При анализе трафика промышленной сети программа регистрирует события и инциденты.
Событие в Kaspersky Industrial CyberSecurity for Networks – это запись, содержащая информацию об обнаружении в трафике промышленной сети определенных изменений или условий, которые требуют внимания специалиста по безопасности АСУ ТП. События регистрируются и передаются на Сервер Kaspersky Industrial CyberSecurity for Networks. Сервер обрабатывает полученные события и сохраняет их в базе данных.
Инцидент – это событие особого типа, которое регистрируется при получении определенной последовательности событий. Инциденты группируют события, имеющие некоторые общие признаки или относящиеся к одному процессу.
Программа регистрирует инциденты по правилам корреляции событий. Правило корреляции событий описывает условия для проверки последовательностей событий. При обнаружении последовательности событий, удовлетворяющих условиям правила, программа регистрирует инцидент, в котором указано название сработавшего правила. Для регистрации инцидентов используется системный тип события, которому присвоен код 8000000001.
Правила корреляции событий встроены в программу и применяются независимо от политики безопасности.
После установки программы используются исходные правила корреляции событий. Для повышения эффективности работы правил специалисты "Лаборатории Касперского" регулярно обновляют базы с наборами правил. Вы можете обновлять правила корреляции, устанавливая обновления.
Сервер Kaspersky Industrial CyberSecurity for Networks регистрирует события и инциденты в соответствии с параметрами, заданными для регистрации типов событий. Вы можете настроить эти параметры в разделе Типы событий (для всех типов событий) и при настройке правил контроля процесса (только для событий, регистрируемых при срабатывании правил контроля процесса).
Для сокращения количества часто повторяющихся событий, которые не требуют внимания оператора, предусмотрена возможность создания разрешающих правил на события. События, удовлетворяющие разрешающим правилам, не регистрируются. Например, с помощью разрешающего правила можно временно выключить регистрацию всех событий с определенной точки мониторинга. Вы можете просматривать разрешающие правила для событий в разделе Разрешающие правила. Для таких правил указан тип EVT.
Программа сохраняет события и инциденты в базе данных на Сервере. Суммарный объем сохраняемых записей не может превышать заданного ограничения. Если объем превышает заданное ограничение, программа автоматически удаляет 10% самых старых записей. При этом если включено ограничение на минимальное время хранения, при удалении записей, время хранения которых меньше заданного ограничения, в журнале сообщений программы появляется соответствующее сообщение. Вы можете настроить параметры хранения событий и инцидентов.
Файлы базы данных сохраняются на Сервере в директориях СУБД. Удаление или изменение любого файла в этих директориях может привести к нарушению работоспособности программы.
Вы можете просматривать информацию о событиях и инцидентах в следующих разделах веб-интерфейса Kaspersky Industrial CyberSecurity for Networks: