主动设备轮询作业
使用主动轮询作业,您可以直接从设备本身接收有关设备及其配置的准确完整信息,从而对受监控的设备进行安全审计。主动轮询使用连接器执行。要对设备进行主动轮询,必须向应用程序中添加一个或多个主动轮询连接器。
连接器提供了进行主动轮询的各种方法。可用的主动轮询方法取决于所使用的协议以及这些协议的命令和功能。应用程序的内置主动轮询连接器类型包含一组方法,这些方法支持通过应用层协议和通用协议进行主动轮询。Kaspersky Industrial CyberSecurity for Networks 支持以下方法来主动轮询设备:
- 通过 ARP 轮询(仅适用于内核版本 4.3 或更高版本的计算机)
- 通过 CIP™ 轮询(不支持 Kaspersky Industrial CyberSecurity for Networks 版本 4.2.1)
- 通过 DNP3 轮询
- 获取进程控制设置和标签(仅适用于内核版本 4.3 或更高版本的计算机)
- 通过 IEC 61850: MMS 轮询
- 通过 Modbus TCP 轮询
- 通过 BECKHOFF ADS/AMS over UDP 轮询
- 通过 PROFINET DCP 轮询(仅适用于内核版本 4.3 或更高版本的计算机)
- 通过 Siemens S7comm over Industrial Ethernet 轮询
- 通过 Siemens S7comm over TCP 轮询
- 接收 Schneider Electric Modicon M580/M340 高级配置
- 获取 Siemens SIMATIC S7-300/S7-400 扩展配置
- 接收 Emerson DeltaV 的扩展配置(仅支持 Kaspersky Industrial CyberSecurity for Networks 版本 4.2.1)
- 接收 Rockwell Automation Allen-Bradley 的扩展配置(仅支持 Kaspersky Industrial CyberSecurity for Networks 版本 4.2.1)
- 通过 SMB 轮询
- 通过 SNMP 轮询
- 通过 SSH 轮询
- 通过 WinRM HTTP 轮询
- 通过 WinRM HTTPS 轮询
- 通过 WMI 轮询
- 通过 SSH 对 Cisco 设备的风险分析
- 通过 SSH 对 Linux 设备的风险分析
这些方法的区别在于它们获得的特定设备信息。您可以选择所需的相关信息以及配置主动轮询设置时要使用的方法。
一些方法使用 Secret 来连接设备。设备连接是使用添加到应用程序的 Secret 的凭证建立的。
使用这些方法时,应用程序可以根据主动轮询结果自动更新以下设备信息:
- 用于代表应用程序中的设备的名称。
- 用于表示网络中设备的名称(网络名称)。
- 设备硬件供应商的名称。
- 设备型号名称。
- 设备硬件版本号。
- 设备软件供应商的名称。
- 设备软件名称。
- 设备软件版本号。
- 设备的网络接口的地址信息。
- 设备上安装的操作系统的名称(仅适用于运行 Windows 和 Linux 操作系统的设备)。
- 过程控制设置和标记的配置。
- 工业设备的高级配置。
“附录”中提供了设备主动轮询应用程序支持的操作系统列表。
当添加自动更新编辑设备信息时,应用程序不会更新使用“自动更新”拨动按钮禁用自动更新功能的数据。该应用程序还评估接收到的设备信息的真实性,并且在某些情况下可能拒绝先前接收到的信息的不可靠更新。
一些主动轮询方法支持检测风险和基于获得的设备信息对拓扑图进行更改的功能。
您可以手动运行安全审计作业,也可以将计划配置为自动运行每个作业。只有具有管理员角色的用户才能运行主动设备轮询作业。
要使用主动轮询功能,您需要考虑以下特殊注意事项和限制:
- 此功能在添加授权许可密钥后才可以使用。
- 用于对设备进行主动轮询的连接器的应用程序模块必须具有对设备的网络访问权限,以便它们可以发送请求并从设备接收数据。如果应用程序模块在安装了应用程序组件的节点上运行,为了确保对设备的网络访问,此计算机必须具有与这些设备的网络进行连接的网络接口。如果监控点的网络接口接收镜像的工业网络流量(例如,来自网络交换机的 SPAN 端口),则这些网络接口不能用于此目的。
- 主动轮询可能会导致设备出现一些不可预见的问题,因为这些设备可能会错误地解释传入的主动轮询命令。这些问题可能是由设备的不适当或高度专业化配置引起的。由于在设备之间的正常交互期间不明显的网络配置中的潜在错误,也可能出现问题。因此,主动轮询会对设备造成以下潜在影响风险:
- 设备关闭
- 与设备的连接丢失
- 设备完全或部分故障
- 运行速度比正常情况下慢
- 网络和部件中的其他潜在故障
页首