Release Notes

Kaspersky Industrial CyberSecurity for Networks 2.9

Версия программы: 2.9.0.180 от 20.12.2019

Дата редакции документа: 27.11.2020

Kaspersky Industrial CyberSecurity for Networks – программа для защиты инфраструктуры промышленных предприятий от угроз информационной безопасности и для обеспечения непрерывности технологических процессов. Kaspersky Industrial CyberSecurity for Networks анализирует трафик промышленной сети для контроля активности устройств в промышленной сети, для обнаружения неразрешенных системных команд, передаваемых или получаемых устройствами, а также для выявления попыток установки недопустимых значений параметров технологического процесса. Программа входит в состав решения Kaspersky Industrial CyberSecurity.

ОСНОВНЫЕ ВОЗМОЖНОСТИ

Kaspersky Industrial CyberSecurity for Networks выполняет следующие функции:

• Проверяет взаимодействия между устройствами промышленной сети на соответствие заданным правилам контроля сети.
• Контролирует устройства в промышленной сети и обнаруживает активность ранее неизвестных программе устройств и устройств, которые не должны использоваться в промышленной сети или длительное время не проявляют активность. При контроле устройств программа может автоматически обновлять сведения об устройствах на основании данных, полученных в сетевых пакетах.
• Отображает сетевые взаимодействия между устройствами промышленной сети в виде карты сети. При отображении объекты визуально выделяются по различным признакам (например, объекты, требующие внимания).
• Извлекает из сетевых пакетов значения параметров технологического процесса, управляемого автоматизированной системой управления технологическим процессом (далее также "АСУ ТП"), и проверяет допустимость этих значений по заданным правилам контроля процесса.
• Анализирует трафик промышленной сети на наличие в сетевых пакетах системных команд, передаваемых или получаемых устройствами, которые участвуют в автоматизации технологического процесса на предприятии (далее также "устройства для контроля процесса"). Обнаруживает в трафике системные команды и ситуации, которые могут быть признаками нарушения безопасности промышленной сети.
• Контролирует операции чтения и записи проектов для программируемых логических контроллеров, сохраняет полученную информацию о проектах и сравнивает эту информацию с ранее полученной информацией.
• Анализирует трафик промышленной сети на наличие признаков атак, не оказывая влияния на промышленную сеть и не привлекая внимания потенциального нарушителя. Обнаруживает признаки атак с помощью заданных правил обнаружения вторжений и встроенных алгоритмов проверки сетевых пакетов.
• Регистрирует события и передает сведения о них в сторонние системы, а также в Kaspersky Security Center.
• Анализирует зарегистрированные события и при обнаружении определенных последовательностей событий регистрирует инциденты по встроенным правилам корреляции. Инциденты группируют события, имеющие некоторые общие признаки или относящиеся к одному процессу. Правила корреляции могут обновляться при установке обновлений.
• Сохраняет в базе данных трафик, относящийся к зарегистрированным событиям. Трафик может сохраняться автоматически при включенном сохранении трафика для типов событий или по запросу на загрузку трафика.
• Предоставляет возможности работы через графический интерфейс пользователя и через интерфейс прикладного программирования (API).

ЧТО НОВОГО

В Kaspersky Industrial CyberSecurity for Networks 2.9 появились следующие возможности и доработки:

• Дерево групп устройств – добавлена функциональность работы с деревом групп устройств. Для известных программе устройств можно указывать группы для распределения устройств в соответствии с их назначением, размещением или по другим произвольным признакам.
• Метки для устройств – добавлена функциональность установки и удаления меток для известных программе устройств. Метки могут содержать произвольные текстовые описания устройств.
• Управление точками мониторинга – реализована возможность добавления и удаления точек мониторинга на узлах Сервера и сенсоров без необходимости переустановки компонентов программы. Для приостановки и возобновления обработки трафика можно выключать и включать точки мониторинга (функциональность приостановки и возобновления работы Сервера и / или сенсоров исключена).
• Определение протоколов по содержимому сетевых пакетов – для контроля сети и регистрации событий реализовано определение отдельных протоколов прикладного уровня по данным, которые составляют полезную нагрузку сетевых пакетов.
• Обнаружение неизвестных тегов – добавлена функциональность обнаружения и сохранения информации о тегах, отсутствующих в политике безопасности, но относящихся к устройствам для контроля процесса.
• Расширенная функциональность сохранения трафика для событий – реализованы возможности включения сохранения трафика для инцидентов (при этом будет сохраняться трафик для всех событий, вложенных в инциденты) и получения трафика, отсутствующего в базе данных, из временных файлов дампа трафика (по запросу на загрузку трафика).
• Сворачивание меню на странице веб-интерфейса – реализована возможность сворачивания и разворачивания меню в левой части страницы веб-интерфейса программы. Сворачивание и разворачивание меню выполняется с помощью кнопки.
• Выбор всех элементов в таблицах – добавлена функциональность быстрого выбора всех элементов, удовлетворяющих текущим параметрам фильтрации и поиска в таблицах устройств, правил контроля сети и событий. Выбрать все элементы можно с помощью комбинации клавиш CTRL+A или с помощью флажка в заголовке левой крайней графы таблицы.
• Отображение количества необработанных событий – добавлена информационная панель в раздел События для отображения сведений о количестве событий со статусами Новое и В обработке.
• Поиск узлов на карте сети.
• Сохранение и загрузка видов (параметров отображения) карты сети.
• Использование Kaspersky Security Center для загрузки обновлений – реализована возможность выбора Сервера администрирования Kaspersky Security Center в качестве источника обновлений баз и программных модулей.
• Добавление лицензионного ключа из Kaspersky Security Center – реализована возможность добавления лицензионного ключа в Kaspersky Industrial CyberSecurity for Networks с использованием функциональности Kaspersky Security Center для автоматического распространения лицензионных ключей.
• Расширенная функциональность интерфейса прикладного программирования (API) – добавлена функциональность получения данных об устройствах из таблицы устройств.
• Информация о работе с программой представлена в виде онлайн-справки – сведения об установке, настройке и использовании Kaspersky Industrial CyberSecurity for Networks (в том числе об использовании Kaspersky Industrial CyberSecurity for Networks API) публикуются на странице Kaspersky Online Help. Онлайн-справка предоставляет удобные средства для поиска, просмотра и печати информации, а также для получения электронных документов в формате PDF.
• Расширенная поддержка протоколов прикладного уровня – реализованы дополнительные возможности анализа трафика поддерживаемых протоколов прикладного уровня и добавлены новые поддерживаемые протоколы.
• Расширенная поддержка оборудования – добавлены новые поддерживаемые устройства.

ОБНОВЛЕНИЕ БАЗ И ПРОГРАММНЫХ МОДУЛЕЙ

После установки последних обновлений для улучшения работы и устранения ограничений в программе появляются следующие изменения:

• [3924316] Исправлено: ограничена поддержка устройств Honeywell C300 для систем управления Experion PKS / PlantCruise: не отслеживаются системные команды.
• Исправлено: возможно нарушение работы процесса filter при обработке некоторых последовательностей пакетов по протоколу OPC DA или по протоколам взаимодействия устройств в системах управления Honeywell Experion PKS / PlantCruise.
• Исправлено: при анализе трафика по протоколу OPC UA Binary в некоторых случаях программа может неверно обрабатывать данные и регистрировать события "Ошибка (REQUEST NOT FOUND)".
• Исправлено: при анализе трафика по протоколу Emerson DeltaV программа может регистрировать большое количество событий "Ошибка (PARSING ERROR: UNKNOWN COMMAND)".
  • После установки последних обновлений: в модуле обработки протокола Emerson DeltaV оптимизированы алгоритмы обработки ошибок.
• Для протокола Emerson DeltaV добавлена поддержка системных команд SELECT MODE и ALARM ACK.
• [4073648] Исправлено: при анализе трафика и получении значений тегов по протоколу Siemens S7comm в некоторых случаях программа может неверно обрабатывать данные и регистрировать события "Ошибка (PARSING ERROR: BUFFER NOT VALID)".
• Исправлено: при анализе трафика по протоколу Siemens S7comm или S7comm-plus программа может неверно обрабатывать данные, относящиеся к процедурам обновления прошивок ПЛК.
• Исправлено: при анализе трафика и получении значений тегов по протоколу Allen-Bradley EtherNet/IP в некоторых случаях программа может неверно обрабатывать данные и регистрировать события "Ошибка (PARSING ERROR: WRONG PACKET SIZE)" или "Ошибка (PARSING ERROR: WRONG PACKET FORMAT)".
• [4522731] Исправлено: при обнаружении неизвестных тегов по протоколу Allen-Bradley EtherNet/IP не определяются теги, которые передаются в массивах.
• Исправлено: для модуля обработки протокола OPC UA Binary требуется увеличенный объем динамической памяти, что может привести к возникновению ошибки нехватки памяти (out-of-memory).
• Исправлено: при обработке фрагментированных пакетов протокола IEC 60870-5-104 программа не во всех случаях обнаруживает нарушение последовательности входящих или исходящих пакетов.
• Исправлено: отслеживание системных команд WRITE для протокола IEC 60870-5-104 поддерживается только для команд в режиме Execute. Режим Select не поддерживается.
• [4515205] Исправлено: программа может не контролировать значения тегов, передаваемых посредством служебных функций протокола Modbus TCP между устройствами, которые используют протокол Schneider Electric UMAS.
• [4264034] Исправлено: при анализе трафика по протоколу взаимодействия устройств Foxboro не поддерживаются некоторые операции подписки на теги и передачи значений тегов.
• [4497563, 4518991, 4534677] Исправлено: при анализе трафика по протоколу CODESYS V3 Gateway некоторые сетевые пакеты могут быть неправильно обработаны.

КОМПЛЕКТ ПОСТАВКИ

В комплект поставки Kaspersky Industrial CyberSecurity for Networks входят следующие файлы:

• скрипт установки программы: kics4net-deploy-<номер версии программы>.bundle.sh;
• пакет для установки Сервера и сенсоров: kics4net-<номер версии программы>.x86_64.rpm;
• пакет для установки Консоли: kics4net-utm-<номер версии программы>.x86_64.rpm;
• пакет для установки СУБД: kics4net-postgresql-<номер версии СУБД>.x86_64.rpm;
• пакет для установки системы обнаружения вторжений: kics4net-suricata-<номер версии системы>.x86_64.rpm;
• пакет для установки Веб-сервера: kics4net-webserver-<номер версии программы>.x86_64.rpm;
• пакет для установки Агента администрирования из состава комплекта поставки Kaspersky Security Center: klnagent64-<номер версии Агента администрирования>.x86_64.rpm;
• пакеты для установки плагина управления Kaspersky Industrial CyberSecurity for Networks для Kaspersky Security Center: kics4net-sc-plugin_<номер версии плагина>_<код локализации>.msi;
• пакет с набором proto-файлов для Kaspersky Industrial CyberSecurity for Networks API: kics4net-api-<номер версии программы>.tar.gz;
• файлы с текстом Лицензионного соглашения на русском и английском языках;
• файлы с текстом Политики конфиденциальности на русском и английском языках;
• файлы с информацией о версии (Release Notes) на русском и английском языках;
• файл с информацией о стороннем коде (Legal Notices) на английском языке.

АППАРАТНЫЕ И ПРОГРАММНЫЕ ТРЕБОВАНИЯ

Kaspersky Industrial CyberSecurity for Networks имеет следующие минимальные требования к аппаратному обеспечению компьютеров для установки компонентов программы:

• Компьютер, который будет выполнять функции Сервера:
  • центральный процессор: Intel Core i7;
  • объем оперативной памяти: 32 ГБ;
  • объем свободного пространства на жестком диске: 750 ГБ и дополнительно по 250 ГБ для каждой точки мониторинга на этом компьютере.
• Компьютер, который будет выполнять функции сенсора:
  • центральный процессор: Intel Core i5 / i7;
  • объем оперативной памяти: 4 ГБ и по 2 ГБ для каждой точки мониторинга на этом компьютере;
  • объем свободного пространства на жестком диске: 50 ГБ и по 250 ГБ для каждой точки мониторинга на этом компьютере.

При использовании сенсоров пропускная способность выделенной сети Kaspersky Industrial CyberSecurity между Сервером и сенсорами должна превышать пропускную способность промышленной сети не менее чем в два раза.

Kaspersky Industrial CyberSecurity for Networks имеет следующие требования к программному обеспечению компьютеров для установки компонентов программы:

• Операционная система CentOS 7.6.1810.
• Операционная система одной и той же версии должна быть установлена на всех компьютерах, на которых устанавливаются компоненты программы.
• Для установки компонентов программы в операционной системе CentOS 7.6.1810 должно быть установлено следующее программное обеспечение:
  • среда рабочего стола KDE версии, входящей в состав операционной системы CentOS 7.6.1810;
  • интерпретатор Python версии 2.7;
  • пакет для синхронизации времени chrony версии 3.1 и выше.
• На компьютере, который будет выполнять функции Сервера, должен быть правильно настроен почтовый сервер (Mail Transfer Agent) для отправки сообщений электронной почты получателям уведомлений, настроенным в Консоли программы.

Для установки плагина управления Kaspersky Industrial CyberSecurity for Networks для Kaspersky Security Center на компьютере Сервера администрирования Kaspersky Security Center должно быть установлено обновление Windows KB2999226. Установка обновления требуется, если проблемы, устраняемые этим обновлением, актуальны для установленной версии операционной системы и конфигурации установленного программного обеспечения на компьютере Сервера администрирования (см. описание к указанному обновлению).

Для подключения к Веб-серверу могут использоваться следующие веб-браузеры:

• Google Chrome версии 78 и выше.
• Mozilla Firefox версии 70 и выше.
• Microsoft Edge версии 44 и выше.

