Kaspersky Industrial CyberSecurity for Networks может отслеживать сетевые взаимодействия устройств в промышленной сети. Для определения разрешенных и неразрешенных сетевых взаимодействий используются правила контроля взаимодействий. Все обнаруженные сетевые взаимодействия, которые не удовлетворяют действующим правилам контроля взаимодействий, считаются не разрешенными. При обнаружении неразрешенных взаимодействий программа регистрирует соответствующие события.
Правило контроля взаимодействий может относиться к одной из следующих технологий:
Правило контроля взаимодействий содержит следующую информацию о взаимодействии:
Сетевые взаимодействия между устройствами определяются по MAC- и/или IP-адресам устройств. Если в программу добавлены дополнительные адресные пространства, вы можете настраивать правила контроля взаимодействий для адресов нужных адресных пространств.
При анализе сетевых взаимодействий по технологии Контроль целостности сети программа дополнительно проверяет IP-адреса в этих взаимодействиях на принадлежность известным подсетям. Проверка IP-адресов выполняется для тех взаимодействий, у которых не удалось определить MAC-адреса отправителей и/или получателей сетевых пакетов. Если для одной из сторон сетевого взаимодействия определен только IP-адрес, программа проверяет это взаимодействие по таблице подсетей для контроля взаимодействий. Далее программа проверяет это взаимодействие на соответствие правилам по технологии Контроль целостности сети (и регистрирует соответствующее событие в случае необходимости) только если такое взаимодействие должно контролироваться согласно таблице.
Таблица подсетей для контроля взаимодействий по технологии Контроль целостности сети
Технология Контроль системных команд применяется независимо от того, какой подсети принадлежат IP-адреса отправителей и получателей сетевых пакетов с системными командами.
Правила контроля взаимодействий могут быть включены или выключены.
По умолчанию после создания правило включено и применяется для разрешения описанных взаимодействий. При обнаружении взаимодействий, описанных во включенных правилах, программа не регистрирует события.
Выключенные правила предназначены для описания нежелательных сетевых взаимодействий. В режиме обучения для технологий контроля взаимодействий выключенные правила предотвращают автоматическое создание новых включенных правил, описывающих те же сетевые взаимодействия. В режиме наблюдения выключенные правила не учитываются.
Программа обрабатывает правила контроля взаимодействий по технологиям Контроль целостности сети и Контроль системных команд, если включено применение этих технологий.
Для создания списка правил контроля взаимодействий предусмотрены следующие способы:
Вы можете настраивать правила контроля взаимодействий в разделе Разрешающие правила веб-интерфейса Kaspersky Industrial CyberSecurity for Networks. Раздел содержит таблицу с правилами контроля взаимодействий по технологиям Контроль целостности сети и Контроль системных команд. Также в этой таблице правил могут быть представлены созданные разрешающие правила для событий.
События, регистрируемые по технологиям Контроль целостности сети и Контроль системных команд, относятся к системным типам событий.
Вы можете просматривать события контроля взаимодействий в таблице зарегистрированных событий. События, регистрируемые по технологии Контроль целостности сети, имеют уровень критичности Высокий. Событиям, регистрируемым по технологии Контроль системных команд, присваивается уровень критичности в зависимости от заданного уровня критичности для обнаруженной системной команды.