Kaspersky Industrial CyberSecurity for Networks может обнаруживать в трафике промышленной сети сетевые сеансы, создаваемые устройствами для соединений с другими устройствами. При обнаружении сетевых сеансов программа их регистрирует и сохраняет сведения о них. В отличие от соединений на карте сетевых взаимодействий, зарегистрированные сетевые сеансы позволяют получить более подробные сведения о взаимодействиях устройств, в том числе за счет раздельной регистрации сеансов для разных портов и протоколов, которые использовались при взаимодействиях.
Обнаружение сетевых сеансов может выполняться при анализе трафика, поступающего на точки мониторинга, а также при получении данных от EPP-приложений. Каждый зарегистрированный сетевой сеанс содержит сведения о соединении между двумя устройствами, которые являются сторонами взаимодействия. Сетевой сеанс характеризуется адресной информацией сторон взаимодействия (MAC- и/или IP-адреса), номерами портов и прикладным протоколом, который использовался для соединения. Первым устройством в сетевом сеансе обычно считается устройство, которое инициировало отправку сетевых пакетов на другое устройство.
Сохраненные сведения о сетевых сеансах позволяют анализировать сетевую активность устройств в том числе с помощью правил обнаружения сетевых аномалий. Для анализа по правилам обнаружения сетевых аномалий используются сохраненные атрибуты протоколов в сетевых сеансах (программа поддерживает сохранение атрибутов для протоколов DCE/RPC, DNS, Kerberos и LDAP). Также вы можете загружать данные о переданных сетевых пакетах из файлов дампа трафика.
Программа регистрирует сетевые сеансы и сохраняет сведения для анализа сетевой активности устройств, если включено применение следующих методов:
Сетевой сеанс считается завершенным, если в рамках этого сеанса не отправлялись сетевые пакеты в течение одной минуты или если технология обнаружения сетевых сессий была выключена на соответствующем узле или точке мониторинга.
При обнаружении чрезмерно большого количества сетевых сеансов в программе применяются следующие ограничения для регистрации сеансов:
Программа сохраняет данные о сетевых сеансах в базе данных на Сервере. Суммарный объем сохраняемых записей не может превышать заданного ограничения. Если объем превышает заданное ограничение, программа автоматически удаляет 10% самых старых записей. Вы можете задать ограничение максимального объема для сетевых сеансов при настройке параметров хранения данных на узле Сервера в блоке параметров Сетевые сессии.
Вы можете просматривать сведения о сетевых сеансах в разделе Карта сети на вкладке Сетевые сессии.