В Kaspersky Industrial CyberSecurity for Networks вы можете настраивать типы регистрируемых событий. Типы событий задают параметры, используемые при регистрации событий: заголовки, описания, уровни важности и параметры регистрации. Настройка типов событий выполняется при подключении к Серверу Kaspersky Industrial CyberSecurity for Networks через веб-интерфейс в разделе Параметры → Типы событий.
Таблица типов событий содержит системные типы событий. Эти типы событий создаются программой при установке и не могут быть удалены из списка. Для реализованных в программе технологий регистрации событий используются различные наборы системных типов событий.
На основе некоторых системных типов событий могут быть настроены пользовательские параметры событий, которые будут использоваться при регистрации событий в определенных случаях. Пользовательские параметры могут быть заданы для следующих типов событий:
Пользовательские параметры имеют приоритет при регистрации событий. Параметры, заданные в системных типах событий, используются в том случае, если не заданы пользовательские параметры.
Для типов событий предусмотрены следующие параметры:
Код– уникальный номер типа события. В таблице типов событий номер отображается вместе с заголовком события. В таблице зарегистрированных событий номер типа события отображается в графе Тип события.
Заголовок – содержимое заголовка события, представленное текстом и/или переменными. В системных типах событий могут использоваться специфические переменные только для этих типов событий (например, переменная $systemCommandShort в типе события по технологии Контроль системных команд) или общие переменные, которые также можно использовать и в пользовательских параметрах (например, переменная $top_level_protocol в типе события по технологии Контроль целостности сети). В таблице типов событий содержимое заголовка отображается после номера типа события. В таблице зарегистрированных событий текст заголовка и/или полученные значения переменных отображаются в графе Заголовок.
Описание – дополнительный текст, описывающий тип события. Аналогично заголовку, может содержать переменные. Этот параметр не отображается в таблице типов событий (вы можете просмотреть описание в области деталей выбранного типа события). В таблице зарегистрированных событий текст описания и/или полученные значения переменных отображаются в графе Описание.
<Имя коннектора-получателя>– имя коннектора, через который программа передает события в стороннюю систему. Программа передает в сторонние системы события только тех типов, для которых включена передача событий через коннектор.
Время разрешения повтора – максимальный период времени, по истечении которого разрешается повторная регистрация события. Если до истечения заданного периода времени повторяются условия для регистрации события, то новое событие не регистрируется, а увеличивается счетчик количества повторов ранее зарегистрированного события и обновляются дата и время последнего появления события. После окончания этого периода при повторении условий для регистрации события программа зарегистрирует новое событие такого типа. Период разрешения повтора отсчитывается от момента последней регистрации события такого типа. Например, если задано время 8 часов, то при обнаружении условий для регистрации этого события через два часа после предыдущего события, новое событие не будет зарегистрировано. Новое событие будет зарегистрировано при обнаружении условий для регистрации через 8 часов и более. Этот параметр не отображается в таблице типов событий (вы можете просмотреть и настроить этот параметр в области деталей выбранного типа события).
Для зарегистрированных событий время разрешения повтора может наступить раньше заданного периода. Повторная регистрация события разрешается раньше заданного периода, если событию присвоен статус Обработано, а также если был перезагружен компьютер, который выполняет функции Сервера.
Сохранять трафик – параметр для включения/выключения автоматического сохранения трафика при регистрации события. Этот параметр не отображается в таблице типов событий (вы можете просмотреть и настроить этот параметр в области деталей выбранного типа события).
Если автоматическое сохранение трафика выключено, вы можете загружать трафик вручную в течение некоторого времени после регистрации события этого типа. При поступлении запроса на загрузку трафика программа выполняет поиск сетевых пакетов в файлах дампа трафика, временно создаваемых программой. Если в файлах дампа трафика найдены нужные сетевые пакеты, они загружаются (с предварительным сохранением в базе данных).