在分析工业网络流量时,应用程序会记录事件和突发事件。
Kaspersky Industrial CyberSecurity for Networks 中的事件是一个条目,其中包含有关检测工业网络流量中需要 ICS 安全官注意的某些变化或条件的信息。事件会被注册并传输到 Kaspersky Industrial CyberSecurity for Networks 服务器。服务器会处理收到的事件并将其保存在数据库中。
突发事件是一种特殊类型的事件,在收到特定序列的事件时会被注册。事故对具有某些共同特征或与同一过程相关的事件进行分组。
应用程序根据事件关联规则注册突发事件。事件关联规则描述了检查事件序列的条件。当应用程序检测到与规则条件匹配的事件序列时,它会注册一个突发事件,指示触发规则的名称。突发事件使用分配了代码 8000000001 的系统事件类型进行注册。
事件关联规则嵌入在应用程序中,无论安全策略如何都会应用。
安装后,应用程序使用默认的事件关联规则。为了提高规则的有效性,卡巴斯基专家会定期更新包含规则集的数据库。您可以通过安装更新来更新关联规则。
Kaspersky Industrial CyberSecurity for Networks 服务器根据为注册事件类型定义的设置来注册事件和突发事件。您可以在事件类型部分(针对所有事件类型)以及配置过程控制规则时(仅针对触发过程控制规则时注册的事件)配置这些设置。
为了减少不需要操作员注意的频繁重复事件的数量,您可以创建事件允许规则。满足允许规则的事件不会被注册。例如,您可以使用允许规则暂时禁用来自特定监控点的所有事件的注册。您可以在允许规则部分中查看事件的允许规则。为这些规则指明了 EVT 类型。
应用程序会将事件和突发事件保存在服务器的数据库中。保存的条目总数不能超过定义的限制。如果总数超过定义的限制,应用程序会自动删除 10% 的最旧条目。如果启用了最小存储时间限制,并且应用程序删除了存储时间小于定义限制的条目,则应用程序消息日志中将显示相应的消息。您可以配置存储事件和突发事件的设置。
数据库文件保存在服务器上的DBMS 文件夹中。删除或修改这些文件夹中的任何文件可能会导致应用程序性能中断。
您可以在 Kaspersky Industrial CyberSecurity for Networks 网页界面的以下部分中查看有关事件和突发事件的信息: