования Kaspersky Security Center. Если данные от какого-либо Сервера не поступают дольше двух минут, устаревшая информация перестает отображаться в веб-виджете. При необходимости в меню параметров веб-виджета вы можете выбрать Серверы, данные от которых должны отображаться в веб-виджете.
Гистограмма событий
На гистограмме распределения событий столбцы соответствуют суммарному количеству событий за каждый интервал времени. Внутри столбцов цветом обозначены уровни важности событий. Уровням важности соответствуют следующие цвета:
- Синий цвет – события с уровнем важности Информационные.
- Желтый цвет – события с уровнем важности Важные.
- Красный цвет – события с уровнем важности Критические.
При наведении курсора мыши на столбец гистограммы во всплывающем окне отображаются сведения о количестве событий по уровням важности.
Длительность интервалов времени зависит от выбранного периода для отображения. Для построения гистограммы вы можете выбрать в меню веб-виджета один из следующих периодов:
- 1 час. Этот период делится на интервалы по одной минуте.
- 12 часов, 24 часа. Эти периоды делятся на интервалы по одному часу.
- 7 дней. Этот период делится на интервалы по 12 часов.
В меню веб-виджета вместо названий периодов могут отображаться внутренние коды для вызова команд, если в Kaspersky Security Center 13.2 Web Console не установлен патч, исправляющий эту ошибку.
Список событий
Количество отображаемых элементов списка событий ограничено размером веб-виджета.
Для каждого события представлены следующие сведения:
- заголовок события;
- уровень важности: Информационные, Важные, или Критические;
- имя компьютера с установленным Сервером Kaspersky Industrial CyberSecurity for Networks.
Переходы из веб-виджета
С помощью элементов интерфейса веб-виджета вы можете выполнять переходы для отображения подробных сведений о событиях. Для этого предусмотрены следующие возможности:
- Переход для вывода сведений о выбранном событии в таблице событий на странице веб-интерфейса Сервера
- Переход для вывода сведений обо всех событиях за выбранный период в таблице результатов поискового запроса в Web Console
Веб-виджет Карта размещения KICS for Networks
В веб-виджете Карта размещения KICS for Networks для Web Console отображается карта территориального распределения подразделений, в которых сгруппированы компоненты Kaspersky Industrial CyberSecurity for Networks. В веб-виджете используется уменьшенная копия общей карты, которая доступна в разделе Web Console KICS for Networks → Карта.
Подразделения на карте обозначены значками, цвета которых зависят от статусов подразделений. Для подразделений предусмотрены следующие статусы:
- Критический.
Этот статус присваивается подразделению, если оно содержит хотя бы один Сервер со статусом Критический.
- Важный.
Этот статус присваивается подразделению, если оно содержит хотя бы один Сервер со статусом Важный и не содержит Серверы со статусами Критический или Неизвестно.
- ОК.
Этот статус присваивается подразделению, если оно содержит хотя бы один Сервер со статусом ОК и не содержит Серверы со статусами Критический, Важный, Неизвестно или Обслуживание.
- Обслуживание.
Этот статус присваивается подразделению, если оно содержит хотя бы один Сервер со статусом Обслуживание и не содержит Серверы со статусами Критический, Важный или Неизвестно.
- Без мониторинга.
Этот статус присваивается подразделению, если оно содержит только Серверы со статусом Без мониторинга.
- Неизвестно.
Этот статус присваивается подразделению, если оно содержит хотя бы один Сервер со статусом Неизвестно и не содержит Серверы со статусом Критический.
- Без Серверов.
Этот статус присваивается подразделению, если оно не содержит Серверы.
Вы можете перейти к общей карте в разделе Web Console KICS for Networks → Карта, нажав на любую часть карты, кроме значков подразделений.
Вы можете перейти к карте подразделения, нажав на значок этого подразделения в веб-виджете.
Веб-виджет Информация о Серверах KICS for Networks
В веб-виджете Информация о Серверах KICS for Networks для Web Console отображаются основные сведения о текущем состоянии Серверов Kaspersky Industrial CyberSecurity for Networks.
Для каждого Сервера представлены следующие сведения:
- Имя Сервера – имя, под которым Сервер представлен в Kaspersky Security Center (имя устройства в группе администрирования).
- Функции – информация о текущем состоянии функций защиты в Kaspersky Industrial CyberSecurity for Networks. Возможны следующие значения:
- Все ВКЛ – работают все технологии и методы, предназначенные для постоянного использования, а также включены все созданные точки мониторинга.
- Не все ВКЛ – некоторые функции защиты выключены или включены в режиме обучения, либо включены не все точки мониторинга.
- Статус – текущий статус Сервера.
- Сообщение программы – последнее сообщение программы или дополнительные сведения о статусе.
По умолчанию в веб-виджете отображается информация по данным, поступающим в Web Console от всех Серверов в группах администрирования Kaspersky Security Center. При необходимости в меню параметров веб-виджета вы можете выбрать Серверы, данные от которых должны отображаться в веб-виджете.
По ссылке с именем Сервера вы можете открыть в браузере страницу веб-интерфейса выбранного Сервера Kaspersky Industrial CyberSecurity for Networks. В названии открывшейся вкладки браузера будет указано имя Сервера, заданное во время начальной настройки программы после установки.
Если используется технология единого входа и пользователь Web Console обладает правами для подключения к этому Серверу, то доступ к веб-интерфейсу Сервера будет предоставлен без запроса учетных данных пользователя.
Поиск устройств и событий по базам данных Серверов Kaspersky Industrial CyberSecurity for Networks
В Kaspersky Security Center Web Console вы можете создавать запросы для получения выборок устройств и событий с помощью веб-плагина Kaspersky Industrial CyberSecurity for Networks. По таким запросам поиск выполняется непосредственно в базах данных Серверов Kaspersky Industrial CyberSecurity for Networks. В этом состоит основное отличие от функциональности поиска с использованием штатных средств получения выборок устройств и событий в Web Console (например, в разделах Устройства → Выборки устройств и Мониторинг и отчеты → Выборки событий). При использовании штатных средств в Web Console выполняется поиск устройств и событий в базе данных Сервера администрирования.
Для настройки параметров поисковых запросов к Серверам Kaspersky Industrial CyberSecurity for Networks и для вывода результатов поиска используется раздел Web Console KICS for Networks → Поиск. Поисковые запросы требуется формировать отдельно для поиска устройств или для поиска событий.
Серверы Kaspersky Industrial CyberSecurity for Networks обрабатывают поисковые запросы и предоставляют сведения по ним со следующими ограничениями:
- количество возвращаемых элементов, удовлетворяющих поисковому запросу (устройств или событий) от каждого Сервера – не более 200;
- предоставляются только те сведения, по которым может выполняться поиск – например, результаты поиска устройств будут содержать MAC- и IP-адреса устройств, но не будут содержать сведения о моделях и производителях устройств.
Во всех случаях, когда вам требуется получить полную информацию о найденных устройствах или событиях, вы можете перейти на страницу веб-интерфейса Сервера с помощью элементов интерфейса в разделе KICS for Networks → Поиск. На странице веб-интерфейса Сервера автоматически откроется соответствующий раздел (Устройства или События), в котором будет применена фильтрация с критериями поискового запроса или полученных результатов.
Настройка параметров для поиска устройств
Вы можете настроить параметры запроса для поиска устройств вручную или использовать автоматически применяемые критерии фильтрации при переходах из веб-виджета Устройства, требующие внимания в KICS for Networks.
Для настройки параметров вручную вам нужно открыть закладку Устройства в области деталей поискового запроса.
Чтобы открыть закладку Устройства в области деталей поискового запроса:
- Перейдите в раздел Web Console KICS for Networks → Поиск.
- Выполните одно из следующих действий:
- Если в текущем сеансе не создавался поисковый запрос и в разделе не отображается таблица результатов поискового запроса, нажмите на кнопку Найти события или устройства.
- Если в текущем сеансе был создан поисковый запрос и в разделе отображается таблица результатов поискового запроса, нажмите на кнопку Поиск в панели инструментов.
На кнопке Поиск отображается количество критериев фильтрации (заданных параметров) текущего поискового запроса.
- В области деталей поискового запроса перейдите на закладку Устройства.
После настройки параметров вы можете начать поиск устройств в базах данных Серверов с помощью кнопки Найти.
Для поиска устройств вы можете настроить следующие параметры в поисковом запросе:
- Имя – имя, под которым устройство представлено в таблице устройств Сервера Kaspersky Industrial CyberSecurity for Networks. Имя требуется указывать полностью.
- Серверы – имена, под которыми Серверы представлены в Kaspersky Security Center (имена устройств в группах администрирования).
- Адреса – MAC- и/или IP-адреса устройств. Адреса требуется указывать полностью.
- Статусы – статусы устройств, определяющие разрешение активности устройств в промышленной сети.
- Состояния безопасности – состояния безопасности устройств, определяемые по наличию связанных с устройством событий и актуальных уязвимостей.
- Категории – названия категорий, определяющих функциональное назначение устройств.
- Требующие внимания – наличие или отсутствие признака устройства, требующего внимания.
Вы можете сбросить заданные параметры в поисковом запросе с помощью кнопки Очистить фильтры.
Настройка параметров для поиска событий
Вы можете настроить параметры запроса для поиска событий вручную или использовать автоматически применяемые критерии фильтрации при переходе из веб-виджета Актуальные события KICS for Networks.
Для настройки параметров вручную вам нужно открыть закладку События в области деталей поискового запроса.
Чтобы открыть закладку События в области деталей поискового запроса:
- Перейдите в раздел Web Console KICS for Networks → Поиск.
- Выполните одно из следующих действий:
- Если в текущем сеансе не создавался поисковый запрос и в разделе не отображается таблица результатов поискового запроса, нажмите на кнопку Найти события или устройства.
- Если в текущем сеансе был создан поисковый запрос и в разделе отображается таблица результатов поискового запроса, нажмите на кнопку Поиск в панели инструментов.
На кнопке Поиск отображается количество критериев фильтрации (заданных параметров) текущего поискового запроса.
- В области деталей поискового запроса перейдите на закладку События.
После настройки параметров вы можете начать поиск событий в базах данных Серверов с помощью кнопки Найти.
Для поиска событий вы можете настроить следующие параметры в поисковом запросе:
- Заголовок – заголовок, заданный для типа события в Kaspersky Industrial CyberSecurity for Networks. Заголовок требуется указывать полностью.
- Серверы – имена, под которыми Серверы представлены в Kaspersky Security Center (имена устройств в группах администрирования).
- Последнее появление – период для фильтрации событий по дате и времени последнего появления.
- Отправитель – адресная информация (MAC-, IP-адреса или номера портов) отправителей сетевых пакетов.
- Получатель – адресная информация (MAC-, IP-адреса или номера портов) получателей сетевых пакетов.
- Технологии – значки и названия технологий, которые использовались для регистрации событий.
- Важность – значки и названия уровней важности событий.
Вы можете сбросить заданные параметры в поисковом запросе с помощью кнопки Очистить фильтры.
Просмотр таблицы с результатами поискового запроса
Таблица результатов поискового запроса по устройствам или событиям отображается в разделе Web Console KICS for Networks → Поиск. В таблице представлены сведения, по которым может выполняться поиск устройств или поиск событий. Найденные элементы сгруппированы по Серверам, к которым они относятся.
При просмотре таблицы вы можете использовать следующие функции:
- Фильтрация результатов поиска
- Обновление результатов поиска
- Переходы для вывода сведений на страницах веб-интерфейса Серверов
Размещение компонентов Kaspersky Industrial CyberSecurity for Networks на картах
Веб-плагин позволяет создавать в Kaspersky Security Center Web Console карты расположения Серверов и сенсоров Kaspersky Industrial CyberSecurity for Networks. Вы можете использовать карты для распределения этих объектов по территориальному признаку и для контроля их состояния в удобном для вас отображении.
Для работы с картами предназначен раздел Web Console KICS for Networks → Карта. В этом разделе отображаются следующие карты (в каждый момент только одна выбранная карта):
- Общая карта. На этой карте представлены подразделения (организационные единицы для группирования компонентов Kaspersky Industrial CyberSecurity for Networks). Серверы и сенсоры на этом уровне не отображаются.
- Карты подразделений. Каждая карта подразделения содержит компоненты программы (Серверы и сенсоры), которые включены в это подразделение.
Подразделения и компоненты программы представлены на картах в виде значков с названиями этих объектов. Длинные названия сокращаются до первых символов.
Фоновые изображения карт могут отображаться в разном масштабе. Для управления масштабом вы можете использовать панель инструментов, которая отображается в верхней части раздела Web Console KICS for Networks → Карта.
После перехода из общей карты на карту подразделения вы можете вернуться на общую карту с помощью кнопки с изображением стрелки.
Возможности создания карт и распределения на них объектов доступны только пользователям Kaspersky Security Center, которым предоставлены права доступа для роли Администратор в Kaspersky Industrial CyberSecurity for Networks. По окончании настройки пользователи с правами доступа для роли Оператор могут наблюдать за состоянием объектов с помощью карт как в разделе Web Console KICS for Networks → Карта, так и в веб-виджете Карта размещения KICS for Networks.
Формирование списка подразделений для общей карты
При работе с общей картой в разделе Web Console KICS for Networks → Карта вы можете сформировать список подразделений, с помощью которых будут логически разграничены зоны контроля и/или развертывания Kaspersky Industrial CyberSecurity for Networks. В созданные подразделения вы сможете добавить нужные Серверы и выполнять действия с этими Серверами и их сенсорами внутри подразделений.
Максимальное количество подразделений – 100.
Формировать список подразделений могут только пользователи Kaspersky Security Center, которым предоставлены права доступа, соответствующие роли Администратор в Kaspersky Industrial CyberSecurity for Networks.
Для формирования списка подразделений вы можете использовать следующие функции:
- Добавление подразделения
- Войдите в Kaspersky Security Center Web Console под учетной записью с правами Администратора в Kaspersky Industrial CyberSecurity for Networks.
- Выберите раздел KICS for Networks → Карта.
- Нажмите на кнопку Показать список подразделений.
В правой части раздела появится окно Подразделения.
- Нажмите на кнопку Добавить.
Появится окно для ввода названия подразделения.
- Введите название подразделения.
Вы можете использовать буквы, цифры, пробел, а также следующие специальные символы:
! @ # № $ % ^ & ( ) [ ] { } ' , . - _.Название подразделения должно удовлетворять следующим требованиям:
- начинается и заканчивается любым символом, кроме пробела;
- содержит до 255 символов;
- не совпадает с названием другого подразделения.
В окне Подразделения появится строка с названием нового подразделения.
