Kaspersky Industrial CyberSecurity for Networks 可以监控工业网络中设备的网络交互。交互控制规则用于定义已授权和未授权的网络交互。所有检测到的不满足活动交互控制规则的网络交互都被视为未经授权。当检测到未经授权的交互时,应用程序会注册相应的事件。
交互控制规则可以通过以下技术之一进行应用:
交互控制规则包含有关交互/通信的以下信息:
设备之间的网络交互根据设备的 MAC 地址和/或 IP 地址进行识别。如果应用程序中添加了额外的地址空间,则可以为相关地址空间的地址配置交互控制规则。
在分析网络完整性控制的网络交互时,应用程序还会检查这些交互中的 IP 地址,看它们是否属于已知子网。已为所有 IPv4 交互已验证 IP 地址。仅当必须根据下表控制每次交互时,应用程序才会根据网络完整性控制规则检查每次交互(并在必要时注册相应的事件)。
交互受到控制的 IP 地址子网
源子网 |
目标子网 |
||||
|---|---|---|---|---|---|
私人,IT |
私人,OT |
私人,DMZ |
公共 |
本地链路 |
|
私人,IT |
否 |
是 |
否 |
否 |
是 |
私人,OT |
是 |
是 |
是 |
是 |
是 |
私人,DMZ |
否 |
是 |
否 |
否 |
是 |
公共 |
否 |
是 |
否 |
否 |
是 |
本地链路 |
是 |
是 |
是 |
是 |
否 |
示例 在基于网络完整性控制技术控制交互时,应用程序会检查网络数据包的源或目标具有来自私人,OT子网的 IP 地址的所有交互。应用程序不检查网络数据包的目标具有来自私人,DMZ子网的 IP 地址、而网络数据包源具有来自私人,IT子网的 IP 地址的交互。 |
无论包含系统命令的网络数据包的源和目标 IP 地址属于哪个特定子网,都应用命令控制技术。
交互控制规则可以被启用或禁用。
默认情况下,规则在创建后处于启用状态并被应用以允许所描述的通信。当应用程序检测到启用规则中描述的交互时,它不会注册事件。
禁用的规则旨在描述不必要的网络交互。在交互控制技术的学习模式下,禁用的规则会阻止自动创建描述相同网络交互的新启用规则。在监控模式下,被禁用的规则不被考虑。
如果启用了网络完整性控制和命令控制技术,则应用程序将根据这些技术处理交互控制规则。您还可以为这些技术配置学习模式。
以下方法可用来创建交互控制规则列表:
您可以在 Kaspersky Industrial CyberSecurity for Networks 网络界面的允许规则部分配置交互控制规则。本节包含基于网络完整性控制和命令控制技术的交互控制规则表。该规则表可能还包含为事件创建的允许规则。
基于网络完整性控制和命令控制技术注册的事件被归类为系统事件。
您可以在已注册事件表中查看交互控制事件。基于网络完整性控制技术注册的事件具有“高”严重级别。基于命令控制技术注册的事件会被分配一个严重性,该严重性取决于为检测到的系统命令定义的严重性级别。