管理连接器

本节包含有关管理 Kaspersky Industrial CyberSecurity for Networks 中的连接器的信息。连接器是专门的应用程序模块，可促进与 Kaspersky Industrial CyberSecurity for Networks 的数据交换，并可提供直接在应用程序中或通过使用应用程序执行管理任务的功能。

连接器扩展了应用程序与接收系统（包括 Kaspersky Security Center）交互的功能。根据其功能目的，连接器可以将数据传输到接收系统（例如，将事件、应用程序消息和审计条目中继到 SIEM 系统）或从接收系统接收数据（例如，在应用程序中注册外部事件）。应用程序还可以使用连接器对设备进行主动轮询。

使用名为 Kaspersky Security Center Connector 的专用连接器，以便应用程序可以与 Kaspersky Security Center 进行交互。此连接器在应用程序中默认创建，无法删除。为了确保连接器正常运行，必须将应用程序与 Kaspersky Security Center 交互的功能添加到 Kaspersky Industrial CyberSecurity for Networks 服务器中。

运行连接器应用程序模块的计算机称为连接器部署节点。连接器部署节点可以是任何能够通过网络访问应用程序服务器计算机的计算机（例如安装了应用程序组件的节点，包括服务器的实际计算机）。

连接器的功能能力取决于所选的连接器类型。您可以在向应用程序添加连接器时选择相关的连接器类型。应用程序默认具有以下内置连接器类型：

• Syslog

  此连接器类型支持将数据转发到 Syslog 服务器。

  添加 Syslog 连接器或更改其设置时，请配置连接器的常规设置以及详细信息下的附加设置：

  • Syslog 服务器地址
  • Syslog 服务器端口
  • 数据传输协议
• SIEM

  此连接器类型支持将数据转发到 SIEM 系统。

  添加 SIEM 连接器或更改其设置时，请同时配置连接器的常规设置以及详细信息下的附加设置：

  • SIEM 系统服务器地址
  • SIEM 系统服务器端口
  • 数据传输协议
• 一般

  此连接器类型提供了连接使用 Kaspersky Industrial CyberSecurity for Networks API 的应用程序的功能。

• 电子邮件

  此连接器类型提供通过电子邮件转发数据的功能。

  添加电子邮件连接器或更改其设置时，请同时配置连接器的常规设置以及详细信息下的附加设置：

  • 表示电子邮件发件人的地址。
  • 电子邮件的收件人地址。
  • 事件、应用程序消息和审计条目的电子邮件消息的主题。
  • 事件、应用程序消息、审计条目、网络交互以及包含通知的整个消息的文本描述模板。模板通过使用变量形成。
  • 已发送通知的数量达到最大时发出通知电子邮件主题和正文。
  • 每天发送的电子邮件的最大数量。
  • 每条消息中的最大通知数。定义可放入一封电子邮件中的一种类型（事件、应用程序消息或审核条目）的已注册通知的最大数量。如果注册的通知数量超出最大数量，则会生成额外的电子邮件消息（在每日限制内）。
• 主动轮询

  此连接器类型提供了具有配置控制和主动轮询作业的主动设备轮询功能。

  添加活动轮询连接器或更改其设置时，需要配置连接器的常规设置以及详细信息下的附加设置：

  • 使用连接器时应用程序用户可以使用的主动轮询方法。
  • 允许或拒绝主动轮询的设备的被允许和被拒绝 IP 地址范围。地址0.0.0.0对应所有可能的 IP 地址。如果某个地址同时位于被允许和拒绝的 IP 地址范围内，Kaspersky Industrial CyberSecurity for Networks 会将其视为被拒绝的 IP 地址。
  • 其对应设备可用于主动轮询的地址空间的名称。如有必要，在L3 地址空间字段中选择 IP 地址的地址空间，在L2 地址空间字段中选择 MAC 地址的地址空间。

    如果选择的地址空间与默认地址空间不同，请为该地址空间添加新规则（或更改现有规则）。该规则必须指定选择此地址空间的连接器。当地址空间改变时，规则设置就会被配置。

• KUMA

  此连接器类型提供与 Kaspersky Unified Monitoring and Analysis Platform (KUMA) 的集成。此类连接器的软件模块由 Kaspersky Industrial CyberSecurity for Networks 单独提供。使用这种类型的连接器，您可以将有关设备和风险的信息发送给 KUMA，以及使用命令更改 KUMA 中的设备状态。添加连接器后，在 KUMA 中配置集成（创建与 Kaspersky Industrial CyberSecurity for Networks 的连接）。KUMA 连接器和服务器之间的交互是使用 Kaspersky Industrial CyberSecurity for Networks API 执行的。

  KUMA 连接器通过发送有关设备和风险的信息以及应用命令来更改设备状态来提供集成。要将事件发送到 KUMA，请向 Kaspersky Industrial CyberSecurity for Networks 添加 Syslog 或 SIEM 连接器，并为该连接器指定连接到 KUMA 服务器的数据。添加连接器后，在 KUMA 端配置收集器。

• Cisco 交换机

  此连接器类型通过 Cisco 网络交换机为设备提供自动网络访问控制支持。

  添加 Cisco 交换机连接器或更改其设置时，请配置连接器的常规设置以及详细信息下的附加设置：

  • 在记录涉及连接器的操作的应用程序事件日志中使用的交换机名称。
  • 将连接器连接到交换机的寻址信息：IP 地址和 SSH 端口。
  • 通过 SSH 连接到交换机的凭据。
  • 建立 SSH 连接前，用于验证
    的公钥匹配
    接收到的网络交换机的公钥，以防止网络中此设备被欺骗（若该值为空，则不进行验证）。
  • 用于限制设备网络访问的方法。该应用程序提供了基于 MAC 地址（MAC ACL）、IP 地址（IP ACL）在交换机访问控制列表中创建拒绝规则的方法，以及通过禁用设备连接到的以太网端口的方法。

    要使用禁用以太网端口的方法，请配置交换机连接以防止多个设备连接到一个端口。否则，禁用以太网端口以阻止一个设备也会阻止使用该端口连接到网络的所有设备的网络访问。

  • 控制当限制网络访问的方法发生变化时是否重置拒绝规则的选项。如果启用该选项，更改方法将重置先前定义的拒绝规则。
  • 控制网络设备、防火墙、交换机、虚拟交换机、路由器、虚拟路由器和 Wi-Fi 的网络访问限制排除项的选项。如果启用该选项，这些类别的设备将被排除在访问限制方法之外。
  • 控制拒绝规则是否仅适用于新设备的选项。如果启用该选项，该方法仅适用于已注册检测到新的 4000005003 设备事件的未授权的设备。
  • 设备表中“已授权”和“未授权”设备的轮询间隔。
  • 控制连接器重启时是否发送有关被阻止设备的通知的设置。如果启用该选项，则在连接器打开或重新启动后，应用程序会将已应用网络访问限制的设备列表发送到服务器。

如有必要，您可以添加其他类型的连接器，以促进数据交换或在应用程序与其他接收系统交互时提供执行管理任务的功能。

某些端口和协议用于将连接器连接到服务器。

接收系统代表其中一个应用程序用户通过连接器进行连接。建议为每个连接器使用单独的用户账户。这将使得根据审计条目分析通过连接器执行的操作变得更加方便。

连接器表和连接器类型表显示在应用程序 Web 界面的“设置”→“连接器”下。只有具有管理员角色的用户才能管理连接器和连接器类型。

应用程序中连接器的最大数量 – 20。连接器类型的最大数量 – 100。

本节内容： 关于可管理和不可管理的连接器 关于将事件、应用程序消息和审核条目转发到接收系统 通过 Cisco 交换机连接器自动控制设备的网络访问 添加连接器 查看连接器表 启用和禁用连接器 编辑连接器设置 为连接器创建新的通信数据包 删除连接器 添加和删除连接器类型

页首