- Если строка с названием подразделения не появилась в списке, это может быть связано с действием фильтра по статусам подразделений. В этом случае включите отображение всех подразделений с помощью кнопки Все статусы или отображение подразделений без Серверов с помощью кнопки Без Серверов.
- Добавьте подразделение на общую карту. Для этого наведите курсор на строку с названием подразделения и нажмите на кнопку
. - Переместите значок подразделения в нужное место карты.
- Переименование подразделения
- Войдите в Kaspersky Security Center Web Console под учетной записью с правами Администратора в Kaspersky Industrial CyberSecurity for Networks.
- Выберите раздел KICS for Networks → Карта.
- Нажмите на кнопку Показать список подразделений.
В правой части раздела появится окно Подразделения.
- Если строка с названием нужного подразделения не отображается в списке, это может быть связано с действием фильтра по статусам подразделений. В этом случае включите отображение всех подразделений с помощью кнопки Все статусы или нажмите на кнопку с названием того статуса, который присвоен нужному подразделению.
- Наведите курсор на строку с названием подразделения и нажмите на кнопку .
Появится окно для ввода названия подразделения.
- Введите название подразделения.
Вы можете использовать буквы, цифры, пробел, а также следующие специальные символы:
! @ # № $ % ^ & ( ) [ ] { } ' , . - _.Название подразделения должно удовлетворять следующим требованиям:
- начинается и заканчивается любым символом, кроме пробела;
- содержит до 255 символов;
- не совпадает с названием другого подразделения.
- Удаление подразделения
- Войдите в Kaspersky Security Center Web Console под учетной записью с правами Администратора в Kaspersky Industrial CyberSecurity for Networks.
- Выберите раздел KICS for Networks → Карта.
- Нажмите на кнопку Показать список подразделений.
В правой части раздела появится окно Подразделения.
- Если строка с названием нужного подразделения не отображается в списке, это может быть связано с действием фильтра по статусам подразделений. В этом случае включите отображение всех подразделений с помощью кнопки Все статусы или нажмите на кнопку с названием того статуса, который присвоен нужному подразделению.
- Наведите курсор на строку с названием подразделения и нажмите на кнопку .
- В окне запроса на подтверждение операции нажмите на кнопку OK.
Замена фонового изображения для карты
После создания карты используется фоновое изображение по умолчанию. Вы можете заменить фоновое изображение на любое другое по вашему усмотрению. Например, для общей карты можно использовать изображение географической карты какой-либо территории, а для карт подразделений загрузить схемы расположения оборудования в цехах или на площадках.
В качестве фона для карт вы можете использовать изображения, загружаемые из файлов форматов JPG или PNG. Максимальный размер файла для загрузки – 50 МБ. Минимальный размер изображения в файле – 600x600 пикселей. После загрузки нового изображения удаляется старое изображение и сбрасывается положение всех объектов на карте.
Выполнять замену фонового изображения на картах могут только пользователи Kaspersky Security Center, которым предоставлены права доступа, соответствующие роли Администратор в Kaspersky Industrial CyberSecurity for Networks.
Чтобы заменить фоновое изображение для общей карты:
- Войдите в Kaspersky Security Center Web Console под учетной записью с правами Администратора в Kaspersky Industrial CyberSecurity for Networks.
- Выберите раздел KICS for Networks → Карта.
- Нажмите на кнопку Заменить изображение.
Появится окно с предложением перетащить файл с изображением или выбрать файл.
- Загрузите файл удобным для вас способом.
Чтобы заменить фоновое изображение для карты подразделения:
- Войдите в Kaspersky Security Center Web Console под учетной записью с правами Администратора в Kaspersky Industrial CyberSecurity for Networks.
- Выберите раздел KICS for Networks → Карта.
- Нажмите на кнопку Показать список подразделений.
В правой части раздела появится окно Подразделения.
- Нажмите на строку с названием нужного подразделения.
Откроется карта подразделения.
- Нажмите на кнопку Заменить изображение.
Появится окно с предложением перетащить файл с изображением или выбрать файл.
- Загрузите файл удобным для вас способом.
Формирование списков Серверов в подразделениях
На картах созданных подразделений в разделе Web Console KICS for Networks → Карта вам нужно сформировать списки Серверов, которые относятся к этим подразделениям в соответствии с логикой разграничения зон контроля и/или развертывания Kaspersky Industrial CyberSecurity for Networks. Вместе с Серверами в те же подразделения включаются и сенсоры, которые связаны с этими Серверами.
Каждый Сервер Kaspersky Industrial CyberSecurity for Networks может быть включен только в одно подразделение. До тех пор, пока Сервер не включен в какое-либо подразделение, он находится в списке Вне подразделений.
Формировать списки Серверов в подразделениях могут только пользователи Kaspersky Security Center, которым предоставлены права доступа, соответствующие роли Администратор в Kaspersky Industrial CyberSecurity for Networks.
Для формирования списка Серверов в подразделении вы можете использовать следующие функции:
- Добавление Сервера в подразделение
- Войдите в Kaspersky Security Center Web Console под учетной записью с правами Администратора в Kaspersky Industrial CyberSecurity for Networks.
- Выберите раздел KICS for Networks → Карта.
- Нажмите на кнопку Показать список подразделений.
В правой части раздела появится окно Подразделения.
- Нажмите на строку с названием нужного подразделения.
Откроется карта подразделения.
- Нажмите на кнопку Показать список Серверов.
В правой части раздела появится окно с названием подразделения.
- Перейдите на закладку Вне подразделений.
- Если строка с нужным Сервером не отображается в списке, это может быть связано с действием фильтра по статусам Серверов. В этом случае включите отображение всех Серверов с помощью кнопки Все статусы или нажмите на кнопку с названием того статуса, который присвоен нужному Серверу.
- Наведите курсор на строку с именем Сервера и нажмите на кнопку
.Строка Сервера перестанет отображаться на закладке Вне подразделений.
- Перейдите на закладку В подразделении.
- Если строка с добавленным Сервером не отображается в списке, это может быть связано с действием фильтра по статусам Серверов. В этом случае включите отображение всех Серверов с помощью кнопки Все статусы или нажмите на кнопку с названием того статуса, который присвоен Серверу.
- Добавьте Сервер на карту подразделения. Для этого наведите курсор на строку с именем Сервера и нажмите на кнопку .
После выполнения действия изменится яркость значка в кнопке.
- Если с Сервером связаны сенсоры и вы хотите включить отображение этих сенсоров, раскройте список Сенсоры и добавьте их с помощью кнопок .
- Переместите значки объектов в нужные места карты.
- Удаление Сервера из подразделения
- Войдите в Kaspersky Security Center Web Console под учетной записью с правами Администратора в Kaspersky Industrial CyberSecurity for Networks.
- Выберите раздел KICS for Networks → Карта.
- Нажмите на кнопку Показать список подразделений.
В правой части раздела появится окно Подразделения.
- Нажмите на строку с названием нужного подразделения.
Откроется карта подразделения.
- Нажмите на кнопку Показать список Серверов.
В правой части раздела появится окно с названием подразделения.
- Перейдите на закладку В подразделении.
- Если строка с нужным Сервером не отображается в списке, это может быть связано с действием фильтра по статусам Серверов. В этом случае включите отображение всех Серверов с помощью кнопки Все статусы или нажмите на кнопку с названием того статуса, который присвоен нужному Серверу.
- Наведите курсор на строку с именем Сервера и нажмите на кнопку .
Сервер появится на закладке Вне подразделений.
Управление размещением объектов на картах
В разделе Web Console KICS for Networks → Карта подразделения и компоненты Kaspersky Industrial CyberSecurity for Networks представлены на картах в виде значков.
Управлять размещением объектов на картах могут только пользователи Kaspersky Security Center, которым предоставлены права доступа, соответствующие роли Администратор в Kaspersky Industrial CyberSecurity for Networks.
Вы можете перемещать значки объектов на нужные места на картах. При этом все значки на карте должны отображаться по отдельности, без полного наложения друг на друга.
При необходимости вы можете выключить отображение ненужного объекта на карте. После выключения отображения объект не удаляется из списка объектов карты. Позже вы можете снова включить отображение этого объекта.
Чтобы включить или выключить отображение подразделения на общей карте:
- Войдите в Kaspersky Security Center Web Console под учетной записью с правами Администратора в Kaspersky Industrial CyberSecurity for Networks.
- Выберите раздел KICS for Networks → Карта.
- Нажмите на кнопку Показать список подразделений.
В правой части раздела появится окно Подразделения.
- Если строка с названием нужного подразделения не отображается в списке, это может быть связано с действием фильтра по статусам подразделений. В этом случае включите отображение всех подразделений с помощью кнопки Все статусы или нажмите на кнопку с названием того статуса, который присвоен нужному подразделению.
- Наведите курсор на строку с названием подразделения и нажмите на кнопку .
После выполнения действия изменится яркость значка в кнопке.
Чтобы включить или выключить отображение Сервера или сенсора на карте подразделения:
- Войдите в Kaspersky Security Center Web Console под учетной записью с правами Администратора в Kaspersky Industrial CyberSecurity for Networks.
- Выберите раздел KICS for Networks → Карта.
- Нажмите на кнопку Показать список подразделений.
В правой части раздела появится окно Подразделения.
- Нажмите на строку с названием нужного подразделения.
Откроется карта подразделения.
- Нажмите на кнопку Показать список Серверов.
В правой части раздела появится окно с названием подразделения.
- Перейдите на закладку В подразделении.
- Если строка с нужным Сервером не отображается в списке, это может быть связано с действием фильтра по статусам Серверов. В этом случае включите отображение всех Серверов с помощью кнопки Все статусы или нажмите на кнопку с названием того статуса, который присвоен нужному Серверу.
- Если с Сервером связаны сенсоры и вы хотите включить или выключить отображение этих сенсоров, раскройте список Сенсоры в строке с именем нужного Сервера.
- Наведите курсор на строку с именем нужного Сервера или сенсора и нажмите на кнопку .
Если вы включили отображение Сервера, то одновременно выключается отображение и всех сенсоров, которые связаны с этим Сервером.
После выполнения действия изменится яркость значка в кнопке.
Исключение Сервера из мониторинга в Web Console
Если в Kaspersky Security Center Web Console поступают данные от нескольких Серверов Kaspersky Industrial CyberSecurity for Networks и данные от какого-либо Сервера временно не нуждаются в мониторинге (например, во время профилактических и пусконаладочных работ в АСУ ТП), вы можете исключить этот Сервер из мониторинга. После исключения Сервера из мониторинга Web Console перестает принимать данные от этого Сервера и присваивает ему статус Без мониторинга. При этом Сервер администрирования Kaspersky Security Center продолжает получать и сохранять данные от этого Сервера (в том числе события).
Сервер остается исключенным из мониторинга до тех пор, пока вы снова не включите мониторинг для этого Сервера.
Исключать Серверы из мониторинга и включать мониторинг могут только пользователи Kaspersky Security Center, которым предоставлены права доступа, соответствующие роли Администратор в Kaspersky Industrial CyberSecurity for Networks.
Чтобы исключить Сервер из мониторинга или включить мониторинг для Сервера:
- Войдите в Kaspersky Security Center Web Console под учетной записью с правами Администратора в Kaspersky Industrial CyberSecurity for Networks.
- Выберите раздел KICS for Networks → Карта.
- Нажмите на кнопку Показать список подразделений.
В правой части раздела появится окно Подразделения.
- Нажмите на строку с названием нужного подразделения.
Откроется карта подразделения.
- Нажмите на кнопку Показать список Серверов.
В правой части раздела появится окно с названием подразделения.
- Нажмите на строку с именем нужного Сервера.
В правой части раздела появится окно с подробной информацией о Сервере.
- Если вы хотите исключить Сервер из мониторинга, нажмите на кнопку Исключить из мониторинга. Если Сервер уже исключен из мониторинга и вы хотите включить мониторинг, нажмите на кнопку Включить мониторинг.
- В окне запроса на подтверждение операции нажмите на кнопку OK.
Просмотр информации о Серверах на картах
Статусы Серверов Kaspersky Industrial CyberSecurity for Networks влияют на цвета отображаемых значков Серверов и значков подразделений на картах в разделе Web Console KICS for Networks → Карта. Если на карте подразделения отображаются значки сенсоров, цвета этих значков зависят от текущего состояния узлов с сенсорами. Таким образом, по цветам значков объектов на картах вы можете наблюдать за статусами компонентов Kaspersky Industrial CyberSecurity for Networks.
При необходимости вы можете просмотреть подробную информацию о любом Сервере. В окне с подробной информацией представлены основные сведения о текущем состоянии Сервера, а также сведения об установленных обновлениях баз и программных модулей, сведения об использовании аппаратных ресурсов и о лицензионном ключе.
Чтобы просмотреть подробную информацию о Сервере:
- Выберите раздел KICS for Networks → Карта.
- Нажмите на кнопку Показать список подразделений.
В правой части раздела появится окно Подразделения.
- Нажмите на строку с названием нужного подразделения.
Откроется карта подразделения.
- Нажмите на кнопку Показать список Серверов.
В правой части раздела появится окно с названием подразделения.
- Нажмите на строку с именем нужного Сервера.
В правой части раздела появится окно с подробной информацией о Сервере.
- Если вы хотите перейти на страницу веб-интерфейса Сервера, нажмите на кнопку Перейти к Серверу.
В браузере откроется вкладка, в названии которой будет указано имя Сервера, заданное во время начальной настройки программы после установки.
Устранение неисправностей
Этот раздел содержит описание возможных неисправностей в работе Kaspersky Industrial CyberSecurity for Networks и способов их устранения.
Не выполняется установка программы из-за недоступного репозитория для DNF
Проблема
При установке программы на компьютере с операционной системой CentOS выводится сообщение о недоступности репозитория для системного менеджера пакетов DNF. Установка программы прерывается.
Решение
Установка программы невозможна, если в системном менеджере пакетов DNF недоступны (или неправильно настроены) репозитории с установочными пакетами операционной системы. Для установки программы требуется отключить недоступные репозитории.
Чтобы отключить недоступные репозитории и установить программу:
- Загрузите список всех подключенных репозиториев менеджера пакетов DNF. Для этого откройте консоль операционной системы и в командной строке введите команду:
dnf repolist - Найдите в списке недоступные репозитории и отключите их. Для отключения репозитория в командной строке введите команду:
sudo dnf config-manager --set-disabled <имя репозитория> - Выполните переустановку программы с теми же параметрами установки.
Не выполняется установка компонента программы на выбранном узле
Проблема
При централизованной установке компонентов программы выводится сообщение о недоступности узла для установки компонента из-за невозможности подключения по протоколу SSH. Установка компонента на этом узле не выполняется.
Решение
Централизованная установка компонента программы невозможна, если после настройки доступа по протоколу SSH на узле для установки компонента изменилась адресная информация или сетевое имя компьютера. Для централизованной установки компонента программы требуется восстановить доступ по протоколу SSH к удаленному компьютеру.
Чтобы восстановить доступ по протоколу SSH и установить компонент программы:
- На компьютере, с которого выполняется централизованная установка компонентов программы, обновите ключ для подключения к узлу по протоколу SSH. Для этого войдите в систему с учетными данными пользователя, от имени которого выполняется установка программы, и в консоли операционной системы введите команду:
sudo ssh-keygen -R <IP-адрес узла> - Выполните переустановку программы с теми же параметрами установки. При переустановке убедитесь в отсутствии сообщения о недоступности узла для установки компонента.
Обнаружены проблемы в работе программы
Проблема
При подключении к Серверу через веб-интерфейс в верхней части меню веб-интерфейса программы отображается значок красного цвета рядом с кнопкой .
Решение
Такое состояние Kaspersky Industrial CyberSecurity for Networks означает, что работа одного из процессов программы нарушена.
Чтобы восстановить работу программы:
- Подождите 20–30 секунд.
Работоспособность программы может восстановиться автоматически. Если программа продолжит работать нормально, значок красного цвета перестанет отображаться.
- Если неисправность сохраняется, обратитесь в Службу технической поддержки "Лаборатории Касперского". Будьте готовы предоставить журналы работы процессов Kaspersky Industrial CyberSecurity for Networks и другие данные системы по запросу специалистов Службы технической поддержки. Журналы работы процессов располагаются в директориях, перечисленных в разделе Директории для хранения данных программы. Для доступа к журналам нужно иметь root-права в операционной системе.
Новое сообщение программы
Проблема
Появилось новое сообщение программы в разделе Параметры → Сообщения программы.
О сообщениях, на которые вам нужно обратить внимание, оповещает значок красного или желтого цвета рядом с кнопкой в меню веб-интерфейса. Если значок отображается, это может означать, что появилось сообщение о нарушении работы программы или о некритическом сбое и эта проблема не устранена. Для просмотра сведений вы можете перейти в раздел Параметры → Сообщения программы с помощью кнопки , пока рядом с этой кнопкой отображается значок красного или желтого цвета.
Решение
Сообщение программы означает, что в работе программы произошло какое-либо событие.
Просмотрите краткую информацию в сообщении в разделе Параметры → Сообщения программы. По этой информации вы можете принять решение о необходимых действиях.
Дальнейшие действия зависят от статуса сообщения. Для сообщений предусмотрены следующие статусы:
- Нормальная работа – в большинстве случаев сообщение не требует реакции. Однако возможны ситуации, требующие дополнительного выяснения обстоятельств. Например, по сообщению об успешном применении политики безопасности, если вам неизвестны причины, по которым было выполнено это действие.
- Состояние неизвестно, Сбой – если сообщение появилось только что, подождите 20–30 секунд и проверьте текущее состояние программы.
- Серьезный сбой, Критический сбой или Неустранимый сбой – работа программы нарушена. Если проблему решить не удалось, обратитесь в Службу технической поддержки "Лаборатории Касперского". Будьте готовы предоставить журналы работы процессов Kaspersky Industrial CyberSecurity for Networks и другие данные системы по запросу специалистов Службы технической поддержки. Журналы работы процессов располагаются в директориях, перечисленных в разделе Директории для хранения данных программы. Для доступа к журналам нужно иметь root-права в операционной системе.
Закончилось свободное пространство на жестком диске
Проблема
На жестком диске компьютера, на котором установлен Сервер или сенсор программы, закончилось свободное пространство.
Решение
Для работы компонентов программы компьютер должен удовлетворять аппаратным и программным требованиям.
Чтобы программа работала верно:
- Освободите на жестком диске компьютера достаточный объем пространства, соответствующий минимальным требованиям к объему свободного пространства.
- Перезапустите сервисы, обеспечивающие работу компонентов программы.
При включении точки мониторинга возникает ошибка
Проблема
После переключения точки мониторинга в режим Включена она находится в состоянии Ошибка. Вследствие этого узел, к которому относится точка мониторинга, переводится в состояние Нарушена работа. Также в списке уведомлений о проблемах в работе программы появляется сообщение о нарушении работы из-за обнаруженных проблем на точке мониторинга.
Решение
Состояние Ошибка на точке мониторинга может быть связано с неподдерживаемым операционным состоянием (operational state), в котором находится сетевой интерфейс. Для успешного завершения проверки при включении точки мониторинга сетевой интерфейс должен находиться в операционном состоянии UP. Другие состояния сетевого интерфейса (например, UNKNOWN) переводят точку мониторинга в состояние Ошибка из-за возможных проблем при получении или обработке сетевых пакетов.
Вы можете проверить текущее операционное состояние сетевого интерфейса на компьютере узла с помощью команды ip link. Сведения о текущем операционном состоянии выводятся в строке с именем интерфейса в виде: state <состояние>. На проблемном сетевом интерфейсе наиболее вероятны следующие операционные состояния:
- DOWN. В этом случае вы можете перевести интерфейс в операционное состояние UP с помощью команды:
sudo ip link set <имя интерфейса> up - UNKNOWN. Такое операционное состояние может быть связано с неправильным добавлением интерфейса. Например, в состоянии UNKNOWN могут работать сетевые интерфейсы, добавляемые по умолчанию на виртуальной машине VMware. В этом случае рекомендуется заново добавить (создать) сетевой интерфейс с правильными параметрами, используя соответствующие средства для работы с сетевыми интерфейсами.
После перевода сетевого интерфейса в операционное состояние UP проверьте состояние точки мониторинга, которая добавлена на этот сетевой интерфейс. Если точка мониторинга остается в состоянии Ошибка, выключите и снова включите эту точку мониторинга.
В начало
Отсутствует трафик на точке мониторинга
Проблема
Программа зарегистрировала событие, описание которого содержит следующий текст: Отсутствует трафик на точке мониторинга. В описании события указана длительность отсутствия трафика, имя точки мониторинга и сетевой интерфейс, на который не поступает трафик.
Решение
Для того чтобы трафик поступал на точку мониторинга, должны выполняться следующие условия:
- точка мониторинга включена и ее текущее состояние ОК;
- на сетевом интерфейсе точки мониторинга к Ethernet-порту подключен сетевой кабель;
- на сетевом интерфейсе точки мониторинга скорость поступления входящего трафика больше чем 0 бит/с.
Вы можете просмотреть сведения о точках мониторинга и сетевых интерфейсах при подключении к Серверу через веб-интерфейс в разделе Параметры → Развертывание.
Если на сетевом интерфейсе точки мониторинга отображается скорость поступления входящего трафика 0 бит/с, проверьте выполнение следующих условий:
- сетевой интерфейс точки мониторинга правильно настроен в операционной системе;
- при подключении сетевого интерфейса к сетевому коммутатору промышленной сети – на сетевом коммутаторе правильно настроена передача зеркалированного трафика через порт подключения (SPAN).
Не загружается трафик для событий или инцидентов
Проблема
Невозможно загрузить трафик для выбранных событий и/или инцидентов. В таблице событий либо не отображаются инструменты для загрузки трафика (например, отсутствует кнопка Загрузить трафик для события в области деталей, если выбрано одно событие), либо выводится сообщение Для выбранных событий трафик отсутствует (при попытке загрузки трафика).
Решение
Сохраненный трафик для выбранных событий и/или инцидентов может отсутствовать по одной из следующих причин:
- трафик не сохранялся;
- трафик удален из базы данных.
Программа сохраняет трафик при регистрации события, если включено сохранение трафика для типа этого события. По умолчанию сохранение трафика выключено для всех типов событий. Вы можете включить и настроить сохранение трафика для нужных типов событий.
Программа удаляет сохраненный трафик для зарегистрированных событий при достижении одного из ограничений хранения трафика (например, если превышен максимальный объем сохраненного трафика в базе данных). Из базы данных удаляются пакеты трафика, которые были сохранены раньше других пакетов. Если сохраненный трафик удаляется слишком быстро и вы не успеваете его загрузить для нужных событий, вы можете увеличить максимальные значения параметров сохранения трафика.
В начало
Профилактические и пусконаладочные работы на АСУ ТП
Проблема
Проведение профилактических и пусконаладочных работ на АСУ ТП может стать причиной регистрации большого числа важных и критических событий в Kaspersky Industrial CyberSecurity for Networks.
Решение
На время проведения профилактических и пусконаладочных работ вы можете выбрать один из следующих вариантов решения проблемы:
- Оставить включенными все точки мониторинга на Сервере и на сенсорах программы. В этом случае при просмотре сведений о событиях и взаимодействиях устройств учитывайте время и перечень проводимых профилактических и пусконаладочных работ.
- Выключить точки мониторинга, на которые поступает трафик из сегментов промышленной сети, где проводятся профилактические и пусконаладочные работы. Например, если работы проводятся в одном цехе, вы можете выключить точку мониторинга, на которую поступает трафик из этого цеха, и оставить включенными все остальные точки мониторинга.
- Выключить все точки мониторинга на всех узлах с установленными компонентами программы. Вы можете выбрать этот вариант, если профилактические и пусконаладочные работы проводятся во всей промышленной сети.
Если вы выключили точки мониторинга, для возобновления контроля защищаемой АСУ ТП вам нужно снова включить точки мониторинга сразу после завершения профилактических и пусконаладочных работ.
Следует учитывать, что злоумышленники могут попытаться получить несанкционированный доступ к сети именно в период профилактических и пусконаладочных работ на АСУ ТП. Для принятия решения о выключении точек мониторинга руководствуйтесь регламентами и процедурами для обеспечения безопасности, принятыми на вашем предприятии.
Если при проведении профилактических и пусконаладочных работ изменился состав или параметры сетевого оборудования промышленной сети (например, MAC-адреса или IP-адреса), внесите соответствующие изменения для контроля процесса, контроля взаимодействий и контроля активов.
Непредвиденная перезагрузка системы
Проблема
Неожиданная перезагрузка компьютера с установленным компонентом Kaspersky Industrial CyberSecurity for Networks.
Решение
Дождитесь окончания загрузки компьютера. После загрузки возможны следующие варианты состояния Kaspersky Industrial CyberSecurity for Networks:
- Работоспособность Kaspersky Industrial CyberSecurity for Networks восстановилась полностью.
Программа работает в нормальном режиме.
- Работоспособность Kaspersky Industrial CyberSecurity for Networks не восстановилась.
Если неисправность сохраняется, перезапустите сервисы, обеспечивающие работу компонентов программы. Если после перезапуска проблема не устранена, обратитесь в Службу технической поддержки "Лаборатории Касперского". Будьте готовы предоставить журналы работы процессов Kaspersky Industrial CyberSecurity for Networks и другие данные системы по запросу специалистов Службы технической поддержки. Журналы работы процессов располагаются в директориях, перечисленных в разделе Директории для хранения данных программы. Для доступа к журналам нужно иметь root-права в операционной системе.
В начало
После переустановки Сервера администрирования Kaspersky Security Center не выполняется синхронизация Агента администрирования
Проблема
Если после переустановки Сервера администрирования Kaspersky Security Center не выполнялось восстановление параметров из резервной копии, то в Консоли администрирования Kaspersky Security Center не отображается компьютер, на котором установлен Kaspersky Industrial CyberSecurity for Networks.
Решение
Для восстановления синхронизации Агента администрирования вы можете восстановить параметры Сервера администрирования Kaspersky Security Center с помощью утилиты резервного копирования klbackup. Утилита klbackup входит в состав дистрибутива Kaspersky Security Center. Подробную информацию о резервном копировании и восстановлении параметров Сервера администрирования Kaspersky Security Center см. в справочной системе для Kaspersky Security Center.
Если по каким-либо причинам невозможно восстановить параметры Сервера администрирования Kaspersky Security Center с помощью утилиты klbackup, вы можете восстановить синхронизацию Агента администрирования с помощью утилиты klmover, входящей в состав Агента администрирования.
Чтобы восстановить синхронизацию Агента администрирования с помощью утилиты klmover:
- На компьютере, который выполняет функции Сервера Kaspersky Industrial CyberSecurity for Networks, откройте консоль операционной системы и перейдите в директорию /opt/kaspersky/klnagent64/bin/.
- В командной строке введите команду:
sudo ./klmover -address <IP-адрес или имя компьютера>где
<IP-адрес или имя компьютера>– IP-адрес или имя компьютера с Kaspersky Security Center. - После завершения работы утилиты klmover проверьте подключение Агента администрирования к Серверу администрирования Kaspersky Security Center. Для этого в командной строке введите команду:
sudo ./klnagchkНа экране отобразится информация о подключении к Серверу администрирования.
После успешного восстановления синхронизации Агента администрирования в Консоли администрирования Kaspersky Security Center отобразится компьютер, на котором установлен Kaspersky Industrial CyberSecurity for Networks.
В начало
Не выполняется подключение к Серверу через веб-интерфейс
Проблема
При попытке подключения к Серверу не загружается страница веб-интерфейса Kaspersky Industrial CyberSecurity for Networks.
Решение
Возможны следующие ситуации:
- Отсутствует доступ по сети к компьютеру Сервера Kaspersky Industrial CyberSecurity for Networks с установленным веб-сервером. Проверьте соединение с компьютером по указанному имени Сервера (например, с помощью команды
ping). - В адресной строке браузера введены неправильные данные. Введите IP-адрес или имя компьютера Сервера, которое было указано для веб-сервера в разделе Параметры → Серверы подключений. Номер порта можно не указывать, если задан порт по умолчанию 443. Если задан другой номер порта, введите в адресной строке полный адрес
https://<имя Сервера>:<порт> - В браузере выключено выполнение сценариев JavaScript. Сообщение об этом выводится на странице предупреждения о невозможности подключения. В параметрах браузера включите выполнение JavaScript и обновите страницу.
- Доступ к компьютеру Сервера заблокирован межсетевым экраном. Выполните настройку используемого межсетевого экрана.
При подключении к Серверу браузер выводит предупреждение о сертификате
Проблема
При попытке подключения к компьютеру с установленным компонентом Kaspersky Industrial CyberSecurity for Networks браузер выводит предупреждение о том, что сертификат безопасности или устанавливаемое соединение не является доверенным. Содержание предупреждения зависит от используемого браузера.
Решение
Предупреждение означает, что на веб-сервере используется самоподписанный сертификат. Для получения и использования доверенного сертификата вам нужно обратиться к администратору.
Вы можете временно использовать самоподписанный сертификат для подключения к Серверу (например, при тестовой эксплуатации Kaspersky Industrial CyberSecurity for Networks). Для использования самоподписанного сертификата в окне предупреждения браузера выберите вариант, позволяющий продолжить подключение. После подключения к Серверу в окне браузера будет отображаться предупреждающее сообщение о сертификате. Текст сообщения зависит от используемого браузера.
Для постоянного использования вы можете добавить для веб-сервера доверенный сертификат в разделе Параметры → Серверы подключений.
В начало
Обращение в Службу технической поддержки
Этот раздел содержит информацию о способах и условиях получения технической поддержки.
Способы получения технической поддержки
Если вы не нашли решения вашей проблемы в документации или других источниках информации о Kaspersky Industrial CyberSecurity for Networks, рекомендуется обратиться в Службу технической поддержки. Сотрудники Службы технической поддержки ответят на ваши вопросы об установке и использовании Kaspersky Industrial CyberSecurity for Networks.
Kaspersky предоставляет поддержку Kaspersky Industrial CyberSecurity for Networks в течение жизненного цикла (см. страницу жизненного цикла программ). Прежде чем обратиться в Службу технической поддержки, ознакомьтесь с правилами предоставления технической поддержки.
Вы можете связаться со специалистами Службы технической поддержки одним из следующих способов:
- посетить сайт Службы технической поддержки ;
- отправить запрос в Службу технической поддержки "Лаборатории Касперского" с портала Kaspersky CompanyAccount.
Техническая поддержка через Kaspersky CompanyAccount
Kaspersky CompanyAccount – это портал для организаций, использующих программы "Лаборатории Касперского". Портал Kaspersky CompanyAccount предназначен для взаимодействия пользователей со специалистами "Лаборатории Касперского" с помощью электронных запросов. На портале Kaspersky CompanyAccount можно отслеживать статус обработки электронных запросов специалистами "Лаборатории Касперского" и хранить историю электронных запросов.
Вы можете зарегистрировать всех сотрудников вашей организации в рамках одной учетной записи Kaspersky CompanyAccount. Одна учетная запись позволяет вам централизованно управлять электронными запросами от зарегистрированных сотрудников в "Лабораторию Касперского", а также управлять правами этих сотрудников в Kaspersky CompanyAccount.
Портал Kaspersky CompanyAccount доступен на следующих языках:
- английском;
- испанском;
- итальянском;
- немецком;
- польском;
- португальском;
- русском;
- французском;
- японском.
Вы можете узнать больше о Kaspersky CompanyAccount на веб-сайте Службы технической поддержки.
В начало
Получение информации для технической поддержки
Специалисты Службы технической поддержки "Лаборатории Касперского" могут запросить у вас журналы Kaspersky Industrial CyberSecurity for Networks и другие данные системы.
Журналы располагаются на компьютерах с установленными компонентами Kaspersky Industrial CyberSecurity for Networks. Сведения о директориях для хранения журналов представлены в разделе Директории для хранения данных программы.
Для доступа к журналам нужно иметь root-права в операционной системе.
Также специалисты Службы технической поддержки "Лаборатории Касперского" могут запросить дополнительные данные о компонентах программы. Эти данные можно получить с помощью скрипта централизованной установки компонентов программы kics4net-deploy-<номер версии программы>.bundle.sh или с помощью скрипта для локального запуска kics4net-gather-artefacts.sh, который находится на компьютере с установленным компонентом программы в директории /opt/kaspersky/kics4net/sbin/.
Чтобы получить данные о компонентах программы с помощью скрипта kics4net-deploy-<номер версии программы>.bundle.sh:
- На компьютере, с которого выполнялась централизованная установка компонентов программы, перейдите в директорию с сохраненными файлами из комплекта поставки Kaspersky Industrial CyberSecurity for Networks.
- Введите команду запуска скрипта централизованной установки с параметром
gather-artefacts:bash kics4net-deploy-<номер версии программы>.bundle.sh --gather-artefacts -<параметр> <имя директории>где:
<параметр>– определяет режим получения данных.Предусмотрены следующие параметры:
a– для получения всех данных;c– для получения данных о сертификатах;i– для получения данных о конфигурации обнаружения вторжений;t– для получения файлов дампа трафика.
<имя директории>– имя директории для копирования архивных файлов с данными.Пример:
bash kics4net-deploy-<номер версии программы>.bundle.sh --gather-artefacts -a /tmp/data_for_support
- В приглашениях
SSH passwordиBECOME passwordвведите пароль учетной записи пользователя, от имени которого выполнялась установка компонентов программы.
Дождитесь завершения работы скрипта kics4net-deploy-<номер версии программы>.bundle.sh. При успешном завершении файлы будут созданы в указанной директории.
Чтобы получить данные об установленном на компьютере компоненте программы с помощью скрипта kics4net-gather-artefacts.sh:
- Выполните вход в систему с учетными данными пользователя с root-правами.
- Перейдите в директорию /opt/kaspersky/kics4net/sbin/ и введите команду запуска скрипта для получения данных о компоненте программы:
bash kics4net-gather-artefacts.sh -<параметр> <имя директории>где:
<параметр>– определяет режим получения данных.Предусмотрены следующие параметры:
a– для получения всех данных;c– для получения данных о сертификатах;i– для получения данных о конфигурации обнаружения вторжений;t– для получения файлов дампа трафика.
<имя директории>– имя директории для копирования архивных файлов с данными.Пример:
bash kics4net-gather-artefacts.sh -a /tmp/data_for_support
Дождитесь завершения работы скрипта kics4net-gather-artefacts.sh. При успешном завершении файлы будут созданы в указанной директории.
В начало
Источники информации о программе
На странице Kaspersky Industrial CyberSecurity for Networks вы можете получить общую информацию о программе, ее возможностях и особенностях работы.
В онлайн-справке содержится информация об администрировании Kaspersky Industrial CyberSecurity for Networks. Также в онлайн-справке представлены сведения о возможностях решения типовых задач пользователями программы.
В состав онлайн-справки входит документация для Kaspersky Industrial CyberSecurity for Networks API. Документация представляет собой руководство разработчика Kaspersky Industrial CyberSecurity for Networks API на английском языке. В руководстве разработчика Kaspersky Industrial CyberSecurity for Networks API вы можете найти информацию для выполнения следующих задач:
- подготовка к использованию Kaspersky Industrial CyberSecurity for Networks API;
- выполнение запросов для получения данных из Kaspersky Industrial CyberSecurity for Networks и отправки данных в программу.
Если вы не нашли решения возникшей проблемы самостоятельно, обратитесь в Службу технической поддержки "Лаборатории Касперского".
В начало
Приложения
Этот раздел содержит информацию, которая дополняет основной текст документа примерами, а также справочными и дополнительными сведениями.
Действия для устранения уязвимости CVE-2024-23836 в системе обнаружения вторжений
При использовании метода обнаружения вторжений по правилам на узлах с установленными компонентами программы работает система обнаружения вторжений, которая подвержена уязвимости CVE-2024-23836. В соответствии с рекомендациями поставщика системы обнаружения вторжений, для оперативного устранения указанной уязвимости в Kaspersky Industrial CyberSecurity for Networks вам нужно выключить модули обработки протоколов SMTP и HTTP для правил обнаружения вторжений. Процедуру выключения модулей нужно выполнить на всех узлах с установленными компонентами программы (Сервер и сенсоры).
Чтобы выключить модули обработки протоколов SMTP и HTTP на узле:
- Откройте консоль операционной системы.
- Откройте файл конфигурации процесса Filter. Для этого введите команду:
sudo mcedit /var/opt/kaspersky/kics4net/config/Filter.json - Перейдите к разделу параметров "additionalSuricataArguments".
- Добавьте завершающий символ
,(запятая) в конце строки последнего параметра раздела и ниже добавьте следующие строки:"--set","app-layer.protocols.smtp.enabled=no","--set","app-layer.protocols.http.enabled=no"Пример содержимого раздела:
"additionalSuricataArguments" :["--set","runmode=autofp","--set","autofp-scheduler=hash","--set","vars.address-groups.SCAN_HOSTS=0.0.0.0","--set","vars.address-groups.BRUTE_HOSTS=0.0.0.0","--set","app-layer.protocols.smtp.enabled=no","--set","app-layer.protocols.http.enabled=no"] - Сохраните и закройте файл конфигурации.
- Перезапустите сервис программы. Для этого введите команду:
sudo systemctl restart kics4net.service
Миграция операционной системы CentOS Linux 8 на CentOS Stream 8
В конце 2021 года компания Red Hat прекращает поддержку операционной системы CentOS Linux 8. Это означает, что с 2022 года для CentOS Linux 8 не будут выпускаться обновления безопасности. Таким образом, компьютеры и программы, работающие под управлением CentOS Linux 8 (в том числе Kaspersky Industrial CyberSecurity for Networks), не будут полноценно защищены от появляющихся новых типов угроз и методов атак.
Компания Red Hat предлагает пользователям операционной системы CentOS Linux 8 выполнить миграцию на операционную систему CentOS Stream 8. Программа Kaspersky Industrial CyberSecurity for Networks совместима с операционной системой CentOS Stream 8.
Вы можете выполнить миграцию операционной системы CentOS Linux 8 на CentOS Stream 8 как до установки компонентов Kaspersky Industrial CyberSecurity for Networks, так и после их установки. Миграция операционной системы выполняется локально на каждом компьютере, на котором установлен или будет устанавливаться компонент Kaspersky Industrial CyberSecurity for Networks.
Чтобы выполнить миграцию операционной системы CentOS Linux 8 на CentOS Stream 8:
- Откройте консоль операционной системы.
- Обновите все пакеты и библиотеки операционной системы CentOS Linux 8. Для этого введите команду:
sudo dnf update - Установите пакет centos-release-stream для обеспечения доступа к репозиториям CentOS Stream. Для этого введите команду:
sudo dnf install centos-release-stream - Измените репозиторий по умолчанию на репозиторий CentOS Stream. Для этого введите команду:
sudo dnf swap centos-{linux,stream}-repos - Синхронизируйте установленные пакеты и библиотеки из нового репозитория по умолчанию. Для этого введите команду:
sudo dnf distro-sync - Перезапустите операционную систему. Для этого введите команду:
sudo reboot
Настройка синхронизации времени по протоколам NTP и PTP
Синхронизация времени узлов с установленными компонентами Kaspersky Industrial CyberSecurity for Networks должна выполняться с общим источником времени, который используют устройства промышленной сети. Для синхронизации вы можете использовать стандартные протоколы Network Time Protocol (NTP) и Precision Time Protocol (PTP).
На узле Сервера требуется настроить синхронизацию времени при любом способе установки этого компонента (как после централизованной установки, так и после локальной).
На узлах с установленными сенсорами настраивать синхронизацию времени требуется в следующих случаях:
- если при централизованной установке Kaspersky Industrial CyberSecurity for Networks не включена автоматическая синхронизация времени между Сервером и сенсорами;
- если установка сенсора выполнена локально с помощью скрипта kics4net-install.sh.
Действия по настройке синхронизации различаются в зависимости от версии операционной системы и протокола.
- Настройка синхронизации времени по протоколу NTP в CentOS
- Настройка синхронизации времени по протоколу PTP в CentOS
Поддерживаемые типы кадров ASDU в протоколах стандартов IEC 60870-5-104 и IEC 60870-5-101
В этом разделе приведено описание типов кадров ASDU, поддерживаемых в Kaspersky Industrial CyberSecurity for Networks (см. таблицу ниже). Перечисленные типы кадров обрабатываются при контроле технологического процесса на устройствах, которые взаимодействуют по протоколам стандартов IEC 60870-5-104 и IEC 60870-5-101.
Типы кадров в протоколах стандартов IEC 60870-5-104 и IEC 60870-5-101
ID типа кадра |
Операция |
Описание |
Тип основного значения / системные команды |
|---|---|---|---|
1. Информация о процессе в направлении контроля |
|||
<1> |
M_SP_NA |
Одноэлементная информация |
0 – ВЫКЛ, 1 – ВКЛ |
<2> |
M_SP_TA |
Одноэлементная информация (с меткой времени) |
0 – ВЫКЛ, 1 – ВКЛ |
<3> |
M_DP_NA |
Двухэлементная информация |
0 – Неопределенное или промежуточное, 1 – ВЫКЛ, 2 – ВКЛ, 3 – Неопределенное |
<4> |
M_DP_TA |
Двухэлементная информация (с меткой времени) |
0 – Неопределенное или промежуточное, 1 – ВЫКЛ, 2 – ВКЛ, 3 – Неопределенное |
<5> |
M_ST_NA |
Информация о положении отпаек |
-64 ... +64 |
<6> |
M_ST_TA |
Информация о положении отпаек (с меткой времени) |
-64 ... +64 |
<7> |
M_BO_NA |
Строка из 32 бит |
unsigned int32 |
<8> |
M_BO_TA |
Строка из 32 бит (с меткой времени) |
unsigned int32 |
<9> |
M_ME_NA |
Значение измеряемой величины, нормализованное значение |
float |
<10> |
M_ME_TA |
Значение измеряемой величины, нормализованное значение (с меткой времени) |
float |
<11> |
M_ME_NB |
Значение измеряемой величины, масштабированное значение |
float |
<12> |
M_ME_TB |
Значение измеряемой величины, масштабированное значение (с меткой времени) |
float |
<13> |
M_ME_NC |
Значение измеряемой величины, короткий формат с плавающей запятой |
float |
<14> |
M_ME_TC |
Значение измеряемой величины, короткий формат с плавающей запятой (с меткой времени) |
float |
<15> |
M_IT_NA |
Интегральная сумма |
int32 |
<16> |
M_IT_TA |
Интегральная сумма (с меткой времени) |
int32 |
<17> |
M_EP_TA |
Информация о работе релейной защиты (с меткой времени) |
0 – Неопределенное, 1 – ВЫКЛ, 2 – ВКЛ, 3 – Неопределенное |
<18> |
M_EP_TB |
Упакованная информация о срабатывании пусковых органов защиты (с меткой времени) |
Набор битов в соответствии со стандартом |
<19> |
M_EP_TC |
Упакованная информация о срабатывании выходных цепей защиты (с меткой времени) |
Набор битов в соответствии со стандартом |
<20> |
M_PS_NA |
Упакованная одноэлементная информация с определением изменения состояния |
unsigned int16 |
<21> |
M_ME_ND |
Значение измеряемой величины, нормализованное значение без описателя качества |
float |
<30> |
M_SP_TB |
Одноэлементная информация (с меткой времени СР56Время2а) |
0 – ВЫКЛ, 1 – ВКЛ |
<31> |
M_DP_TB |
Двухэлементная информация (с меткой времени СР56Время2а) |
0 – Неопределенное или промежуточное, 1 – ВЫКЛ, 2 – ВКЛ, 3 – Неопределенное |
<32> |
M_ST_TB |
Информация о положении отпаек (с меткой времени СР56Время2а) |
-64 ... +64 |
<33> |
M_BO_TB |
Строка из 32 бит (с меткой времени СР56Время2а) |
unsigned int32 |
<34> |
M_ME_TD |
Значение измеряемой величины, нормализованное значение (с меткой времени СР56Время2а) |
float |
<35> |
M_ME_TE |
Значение измеряемой величины, масштабированное значение (с меткой времени СР56Время2а) |
float |
<36> |
M_ME_TF |
Значение измеряемой величины, короткий формат с плавающей запятой (с меткой времени СР56Время2а) |
float |
<37> |
M_IT_TB |
Интегральные суммы (с меткой времени СР56Время2а) |
int32 |
<38> |
M_EP_TD |
Информация о работе релейной защиты (с меткой времени СР56Время2а) |
0 – Неопределенное, 1 – ВЫКЛ, 2 – ВКЛ, 3 – Неопределенное |
<39> |
M_EP_TE |
Упакованная информация о срабатывании пусковых органов защиты (с меткой времени СР56Время2а) |
Набор битов в соответствии со стандартом |
<40> |
M_EP_TF |
Упакованная информация о срабатывании выходных цепей защиты (с меткой времени СР56Время2а) |
Набор битов в соответствии со стандартом |
2. Информация о процессе в направлении управления |
|||
<45> |
C_SC_NA |
Одноэлементная команда |
0 – ВЫКЛ, 1 – ВКЛ |
<46> |
C_DC_NA |
Двухэлементная команда |
0 – Не разрешено, 1 – ВЫКЛ, 2 – ВКЛ, 3 – Не разрешено |
<47> |
C_RC_NA |
Команда пошагового регулирования |
0 – Не разрешено, 1 – Следующий шаг ВВЕРХ, 2 – Следующий шаг ВНИЗ, 3 – Не разрешено |
<48> |
C_SE_NA |
Команда уставки, нормализованное значение |
float |
<49> |
C_SE_NB |
Команда уставки, масштабированное значение |
float |
<50> |
C_SE_NC |
Команда уставки, короткое число с плавающей запятой |
float |
<51> |
C_BO_NA |
Строка из 32 битов |
int32 |
<58> |
C_SC_TA |
Одноэлементная команда (с меткой времени СР56Время2а) |
0 – ВЫКЛ, 1 – ВКЛ |
<59> |
C_DC_TA |
Двухэлементная команда (с меткой времени СР56Время2а) |
0 – Не разрешено, 1 – ВЫКЛ, 2 – ВКЛ, 3 – Не разрешено |
<60> |
C_RC_TA |
Команда пошагового регулирования (с меткой времени СР56Время2а) |
0 – Не разрешено, 1 – Следующий шаг ВВЕРХ, 2 – Следующий шаг ВНИЗ, 3 – Не разрешено |
<61> |
C_SE_TA |
Команда уставки, нормализованное значение (с меткой времени СР56Время2а) |
float |
<62> |
C_SE_TB |
Команда уставки, масштабированное значение (с меткой времени СР56Время2а) |
float |
<63> |
C_SE_TC |
Команда уставки, короткое число с плавающей запятой (с меткой времени СР56Время2а) |
float |
<64> |
C_BO_TA |
Строка из 32 битов (с меткой времени СР56Время2а) |
int32 |
3. Информация о системе в направлении контроля |
|||
<70> |
M_EI_NA |
Конец инициализации |
Системная команда END OF INITIALIZATION |
4. Информация о системе в направлении управления |
|||
<100> |
C_IC_NA |
Команда опроса |
Системная команда INTERROGATION |
<101> |
C_CI_NA |
Команда опроса счетчика |
Системная команда COUNTER INTERROGATION |
<102> |
C_RD_NA |
Команда чтения |
Системная команда READ |
<103> |
C_CS_NA |
Команда синхронизации времени |
Системная команда CLOCK SYNCHRONIZATION |
<104> |
C_TS_NA |
Команда тестирования |
Системная команда TEST |
<105> |
C_RP_NA |
Команда установки процесса в исходное состояние |
Системные команды RESET PROCESS ACTIVATION / RESET PROCESS CONFIRMATION |
<106> |
C_CD_NA |
Команда задержки сбора данных |
Системная команда DELAY ACQUISITION |
<107> |
C_TS_TA |
Команда тестирования (с меткой времени СР56Время2а) |
Системная команда TEST WITH TIME TAG |
5. Параметры в направлении управления |
|||
<110> |
P_ME_NA |
Параметр измеряемой величины, нормализованное значение |
float |
<111> |
P_ME_NB |
Параметр измеряемой величины, масштабированное значение |
float |
<112> |
P_ME_NC |
Параметр измеряемой величины, короткий формат с плавающей запятой |
float |
<113> |
P_AC_NA |
Активация параметра |
Системная команда PARAMETER ACTIVATION |
6. Пересылка файлов |
|||
<120> |
F_FR_NA |
Файл готов |
Не обрабатывается |
<121> |
F_SR_NA |
Секция готова |
Не обрабатывается |
<122> |
F_SC_NA |
Вызов директории, выбор файла, вызов файла, вызов секции |
Системная команда CALL DIRECTORY, SELECT FILE, CALL FILE, CALL SELECTION |
<123> |
F_LS_NA |
Последняя секция, последний сегмент |
Не обрабатывается |
<124> |
F_AF_NA |
Подтверждение файла, подтверждение секции |
Не обрабатывается |
<125> |
F_SG_NA |
Сегмент |
Не обрабатывается |
<126> |
F_DR_TA |
Директория |
Не обрабатывается |
Отправка событий Kaspersky Industrial CyberSecurity for Networks в SIEM-системы
В Kaspersky Industrial CyberSecurity for Networks вы можете использовать коннектор для отправки данных на сервер SIEM-системы. После добавления коннектора вам нужно настроить передачу событий через этот коннектор.
Содержание и порядок отображения сведений о событиях, передаваемых в SIEM-систему, могут отличаться от отображаемых данных в разделе События веб-интерфейса Сервера Kaspersky Industrial CyberSecurity for Networks.
- Проверка передачи событий на примере системы HP ArcSight
- Убедитесь, что настроен канал приема сообщений от Kaspersky Industrial CyberSecurity for Networks штатными средствами системы HP ArcSight.
- Откройте браузер и перейдите по адресу вашей системы HP ArcSight.
- Войдите под своей учетной записью и перейдите к разделу Analyze → Live Event Viewer (см. рис. ниже).
Открытие раздела Live Event Viewer в системе HP ArcSight
- Нажмите на кнопку Start (см. рис. ниже).
Запуск Live Event Viewer в системе HP ArcSight
- Откройте интерфейс командной строки и введите команду, чтобы соединиться с сервером по протоколу Telnet:
telnet <адрес сервера ArcSight> <порт> - Отправьте тестовое сообщение в формате CEF:
CEF:0|KasperskyLab|TMS|1.0|KLAUD_EV_TESTEVENT|Critical Test event|1|src=10.0.0.1 dst=10.0.0.2 code=1234
Если есть соединение с системой HP ArcSight, в разделе Live Event Viewer появится событие, содержимое которого совпадает с отправленным сообщением (см. рис. ниже).
Проверка результатов работы
- Формат сообщений, посылаемых в SIEM-систему
Файлы для импорта проекта универсального формата
Вы можете использовать проект универсального формата для импорта в Kaspersky Industrial CyberSecurity for Networks конфигураций параметров контроля процесса для устройств и тегов. Импорт из проекта универсального формата выполняется с помощью текстовых файлов с разделителями (csv-файлов). Формат CSV – это текстовый формат для представления табличных данных.
Вы можете создавать файлы данных любым удобным для вас способом (например, из систем SCADA). Для импорта в программу созданные файлы нужно упаковать в ZIP-архив.
Набор файлов для импорта проекта универсального формата может состоять из следующих CSV-файлов:
- devices.csv. Содержит описания устройств и соединений.
Соединение – это именованная связь между устройством, набором протоколов устройства и набором тегов устройства, передаваемых через эти протоколы.
- connections.csv. Содержит описания протоколов для соединений.
- variables.csv. Содержит описания переменных и тегов для соединений.
- enums.csv. Содержит описания перечислений для стандарта IEC 61850.
- datasets.csv. Содержит описания наборов данных для стандарта IEC 61850.
- iec61850_mms_reports.csv. Содержит описания отчетов для протокола IEC 61850: MMS.
При использовании файлов данных учитывайте следующие особенности:
- Файлы данных должны быть в кодировке UTF-8.
- Список тегов в файле variables.csv имеет группирующий признак "соединение".
- Для одного соединения в файле connections.csv можно указать несколько разных протоколов и адресов.
- Протокол может иметь один или несколько адресов.
- Одно устройство может иметь несколько соединений с разными наборами тегов.
Строки, содержащие значения параметров, в файлах enums.csv и datasets.csv заполняются только при описании перечислений и наборов данных для протоколов MMS и GOOSE стандарта IEC 61850. Для других протоколов файлы enums.csv и datasets.csv могут содержать только заголовочные строки. При этом файлы enums.csv и datasets.csv должны присутствовать в наборе файлов для импорта.
При импорте файлов данных учитываются только значения указанных параметров. Параметры, значения которых не указаны, пропускаются. Если в файле данных отсутствуют строки, на которые ссылается другой файл из набора файлов данных, то при импорте отсутствующие строки пропускаются.
Файл описания устройств: devices.csv
Файл описания устройств содержит перечисление устройств, их типов и идентификаторов соединений. Идентификатор соединения, указанный в файле описания устройств, используется в файле описания соединений и протоколов для связи с тегами и протоколами.
Если вы используете разные протоколы с разными наборами тегов, то нужно использовать несколько соединений для одного устройства. Идентификаторы соединений в каждой строке файла devices.csv должны быть уникальными.
В начале файла должны быть указаны заголовочные строки, которые содержат необходимые данные для обработки файла. Пример заголовочных строк файла devices.csv приведен ниже.
Пример:
|
Заголовочные строки файла devices.csv содержат следующие значения:
DevicesВ этой строке указано имя csv-файла.
Devices– это имя файла описания устройств. Имя файла данных соответствует назначению файла и определено для каждого файла в наборе.Format Version;KICS Importer VersionВ этой строке указаны версия формата файла и версия инструмента, с помощью которого файл был создан. Для параметра
Format versionзадайте значение V1.0.0.0. Далее рекомендуется указать имя и версию инструмента, с помощью которой был создан csv-файл.Field separator: ; Decimal separator: . Text quotes: " Var name separator: .В этой строке указаны разделители, которые используются в файле данных:
- разделитель полей:
Field separator: ; - разделитель целой и дробной части:
Decimal separator: . - ограничитель строк:
Text quotes: " - разделитель полей в имени тега:
Var name separator: .
- разделитель полей:
Device;Type;ConnectionВ этой строке указаны наименования столбцов с данными. Данные в файле должны следовать согласно указанному порядку следования столбцов:
Device– имя устройства.Type– код типа устройства. Используются следующие коды:- 0 – SIEMENS SIMATIC S7-300;
- 1 – SIEMENS SIMATIC S7-400;
- 2 – SCHNEIDER ELECTRIC MOMENTUM;
- 3 – SCHNEIDER ELECTRIC M340;
- 4 – MITSUBISHI SYSTEM Q;
- 5 – ALLEN-BRADLEY CONTROL LOGIX 5000;
- 6 – SIEMENS SIPROTEC;
- 7 – IEC 61850 GOOSE, MMS device;
- 8 – IEC 60870-5-104 device;
- 9 – ABB RELION 670;
- 10 – GENERAL ELECTRIC RX3I;
- 11 – SIEMENS SIMATIC S7-1500;
- 12 – IEC 61850 SAMPLED VALUES device;
- 13 – SIEMENS SIPROTEC 6MD66;
- 14 – SIEMENS SIPROTEC 7SS52;
- 15 – SIEMENS SIPROTEC 7UM62;
- 16 – SIEMENS SIPROTEC 7SA52;
- 17 – SIEMENS SIPROTEC 7SJ64;
- 18 – SIEMENS SIPROTEC 7UT63;
- 19 – GENERAL ELECTRIC MULTILIN B30;
- 20 – GENERAL ELECTRIC MULTILIN C60;
- 21 – EMERSON DELTAV;
- 22 – SCHNEIDER ELECTRIC M580;
- 23 – RELEMATIKA TOR 300;
- 24 – EKRA 200 series;
- 25 – EKRA BE2704 / BE2502;
- 26 – OMRON CJ2M;
- 27 – ABB AC 800M;
- 28 – YOKOGAWA CENTUM;
- 29 – CODESYS V3 based device;
- 30 – DNP3 device;
- 31 – OPC UA server;
- 32 – ABB AC 700F;
- 33 – SIEMENS SIMATIC S7-1200;
- 34 – OPC DA server;
- 35 – BECKHOFF CX series;
- 36 – PROSOFT-SYSTEMS REGUL R500;
- 37 – EMERSON CONTROLWAVE;
- 38 – IEC 60870-5-101 device;
- 39 – MOXA NPORT IA 5000 series;
- 40 – I/O device;
- 41 – ABB RELION REF615;
- 42 – SIEMENS SIMATIC S7-200;
- 43 – MODBUS TCP device;
- 44 – SCHNEIDER ELECTRIC SEPAM 80 NPP;
- 45 – YOKOGAWA PROSAFE-RS;
- 46 – SCHNEIDER ELECTRIC FOXBORO FCP280 / FCP270;
- 47 – HONEYWELL CONTROLEDGE 900 series;
- 48 – HONEYWELL EXPERION C300;
- 49 – SCHNEIDER ELECTRIC MICOM C264;
- 50 – UMAS device;
- 51 – TASE.2 server;
- 52 – PROFINET device;
- 53 – DIRECTLOGIC;
- 54 – Server with encryption support;
- 55 – BACNET device;
- 56 – SCHNEIDER ELECTRIC P545;
- 57 – YCU/ELC;
- 58 – FEU device;
- 59 – Generic IED;
- 60 – Generic Gateway;
- 61 – Generic PLC;
- 62 – VALMET DNA device;
- 63 – COS device;
- 64 – OWEN PLC100 series;
- 65 – CODESYS V2 based device.
Connection– идентификатор соединения из файла описания соединений и протоколов connections.csv.
После заголовочных строк следует тело файла, содержащее значения параметров (имя устройства, код типа устройства, идентификатор соединения). Пример файла devices.csv приведен ниже.
Пример:
|
Файл описания соединений и протоколов: connections.csv
Файл описания протоколов содержит описание протоколов для каждого соединения.
В начале файла должны быть указаны заголовочные строки, которые содержат необходимые данные для обработки файла. Пример заголовочных строк файла connections.csv приведен ниже.
Пример:
|
Первые три заголовочные строки аналогичны заголовочным строкам в файле devices.csv.
Строка Connection;Protocol;Address содержит наименования столбцов с данными:
Connection– идентификатор соединения для файлов описаний.Protocol– код протокола прикладного уровня. Используются следующие коды протоколов:- 0 – MODBUS TCP;
- 1 – SIEMENS S7COMM over TCP;
- 2 – SIEMENS S7COMM over INDUSTRIAL ETHERNET;
- 3 – MITSUBISHI MELSEC SYSTEM Q;
- 4 – ALLEN-BRADLEY ETHERNET/IP;
- 5 – IEC 61850 MMS;
- 6 – IEC 61850 GOOSE;
- 7 – IEC 60870-5-104;
- 8 – GENERAL ELECTRIC SRTP;
- 9 – IEC 61850 SAMPLED VALUES;
- 10 – SIEMENS S7COMMPLUS over TCP;
- 11 – EMERSON DELTAV;
- 12 – OMRON FINS over UDP;
- 13 – MMS for ABB AC 800M;
- 14 – YOKOGAWA VNET/IP;
- 15 – CODESYS V3 GATEWAY over TCP;
- 16 – DNP3;
- 17 – OMRON FINS over TCP;
- 18 – OPC UA BINARY;
- 19 – DMS for ABB AC 700F;
- 20 – OPC DA;
- 21 – OMRON FINS over ETHERNET/IP;
- 22 – CODESYS V3 GATEWAY over UDP;
- 23 – BECKHOFF ADS/AMS;
- 24 – IEC 60870-5-101;
- 25 – FOXBORO FCP280 / FCP270 INTERACTION;
- 26 – EMERSON CONTROLWAVE DATA EXCHANGE;
- 27 – HONEYWELL CONTROLEDGE 900 INTERACTION;
- 28 – WMI INTERACTION;
- 29 – HONEYWELL EXPERION INTERACTION;
- 30 – MiCOM C264 INTERACTION;
- 31 – SCHNEIDER ELECTRIC UMAS;
- 32 – TASE.2;
- 33 – PROFINET IO;
- 34 – DIRECTLOGIC INTERACTION;
- 35 – BACNET;
- 36 – YARD;
- 37 – COS;
- 38 – IPU-FEU INTERACTION;
- 39 – VALMET DNA INTERACTION;
- 40 – CODESYS V2.
Address– строка, содержащая полный сетевой адрес устройства, специфичный для указанного протокола.Пример:
Соединение с контроллером Schneider Momentum (один IP-адрес):
"Barline1";0;"IP-Address=192.168.0.7;Port=502"Соединение с контроллером Mitsubishi System Q (один IP-адрес, два порта):
"Station1";3;"IP-Address=192.168.0.8;Port=5001 Network=0;Station=0;PC=255""Station1";3;"IP-Address=192.168.0.8;Port=5002 Network=0;Station=0;PC=255"Соединение с резервируемым контроллером Siemens S7-400, два контроллера (два IP-адреса, один набор тегов):
"S7$Program";1;"IP-Address=192.168.0.21;Port=102;Rack=0;Slot=2""S7$Program";1;"IP-Address=192.168.0.22;Port=102;Rack=0;Slot=2"Соединение с контроллером Siemens S7-400, используется два протокола: S7Comm поверх стека TCP/IP и S7Comm поверх сети Industrial Ethernet (один набор тегов):
"S7$Program";1;"IP-Address=192.168.0.21;Port=102;Rack=0;Slot=2""S7$Program";2;"MAC=00:01:02:03:04:05;Rack=0;Slot=2"
После заголовочных строк следует тело файла, содержащее значения параметров (идентификатор соединения, код протокола прикладного уровня, полный сетевой адрес устройства). Пример файла connections.csv приведен ниже.
Пример:
|
Формат сетевого адреса устройства в файле connections.csv зависит от типа используемого протокола.
Пример: Для поддерживаемых в Kaspersky Industrial CyberSecurity for Networks протоколов могут использоваться следующие форматы адреса:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Файл описания переменных и тегов: variables.csv
Файл описания переменных и тегов содержит перечисления тегов, их параметров и соединений, с которыми связаны теги.
В начале файла должны быть указаны заголовочные строки, которые содержат данные для обработки файла. Пример заголовочных строк файла variables.csv приведен ниже.
Пример
|
Первые три заголовочные строки аналогичны заголовочным строкам в файле devices.csv.
Строка ID;Varname;Connection;Address;Datatype;Length;InLo;InHi;OutLo;OutHi;Description;EngUnits;EnumName содержит наименования столбцов с данными:
ID– уникальный числовой идентификатор тега.Идентификатор тега нужен для создания ссылок на тег в файле datasets.csv.
Varname– полное имя тега (например,Drain.8450PT00058.value20).Connection– идентификатор соединения, с которым связан тег.Address– адрес тега в строковом виде.Адрес зависит от типа протокола, с которым связан тег (например, для протокола S7comm значение адреса –
M2.7,DB575:82.0, для протокола Modbus TCP значение адреса –400537,123,300001).Datatype– числовой код типа данных тега. Используются следующие коды:- 0 – BOOL;
- 1 – INT8;
- 2 – UINT8;
- 3 – INT16;
- 4 – UINT16;
- 5 – INT32;
- 6 – UINT32;
- 7 – INT64;
- 8 – UINT64;
- 9 – FLOAT;
- 10 – DOUBLE;
- 11 – STRING;
- 12 – ENUM;
- 13 – BOOL ARRAY;
- 14 – UNSPECIFIED.
Length– длина строки в байтах для тега строкового типа (string).InLo;InHi;OutLo;OutHi– параметры для масштабирования значения тега.Если значения всех параметров для масштабирования равны нулю, то масштабирование значения тега не используется. Если заданы числовые значения параметров, то для расчета значения тега применяется следующая формула: TagValue = OutLo + (TagValue – InLo) * (OutHi – OutLo) / (InHi – InLo), где TagValue – это значение тега.
Description– описание тега (например, "Давление пара на выходе котла №1").EngUnits– единицы измерения физической величины, которая соответствует тегу (например, м/с, Дж).EnumName– имя перечисления из файла enums.csv, которое определяет значение тега.Поле
EnumNameможет быть заполнено для тегов с типами данных ENUM, INT* или UINT*. ПолеEnumNameсодержит ссылку на перечисление из файла enums.csv.Пример:
Поле
EnumNameв файле variables.csv:EnumName = "OnOffSwitch"Описание перечисления в файле enums.csv:
"OnOffSwitch"; 0; "Включено""OnOffSwitch"; 1; "Отключено"
После заголовочных строк следует тело файла, содержащее значения параметров (например, идентификатор тега, имя тега, идентификатор соединения). Пример файла variables.csv приведен ниже.
Пример:
|
Структура адреса тега в поле Address зависит от используемого протокола.
Для поддерживаемых протоколов используются следующие структуры адреса:
- MODBUS TCP: целое число (например, адреса дискретных входов (Discrete inputs): от 100001).
- SIEMENS S7COMM over TCP и S7COMM over INDUSTRIAL ETHERNET: строка вида
[Area][ByteAddress].[BitAddress].Если выполняется условие
MemArea=DataBlocks, то к адресу добавляется номер блока данных. Строка принимает вид[DB17]:[ByteAddress].[BitAddress], где:Area– перечисление кодов области памяти в соответствии со стандартом протокола: M, I, O, DB, C, T.ByteAddress– адрес регистра, представленный целым числом.BitAddress– адрес бита внутри регистра, представленный целым числом.
- MITSUBISHI MELSEC SYSTEM Q: строка вида
[Area][Address], где:Area– перечисление кодов области памяти в соответствии со спецификацией протокола: SM, SD, M, L, F, V, D, TS, TC, TN, SS, SC, SN, CS, CC, CN, S, Z, R, X, Y, B, W, SB, SW, DX, DY, ZR.Address– значение адреса. Адрес представляет собой целое число в диапазоне, который зависит от области данных.
- ALLEN-BRADLEY ETHERNET/IP: строка с именем тега.
- IEC 61850 MMS и GOOSE: согласно стандарту IEC 61850 – строка вида
DOMAIN=Domain;LN=LnName;CO=CoName;DA=FullTagName;CDC=CdcName;LNCDC=LNClassName, где:DOMAIN– параметр, который включает в себя имя устройства и имя логического устройства (logical device name).LN– имя логического узла (logical node name).CO– имя функциональной ссылки (functional constraint name).DA– имя тега (tag name).CDC– имя класса общих данных атрибута (attribute common data class name).LNCDC– имя класса общих данных логического узла (logical node common data class name).
- IEC 60870-5-104 и IEC 60870-5-101: строка вида
[ASDU]:[Address], где:ASDU– номер ASDU, представленный целым числом.Address– номер объекта InformationObject, представленный целым числом.
- GENERAL ELECTRIC SRTP: строка вида
[Area][ByteAddress].[BitAddress], где:Area– перечисление кодов области памяти в соответствии со стандартом протокола: I, Q, T, M, G, AI, AQ, R, P, L, W.ByteAddress– адрес регистра, представленный целым числом.BitAddress– адрес бита внутри регистра, представленный целым числом.
- SIEMENS S7COMMPLUS over TCP: строка вида
LID=LidValue;RID=RidValue, гдеLidValueиRidValue– внутренние идентификаторы тега в проекте TiaPortal. - EMERSON DELTAV: строка с именем тега.
- OMRON FINS over UDP, OMRON FINS over TCP и OMRON FINS over ETHERNET/IP: строка вида
[Area][ByteAddress].[BitAddress], где:Area– перечисление кодов области памяти в соответствии со стандартом протокола: A, CIO, C, CS, D, DR, E, H, IR, TK, T, TS, W.ByteAddress– адрес регистра, представленный целым числом.BitAddress– адрес бита внутри регистра, представленный целым числом.
- YOKOGAWA VNET/IP: строка с именем тега.
- DNP3: строка вида
[GROUP]:[INDEX], где:GROUP– группа.INDEX– индекс.
- DMS for ABB AC 700F: целое число.
- MMS for ABB AC 800M: строка вида
[Application]:[POUInstance].[VarOffset], где:Application– название приложения.POUInstance– экземпляр POU.VarOffset– смещение переменной.
- CODESYS V3 GATEWAY over TCP и CODESYS V3 GATEWAY over UDP: строка с именем тега.
- OPC UA BINARY: строка с именем тега.
- OPC DA: строка с именем тега.
- EMERSON CONTROLWAVE DATA EXCHANGE: строка вида
[MSD_VERSION]:[MSD], где:MSD_VERSION– целое число в диапазоне 0–65535, используемое для сравнения версий проектов/тегов в ПЛК и SCADA-системе.MSD– идентификатор тега, представленный целым числом в диапазоне 0–65535.
- FOXBORO FCP280 / FCP270 INTERACTION: строка с именем тега.
- HONEYWELL EXPERION INTERACTION: строка вида
[BLOCK_ID]:[SUBBLOCK_ID]:[PROPERTY_ID], где:BLOCK_ID– порядковый номер блока в программе ПЛК, представленный целым числом в диапазоне 0–65535.SUBBLOCK_ID– порядковый номер вложенного блока в программе ПЛК, представленный целым числом в диапазоне 0–65535.PROPERTY_ID– порядковый номер параметра блока в программе ПЛК, представленный целым числом в диапазоне 0–65535.
- DIRECTLOGIC INTERACTION: строка вида
[Area][ByteAddress].[BitAddress], где:Area– перечисление кодов области памяти в соответствии со спецификацией протокола: X, Y, C, S, T, CT, GX, GY, V, P, SP, B, PB.ByteAddress– адрес регистра, представленный целым числом.BitAddress– адрес бита внутри регистра, представленный целым числом.
- BACNET: строка вида
[OBJECT_TYPE]:[OBJECT_ID], где:OBJECT_TYPE– тип объекта в соответствии со спецификацией протокола.OBJECT_ID– порядковый номер объекта, представленный целым числом в диапазоне 0–4194303.
- PROFINET IO: строка вида
[IO]:[SubSlot]:[Index]:[Offset].[BitAddress], где:IO– направление переменной (input, output).SubSlot– номер подслота, представленный целым числом.Index– индекс тега, представленный целым числом.Offset– адрес байта тега, представленный целым числом.BitAddress– адрес бита внутри регистра, представленный целым числом (используется только для тегов с типом данных bool).
Кроме того, для правильной загрузки параметров протокола требуется указать файл GSDML, специфичный для устройства.
- YARD: строка вида
[Controller Address]:[Index]:[Size]:[Config]:[MessageType], где:Controller Address– адрес объектного контроллера, представленный целым шестнадцатеричным числом.Index– битовый индекс тега, представленный целым числом.Size– битовый размер, представленный целым числом.Config– положение перемычек на объектном контроллере, представленное целым шестнадцатеричным числом.MessageType– тип сообщения (OrderилиStatus).
Кроме того, для правильной загрузки параметров протокола требуется указать файл конфигурации, специфичный для устройства.
- COS: строка вида
[Object ID]:[Variable ID], где:Object ID– идентификатор объекта, представленный целым числом.Variable ID– идентификатор переменной, представленный целым числом.
Кроме того, для правильной загрузки параметров протокола требуется указать файл конфигурации станции.
- VALMET DNA INTERACTION: строка с именем тега.
Пример строки адреса тега для протоколов MMS и GOOSE приведен ниже.
Пример:
|
Файл описания перечислений: enums.csv
Файл описания перечислений содержит все элементы всех перечислений, используемых в текущем наборе файлов данных для стандарта IEC 61850.
В начале файла должны быть указаны заголовочные строки, которые содержат данные для обработки файла. Пример заголовочных строк файла enums.csv приведен ниже.
Пример:
|
Первые три заголовочные строки аналогичны заголовочным строкам в файле devices.csv.
Строка Connection;EnumName;IntValue;TextValue содержит наименования столбцов с данными:
Connection– идентификатор соединения, к которому относится этот элемент.EnumName– имя перечисления.IntValue– числовое значение перечисления.TextValue– текстовое описание, которое соответствует числовому значению перечисления.
После заголовочных строк следует тело файла, содержащее значения параметров (идентификатор соединения, имя перечисления, числовое значение перечисления, текстовое описание). Пример файла enums.csv приведен ниже.
Пример:
|
Файл описания наборов данных (группы тегов): datasets.csv
Файл описания наборов данных (группы тегов) содержит параметры наборов данных (dataset) для протоколов стандарта IEC 61850.
В начале файла должны быть указаны заголовочные строки, которые содержат данные для обработки файла. Пример заголовочных строк файла datasets.csv приведен ниже.
Пример:
|
Первые три заголовочные строки аналогичны заголовочным строкам в файле devices.csv.
Строка Connection;DatasetName;Deprecated;ItemName содержит наименования столбцов с данными:
Connection– идентификатор соединения, к которому относится файл datasets.csv.DatasetName– имя набора данных.Deprecated– неиспользуемые данные (нулевое значение).ItemName– полное имя элемента модели устройства. Это может быть конечное имя тега или имя верхней ветки дерева структуры.
После заголовочных строк следует тело файла, содержащее значения параметров (идентификатор соединения, имя набора данных, неиспользуемое значение, имя элемента модели устройства). Пример файла datasets.csv приведен ниже.
Пример:
|
Файл описания отчетов протокола MMS: iec61850_mms_reports.csv
Файл описания отчетов протокола MMS содержит параметры для сервиса Reports протокола IEC 61850: MMS.
В начале файла должны быть указаны заголовочные строки, которые содержат данные для обработки файла. Пример заголовочных строк файла iec61850_mms_reports.csv приведен ниже.
Пример:
|
Первые три заголовочные строки аналогичны заголовочным строкам в файле devices.csv.
Строка Connection;ReportName;ReportId;DataSetName;IsBuffered содержит наименования столбцов с данными:
Connection– идентификатор соединения, к которому относится строка настроек в файле iec61850_mms_reports.csv.ReportName– имя отчета.ReportId– идентификатор отчета.DataSetName– имя набора данных, связанного с этим отчетом.IsBuffered– признак, является отчет буферизированным или нет. Принимает значенияBufferedилиUnbuffered.
После заголовочных строк следует тело файла, содержащее значения параметров (идентификатор соединения, имя отчета, идентификатор отчета, имя набора данных для отчета, признак буферизации). Пример файла iec61850_mms_reports.csv приведен ниже.
Пример:
|
Системные типы событий в Kaspersky Industrial CyberSecurity for Networks
Для регистрации событий в Kaspersky Industrial CyberSecurity for Networks используются системные типы событий, автоматически созданные при установке программы.
Каждый тип события относится к определенной технологии регистрации событий.
В начало
Системные типы событий по технологии Контроль технологического процесса
В этом разделе приведено описание системных типов событий, относящихся к технологии Контроль технологического процесса (см. таблицу ниже).
Системные типы событий по технологии Контроль технологического процесса (DPI)
Код |
Заголовок типа события |
Важность |
Условия для регистрации |
|---|---|---|---|
4000002900 |
$technology_rule |
Критические |
Сработало правило контроля процесса. В заголовке и в описании системного типа события используются следующие переменные:
В зарегистрированном событии для заголовка, описания и уровня важности события используются пользовательские параметры, заданные в сработавшем правиле контроля процесса. |
4000000001 |
Тестовое событие (DPI) |
Информационные |
Обнаружен тестовый сетевой пакет. |
Системные типы событий по технологии Контроль системных команд
В этом разделе приведено описание системного типа события, относящегося к технологии Контроль системных команд (см. таблицу ниже).
Системный тип события по технологии Контроль системных команд (CC)
Код |
Заголовок типа события |
Важность |
Условия для регистрации |
|---|---|---|---|
4000002602 |
$systemCommandShort |
Определяется по уровню важности системной команды |
Обнаружена системная команда, выбранная для отслеживания (при этом для системной команды нет включенного правила контроля взаимодействий). В заголовке и в описании типа события используются следующие переменные:
|
Системные типы событий по технологии Контроль целостности сети
В этом разделе приведено описание системных типов событий, относящихся к технологии Контроль целостности сети (см. таблицу ниже).
Системные типы событий по технологии Контроль целостности сети (NIC)
Код |
Заголовок типа события |
Важность |
Условия для регистрации |
|---|---|---|---|
4000002601 |
Обнаружено неразрешенное сетевое взаимодействие ($top_level_protocol) |
Важные |
Обнаружено сетевое взаимодействие, не указанное во включенном правиле контроля взаимодействий. В заголовке и в описании типа события используются следующие переменные:
|
4000002700 |
Отсутствует трафик на точке мониторинга $monitoringPoint |
Важные |
На сетевой интерфейс, связанный с точкой мониторинга, не поступает трафик более 15 секунд. В заголовке и в описании типа события используются следующие переменные:
|
4000000002 |
Тестовое событие (NIC) |
Информационные |
Обнаружен тестовый сетевой пакет (при включенной технологии Контроль целостности сети). |
Системные типы событий по технологии Обнаружение вторжений
В этом разделе приведено описание системных типов событий, относящихся к технологии Обнаружение вторжений (см. таблицу ниже).
Системные типы событий по технологии Обнаружение вторжений (IDS)
Код |
Заголовок типа события |
Важность |
Условия для регистрации |
|---|---|---|---|
4000003000 |
Сработало правило из набора $fileName (системный набор правил) |
Определяется по приоритету правила |
Сработало правило обнаружения вторжений, входящее в системный набор правил (набор правил находится в активном состоянии). В заголовке и в описании типа события используются следующие переменные:
|
4000003001 |
Сработало правило из набора $fileName (пользовательский набор правил) |
Определяется по приоритету правила |
Сработало правило обнаружения вторжений, входящее в пользовательский набор правил (набор правил находится в активном состоянии). В заголовке и в описании типа события используются следующие переменные:
|
4000004001 |
Обнаружены признаки ARP-спуфинга в ARP-ответах |
Критические |
Обнаружены признаки подмены адресов в ARP-пакетах: несколько ARP-ответов, которые не связаны с ARP-запросами. В описании типа события используются следующие переменные:
|
4000004002 |
Обнаружены признаки ARP-спуфинга в ARP-запросах |
Критические |
Обнаружены признаки подмены адресов в ARP-пакетах: несколько ARP-запросов с одного MAC-адреса разным получателям. В описании типа события используются следующие переменные:
|
4000005100 |
Обнаружена аномалия в протоколе IP: конфликт данных при сборке IP-пакета |
Критические |
Обнаружена аномалия в протоколе IP: при наложении фрагментов IP-пакета данные не совпадают. |
4000005101 |
Обнаружена аномалия в протоколе IP: превышение размера фрагментированного IP-пакета |
Критические |
Обнаружена аномалия в протоколе IP: фактический суммарный размер фрагментированного IP-пакета после сборки превышает допустимый предел. |
4000005102 |
Обнаружена аномалия в протоколе IP: размер начального фрагмента IP-пакета меньше ожидаемого |
Критические |
Обнаружена аномалия в протоколе IP: размер начального фрагмента IP-пакета меньше минимально допустимого значения. |
4000005103 |
Обнаружена аномалия в протоколе IP: несоответствие фрагментов IP-пакета (mis-associated fragments) |
Важные |
Обнаружена аномалия в протоколе IP: фрагменты собираемого IP-пакета содержат различные данные о длине фрагментированного пакета. |
4000002701 |
Обнаружена аномалия в протоколе TCP: подмена содержимого в перекрывающихся TCP-сегментах |
Критические |
Обнаружена аномалия в протоколе TCP: пакеты содержат перекрывающиеся TCP-сегменты с различающимся содержимым. |
4000000003 |
Тестовое событие (IDS) |
Информационные |
Обнаружен тестовый сетевой пакет (при включенном методе обнаружения вторжений по правилам). |
Системные типы событий по технологии Контроль активов
В этом разделе приведено описание системных типов событий, относящихся к технологии Контроль активов (см. таблицу ниже).
Системные типы событий по технологии Контроль активов (AM)
Код |
Заголовок типа события |
Важность |
Условия для регистрации |
|---|---|---|---|
4000005003 |
Обнаружено новое устройство с адресом $owner_ip_or_mac |
Критические |
В режиме наблюдения контроля активов автоматически добавлено новое устройство по обнаруженному IP- или MAC-адресу, который не указан для других устройств в таблице. В заголовке и в описании типа события используются следующие переменные:
|
4000005004 |
Получена новая информация об устройстве с адресом $owner_ip_or_mac |
Информационные |
В режиме наблюдения контроля активов автоматически обновлены сведения об устройстве на основе полученных данных из трафика. В заголовке и в описании типа события используются следующие переменные:
|
4000005005 |
Обнаружен конфликт IP-адреса $owner_ip |
Критические |
В режиме наблюдения контроля активов обнаружено использование IP-адреса не тем устройством, для которого был указан этот IP-адрес. В заголовке и в описании типа события используются следующие переменные:
|
4000005006 |
Обнаружен трафик с адреса $owner_ip_or_mac, который закреплен за устройством со статусом Неиспользуемое |
Критические |
В режиме наблюдения контроля активов или по полученным данным от EPP-программы обнаружена активность устройства, которому был присвоен статус Неиспользуемое. В заголовке и в описании типа события используются следующие переменные:
|
4000005007 |
Обнаружен новый IP-адрес $new_ip_addr у устройства с MAC-адресом $owner_mac |
Критические |
В режиме наблюдения контроля активов обнаружен новый IP-адрес, использованный устройством. В заголовке и в описании типа события используются следующие переменные:
|
4000005008 |
Добавлен MAC-адрес $owner_mac устройству с IP-адресом $owner_ip |
Информационные |
В режиме наблюдения контроля активов автоматически добавлен MAC-адрес для сетевого интерфейса, у которого был указан только IP-адрес (при этом устройство было со статусом Неразрешенное или Неиспользуемое). В заголовке и в описании типа события используются следующие переменные:
|
4000005009 |
Добавлен IP-адрес $owner_ip устройству с MAC-адресом $owner_mac |
Информационные |
В режиме наблюдения контроля активов автоматически добавлен IP-адрес для сетевого интерфейса, у которого был указан только MAC-адрес (при этом устройство было со статусом Неразрешенное или Неиспользуемое). В заголовке и в описании типа события используются следующие переменные:
|
4000005010 |
Обнаружен новый MAC-адрес $new_mac_addr у устройства с IP-адресом $owner_ip |
Критические |
В режиме наблюдения контроля активов обнаружен новый MAC-адрес, использованный устройством (при этом для устройства выключено автоматическое обновление адресной информации). В заголовке и в описании типа события используются следующие переменные:
|
4000005011 |
Обнаружено изменение MAC-адреса $owner_mac на адрес $challenger_mac в полученных данных об устройстве от EPP-программы |
Критические |
По полученным данным от EPP-программы обновлен MAC-адрес устройства. В заголовке и в описании типа события используются следующие переменные:
|
4000005012 |
Обнаружена новая адресная информация устройства $asset_name в полученных данных от EPP-программы |
Критические |
В полученных данных от EPP-программы обнаружена новая адресная информация устройства. Событие этого типа регистрируется, если изменение адресной информации устройства не было обработано программой как событие с кодом 4000005009 или 4000005010. В заголовке и в описании типа события используются следующие переменные:
|
4000005013 |
Обнаружен конфликт в адресах устройств $conflicted_epp_assets после получения данных от EPP-программы |
Критические |
По полученным данным от EPP-программы обнаружен конфликт с адресами нескольких устройств в Kaspersky Industrial CyberSecurity for Networks. По данным от EPP-программы, адреса принадлежат одному устройству. В заголовке и в описании типа события используются следующие переменные:
|
4000005014 |
Добавлена подсеть $subnet_mask по данным от EPP-программы |
Критические |
После получения данных от EPP-программы в список известных подсетей автоматически добавлена новая подсеть. В заголовке и в описании типа события используются следующие переменные:
|
4000005200 |
Контроль проектов ПЛК: обнаружено чтение неизвестного блока из ПЛК $asset_name |
Критические |
При контроле чтения и записи проектов ПЛК обнаружена операция чтения неизвестного блока проекта из ПЛК (если отсутствует сохраненная информация об этом блоке). В заголовке и в описании типа события используются следующие переменные:
|
4000005201 |
Контроль проектов ПЛК: обнаружено чтение известного блока из ПЛК $asset_name |
Критические |
При контроле чтения и записи проектов ПЛК обнаружена операция чтения известного блока проекта из ПЛК (если есть сохраненная информация об этом блоке, но полученная информация не совпадает с последней сохраненной информацией об этом блоке). В заголовке и в описании типа события используются следующие переменные:
|
4000005202 |
Контроль проектов ПЛК: обнаружена запись нового блока в ПЛК $asset_name |
Критические |
При контроле чтения и записи проектов ПЛК обнаружена операция записи неизвестного блока проекта из ПЛК (если отсутствует сохраненная информация об этом блоке). В заголовке и в описании типа события используются следующие переменные:
|
4000005203 |
Контроль проектов ПЛК: обнаружена запись известного блока в ПЛК $asset_name |
Критические |
При контроле чтения и записи проектов ПЛК обнаружена операция записи известного блока проекта из ПЛК (если есть сохраненная информация об этом блоке, но полученная информация не совпадает с последней сохраненной информацией об этом блоке). В заголовке и в описании типа события используются следующие переменные:
|
4000005204 |
Контроль проектов ПЛК: обнаружено чтение неизвестного проекта из ПЛК $asset_name |
Критические |
При контроле чтения и записи проектов ПЛК обнаружена операция чтения неизвестного проекта из ПЛК (если отсутствует сохраненная информация об этом проекте). В заголовке и в описании типа события используются следующие переменные:
|
4000005205 |
Контроль проектов ПЛК: обнаружено чтение известного проекта из ПЛК $asset_name |
Критические |
При контроле чтения и записи проектов ПЛК обнаружена операция чтения известного проекта из ПЛК (если есть сохраненная информация об этом проекте, но полученная информация не совпадает с последней сохраненной информацией об этом проекте). В заголовке и в описании типа события используются следующие переменные:
|
4000005206 |
Контроль проектов ПЛК: обнаружена запись нового проекта в ПЛК $asset_name |
Критические |
При контроле чтения и записи проектов ПЛК обнаружена операция записи нового проекта в ПЛК (если отсутствует сохраненная информация об этом проекте). В заголовке и в описании типа события используются следующие переменные:
|
4000005207 |
Контроль проектов ПЛК: обнаружена запись известного проекта в ПЛК $asset_name |
Критические |
При контроле чтения и записи проектов ПЛК обнаружена операция записи известного проекта в ПЛК (если есть сохраненная информация об этом проекте, но полученная информация не совпадает с последней сохраненной информацией об этом проекте). В заголовке и в описании типа события используются следующие переменные:
|
4000005300 |
Обнаружена уязвимость $cve_id |
Критические |
Обнаружена уязвимость устройства в первый раз или если уязвимость ранее была переведена в состояние Устранена (например, если измененные сведения об устройстве снова совпали с описанием устройства в уязвимости с тем же CVE-идентификатором). В заголовке и в описании типа события используются следующие переменные:
|
4000005303 |
Изменены сведения об уязвимости $cve_id |
Критические |
Обнаружены изменения в уязвимости, которые не повлияли на ее текущее состояние (например, если при обновлении базы данных известных уязвимостей были добавлены дополнительные рекомендации по защите системы). В заголовке и в описании типа события используются следующие переменные:
|
4000000004 |
Тестовое событие (AM) |
Информационные |
Обнаружен тестовый сетевой пакет (при включенном методе обнаружения активности устройств). |
Системные типы событий по технологии Внешние системы
В этом разделе приведено описание системных типов событий, относящихся к технологии Внешние системы (см. таблицу ниже).
Системные типы событий по технологии Внешние системы (EXT)
Код |
Заголовок типа события |
Важность |
Условия для регистрации |
|---|---|---|---|
8000000001 |
Инцидент |
Определяется по уровню важности правила корреляции |
Обнаружена последовательность событий, удовлетворяющих условиям правила корреляции. При регистрации события в качестве заголовка и описания инцидента указываются заголовок и описание из правила корреляции. |
4000005400 |
Событие от внешней системы |
Определяется внешней системой |
Поступило событие от внешней системы с использованием Kaspersky Industrial CyberSecurity for Networks API. При регистрации события содержимое заголовка и описания определяются внешней системой. |
Системные типы событий по технологии Защита конечных устройств
В этом разделе приведено описание системного типа события, относящегося к технологии Защита конечных устройств (см. таблицу ниже).
Системный тип события по технологии Защита конечных устройств (EPP)
Код |
Заголовок типа события |
Важность |
Условия для регистрации |
|---|---|---|---|
4000005500 |
Срабатывание в EPP-программе ($verdict, режим: $mode) |
Критические |
На сервер интеграции поступили данные о срабатывании EPP-программы на возможно зараженный объект или возможную угрозу. В заголовке и в описании типа события используются следующие переменные:
|
Глоссарий
ARP-спуфинг
Прием, который злоумышленники могут применять для проведения сетевой атаки типа "человек посередине" (Man in the middle) в сетях с использованием протокола ARP (Address Resolution Protocol).
CVE
Аббревиатура от Common Vulnerabilities and Exposures. База данных общеизвестных уязвимостей и рисков информационной безопасности. Уязвимостям присваиваются идентификационные номера в формате CVE-<год>-<номер>.
Endpoint Protection Platform (EPP)
Интегрированная система комплексной защиты конечных устройств (например, мобильных устройств, компьютеров или ноутбуков) с помощью различных технологий безопасности. Пример Endpoint Protection Platform – программа Kaspersky Endpoint Security для бизнеса.
EPP-программа
Программа, входящая в состав системы защиты конечных устройств (англ. Endpoint Protection Platform, EPP). EPP-программы устанавливаются на конечные устройства внутри IT-инфраструктуры организации (например, мобильные устройства, компьютеры или ноутбуки). Примером EPP-программы является Kaspersky Endpoint Security для Windows в составе EPP-решения Kaspersky Endpoint Security для бизнеса.
SCADA
Аббревиатура от Supervisory Control And Data Acquisition. Программный пакет, который обеспечивает контроль технологических процессов оператором в реальном времени.
SIEM
Аббревиатура от Security Information and Event Management. Решение для управления информацией и событиями в системе безопасности организации.
АСУ ТП
Аббревиатура от "автоматизированная система управления технологическим процессом". Группа технических и программных средств, предназначенных для автоматизации управления технологическим оборудованием на промышленных предприятиях.
Внешние системы
Технология регистрации инцидентов, а также событий, которые поступают в Kaspersky Industrial CyberSecurity for Networks от сторонних систем с использованием методов Kaspersky Industrial CyberSecurity for Networks API.
Выделенная сеть Kaspersky Industrial CyberSecurity
Вычислительная сеть, которая состоит из компьютеров, предназначенных для работы программ из состава решения Kaspersky Industrial CyberSecurity, и сетевого оборудования для обеспечения взаимодействия компьютеров. Выделенная сеть должна быть недоступна из других сетей.
Интеллектуальное электронное устройство (IED)
Комплекс устройств, обеспечивающих своевременное отключение аварийных энергообъектов от энергосистемы и выполняющих необходимые для обеспечения нормальной работы энергосистемы действия в автоматическом или полуавтоматическом режимах.
Инцидент
В Kaspersky Industrial CyberSecurity for Networks инцидентом является событие, которое регистрируется при получении определенной последовательности событий. Инциденты группируют события, имеющие некоторые общие признаки или относящиеся к одному процессу. Kaspersky Industrial CyberSecurity for Networks регистрирует инциденты по правилам корреляции событий.
Карта сети
Модель для визуального отображения обнаруженных взаимодействий между устройствами. Карта сети содержит следующие объекты: узлы, представляющие устройства, группы устройств и соединения между узлами/группами устройств.
Контроль активов
Технология регистрации событий, связанных с обнаружением информации об устройствах в трафике или в полученных данных от EPP-программ (например, событие при обнаружении активности ранее неизвестного устройства).
Контроль системных команд
Технология регистрации событий, связанных с обнаружением в трафике системных команд для устройств (например, обнаружение неразрешенной системной команды).
Контроль технологического процесса
Технология регистрации событий, связанных с нарушениями технологического процесса (например, обнаружено превышение заданного значения температуры).
Контроль целостности сети
Технология регистрации событий, связанных с целостностью промышленной сети или с безопасностью взаимодействий (например, обнаружено взаимодействие устройств по неразрешенному протоколу).
Обнаружение вторжений
Технология регистрации событий, связанных с обнаружением в трафике аномалий, которые являются признаками атак (например, обнаружены признаки ARP-спуфинга).
Политика безопасности
Набор данных, которые определяют параметры работы Kaspersky Industrial CyberSecurity for Networks.
Правило контроля взаимодействий
Описание разрешенного взаимодействия для устройств промышленной сети. При обнаружении сетевого взаимодействия, которое удовлетворяет включенному правилу контроля взаимодействий, Kaspersky Industrial CyberSecurity for Networks не регистрирует событие.
Правило контроля процесса
Набор условий для значений тегов. При выполнении условий правила контроля процесса Kaspersky Industrial CyberSecurity for Networks регистрирует событие.
Правило корреляции событий
Набор условий для проверки последовательностей событий в Kaspersky Industrial CyberSecurity for Networks. При обнаружении последовательности событий, удовлетворяющих условиям правила корреляции событий, Kaspersky Industrial CyberSecurity for Networks регистрирует инцидент.
Правило обнаружения вторжений
Набор условий, по которым система обнаружения вторжений анализирует трафик. Правило описывает аномалию трафика, которая может быть признаком атаки в промышленной сети.
Программируемый логический контроллер (ПЛК)
Промышленный контроллер, используемый для автоматизации технологических процессов на предприятии.
Проект ПЛК
Микропрограмма, написанная для ПЛК. Хранится в памяти ПЛК и выполняется в рамках технологического процесса, использующего ПЛК. Проект ПЛК может состоять из блоков, которые по отдельности передаются и принимаются по сети при чтении или записи проекта.
Промышленная сеть
Вычислительная сеть, соединяющая узлы автоматизированной системы управления технологическим процессом промышленного предприятия.
Роль учетной записи
Совокупность прав доступа, определяющая набор доступных пользователю действий при подключении к Серверу через веб-интерфейс. В Kaspersky Industrial CyberSecurity for Networks предусмотрены роли Администратор и Оператор.
Сенсор Kaspersky Industrial CyberSecurity for Networks
Компонент Kaspersky Industrial CyberSecurity for Networks. Сенсор устанавливается на отдельном компьютере (не на компьютере, который выполняет функции Сервера Kaspersky Industrial CyberSecurity for Networks). Сенсор получает и анализирует данные из вычислительных сетей, к которым подключены сетевые интерфейсы компьютера. Для получения и анализа трафика промышленной сети на сетевые интерфейсы должны быть добавлены точки мониторинга. Результаты анализа данных сенсор передает на Сервер.
Сервер Kaspersky Industrial CyberSecurity for Networks
Компонент Kaspersky Industrial CyberSecurity for Networks. Сервер принимает данные, обрабатывает и предоставляет их пользователям программы. Сервер может принимать данные от сенсоров или самостоятельно получать и анализировать данные из вычислительных сетей, к которым подключены сетевые интерфейсы компьютера.
Системная команда
Блок данных в трафике промышленной сети, содержащий команду управления устройством (например, START PLC) или системное сообщение, связанное с функционированием устройства (например, REQUEST NOT FOUND).
Событие
Запись, содержащая информацию, которая требует внимания специалиста по безопасности АСУ ТП. Kaspersky Industrial CyberSecurity for Networks сохраняет зарегистрированные события в базе данных. Для просмотра зарегистрированных событий нужно подключиться к Серверу программы через веб-интерфейс. При необходимости можно настроить передачу событий в Kaspersky Security Center и сторонние системы.
Соединение на карте сети
Отображаемый объект на карте сети, который обозначает взаимодействие узлов в виде линии связи между узлами.
Тег
Переменная, которая содержит значение какого-либо параметра технологического процесса (например, температуры).
Технология единого входа (SSO)
Механизм, позволяющий пользователю получить доступ к нескольким программным ресурсам, используя одну учетную запись.
Тип события
Заданный набор параметров для регистрации событий в Kaspersky Industrial CyberSecurity for Networks. Каждому типу события присваивается уникальный номер (код типа события).
Точка мониторинга
Точка приема поступающих данных. Добавляется на сетевой интерфейс узла с установленным Сервером или сенсором Kaspersky Industrial CyberSecurity for Networks и используется для получения копии трафика промышленной сети (например, c порта сетевого коммутатора, настроенного на передачу зеркалированного трафика).
Узел
Компьютер, на котором установлен Сервер или сенсор Kaspersky Industrial CyberSecurity for Networks, либо объект на карте сети, представляющий одно или несколько устройств.
Устройство
Устройство, подключенное к вычислительной сети и идентифицируемое по адресной информации, которую можно сохранить в Kaspersky Industrial CyberSecurity for Networks (например, программируемый логический контроллер, удаленный терминал, интеллектуальное электронное устройство).
Уязвимость устройства
Недостаток в программном или аппаратном обеспечении устройства, используя который злоумышленник может повлиять на работу информационной системы или получить несанкционированный доступ к информации.
В начало
Информация о стороннем коде
Информация о стороннем коде содержится в файле legal_notices.txt, расположенном в папке установки приложения.
В начало
Уведомления о товарных знаках
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей.
Adobe, Flash являются либо зарегистрированными товарными знаками, либо товарными знаками компании Adobe в США и/или других странах.
BACnet – товарный знак компании American Society of Heating, Refrigerating and Air-Conditioning Engineers, Inc.
iPad, iPhone, Mac, Mac OS, macOS и OS X – товарные знаки Apple Inc.
AXIS и AXIS COMMUNICATIONS – зарегистрированные товарные знаки или заявки на регистрацию товарных знаков Axis AB в различных юрисдикциях.
BitTorrent – товарный знак BitTorrent, Inc.
Cisco, Cisco AnyConnect, AnyConnect, IOS, Jabber и Snort являются зарегистрированными товарными знаками или товарными знаками Cisco Systems, Inc. и/или ее аффилированных компаний в США и в определенных других странах.
Radmin – зарегистрированный товарный знак Famatech.
Знак FreeBSD является зарегистрированным товарным знаком фонда FreeBSD.
General Electric и Multilin – зарегистрированные товарные знаки компании General Electric.
Google, Android, Chrome, Google Chrome и Nexus – товарные знаки Google LLC.
HL7 является зарегистрированным товарным знаком Health Level Seven International и размещение товарного знака не означает одобрение со стороны HL7.
Hitachi – товарный знак Hitachi, Ltd.
Intel, Atom и Core – товарные знаки Intel Corporation, зарегистрированные в Соединенных Штатах Америки и в других странах.
IBM и DB2 – товарные знаки International Business Machines Corporation, зарегистрированные во многих юрисдикциях по всему миру.
Node.js – товарный знак Joyent, Inc.
Linux – товарный знак Linus Torvalds, зарегистрированный в США и в других странах.
OpenAPI – товарный знак компании The Linux Foundation.
Microsoft, Active Directory, ActiveX, AppLocker, BizTalk, Microsoft Edge, SQL Server, Visual Basic, Visual FoxPro, Windows, Windows Server, Windows Vista и Windows XP являются товарными знаками группы компаний Microsoft.
CVE – зарегистрированный товарный знак MITRE Corporation.
MOXA – зарегистрированный товарный знак Moxa Inc.
Mozilla и Firefox являются товарными знаками Mozilla Foundation в США и других странах.
DICOM является зарегистрированным товарным знаком National Electrical Manufacturers Association для публикаций Стандартов в отношении цифровой передачи медицинской информации.
ONVIF является товарным знаком ONVIF, Inc.
OpenVPN – зарегистрированный товарный знак OpenVPN, Inc.
Oracle, Java, JavaScript и Solaris – зарегистрированные товарные знаки компании Oracle и/или аффилированных компаний.
Python – товарный знак или зарегистрированный товарный знак Python Software Foundation.
Red Hat, Ansible и CentOS – товарные знаки или зарегистрированные в США и других странах товарные знаки Red Hat, Inc. или дочерних компаний.
Remote Utilities – зарегистрированный товарный знак Remote Utilities LLC в США и/или других странах.
Товарный знак BlackBerry принадлежит Research In Motion Limited, зарегистрирован в США и может быть подан на регистрацию или зарегистрирован в других странах.
Schneider Electric – товарный знак компании Schneider Electric.
Siemens, Simatic и WinCC – зарегистрированные товарные знаки Siemens AG.
OpenWRT является товарным знаком правообладателя Software Freedom Conservancy (SFC). Kaspersky Industrial CyberSecurity for Networks не связан с OpenWrt.
Dameware – товарный знак SolarWinds Worldwide, LLC, зарегистрированный в США и других странах.
VMware – товарный знак VMware, Inc. или зарегистрированный в США или других юрисдикциях товарный знак VMware, Inc.
VxWorks является зарегистрированным товарным знаком или знаком обслуживания Wind River Systems, Inc. Данный продукт не связан, не одобрен, не спонсируется и не поддерживается сторонним правообладателем упомянутого товарного знака.
В начало