Программа Kaspersky Industrial CyberSecurity for Networks совместима со следующими версиями программ из состава решения Kaspersky Industrial CyberSecurity:

• Kaspersky Security Center версии 10 с установленным Service Pack 3 или версии 11.
• Kaspersky Industrial CyberSecurity for Nodes версии 2.5 или 2.6.

ИСПРАВЛЕННЫЕ ОШИБКИ

Интерфейс пользователя

• [3366272] Исправлено: если для изменения статуса выбрано несколько событий и / или инцидентов, то в области деталей может не обновиться название текущего статуса для выбранных элементов (например, если выбрано несколько сотен событий и / или инцидентов).
• [3370852] Исправлено: всплывающая подсказка для значения графы в таблице событий может мерцать при некоторых положениях курсора мыши.
• [3366290] Исправлено: если операция, занимающая длительное время (например, формирование файла при экспорте событий), не добавлена в список фоновых операций к моменту перехода на другую закладку или страницу веб-интерфейса, то эта операция прерывается.
• [2363263] Исправлено: в Консоли программы текст всплывающей подсказки для ячейки таблицы может быть разделен на строки не оптимальной ширины.

События и инциденты

• [3094531] Исправлено: при просмотре таблицы событий в режиме "Структурное представление", если в параметрах фильтрации по технологиям задано только условие исключения для технологии Внешние системы (EXT), то инциденты не исключаются из фильтрации и продолжают отображаться в таблице событий вместе с вложенными элементами.

Контроль технологического процесса

• Исправлено: программа обнаруживает взаимодействия и системные команды по протоколу OPC DA в рамках протокола DCE/RPC.

Внешние системы

• [3014327] Исправлено: в Kaspersky Security Center названия типов событий Kaspersky Industrial CyberSecurity for Networks представлены только на русском языке вне зависимости от языка локализации Kaspersky Security Center и Kaspersky Industrial CyberSecurity for Networks.
• [1318767] Исправлено: в русской локализации плагина управления для Kaspersky Security Center название компании и сведения об авторских правах в разделе "Информация о плагине управления программой" представлены на английском языке.

Обслуживание программы

• [3363260] Исправлено: при потере соединения с сетевым интерфейсом точки мониторинга программа определяет недоступность этого интерфейса (и выводит соответствующее сообщение) только после приостановки и возобновлении работы узла.

ОГРАНИЧЕНИЯ И ИЗВЕСТНЫЕ ОШИБКИ

Установка

• Для работы скрипта установки kics4net-deploy-<номер версии программы>.bundle.sh необходимо наличие пакетов для установки программы.
  • Решение: рекомендуется хранить дистрибутив установленной версии программы в одной директории со скриптом установки программы для внесения изменений в параметры установки.
• Для соединений между узлами Kaspersky Industrial CyberSecurity for Networks и для подключения через API используются только самоподписанные сертификаты SSL-соединений.
• [3369804] При новой установке программы без каких-либо изменений параметров (не добавлены узлы для установки компонентов и не настроены другие параметры) скрипт установки не выводит предупреждений об отсутствии заданных параметров. В этом случае компоненты программы не устанавливаются, но при завершении работы скрипт выводит сообщение об успешной установке.
  • Решение: выполните установку программы с настроенными параметрами: добавьте узлы Сервера и сенсоров и при необходимости настройте другие параметры установки.
• [2325208] При преобразовании политик безопасности, созданных с помощью Kaspersky Industrial CyberSecurity for Networks предыдущих версий, имеется ряд ограничений, связанных с добавлением в текущей версии новых поддерживаемых устройств и протоколов.
• При переустановке программы нельзя изменить указанные ранее IP-адреса узлов для установки Сервера и сенсоров.
  • Решение: при необходимости изменить IP-адрес удалите узел и добавьте заново с новым IP-адресом.
• [3385870] При полном удалении программы список параметров удаления не содержит пункт об удалении Агента администрирования, если не были настроены дополнительные параметры в меню "Параметры удаления".
  • Решение: при настройке параметров полного удаления программы выберите пункт меню "Параметры удаления" и укажите нужное действие по запросу "Удалить Агент администрирования" (запрос выводится при обнаружении установленного Агента администрирования).

Интерфейс пользователя

• [3217584] Если в таблице событий была принудительно закрыта область деталей (с помощью кнопки в правом верхнем углу), эта область не будет появляться при установке или снятии флажков напротив событий или инцидентов.
  • Решение: для отображения области деталей наведите курсор мыши на ячейку любой другой графы и нажмите левую клавишу мыши.
• [3294936] Не поддерживается автоматическое разворачивание дерева стека протоколов при поиске в окне для фильтрации по протоколам (например, для фильтрации по графе "Протокол" в таблице событий). Результаты поиска могут быть скрыты в свернутых элементах дерева.
  • Решение: для отображения результатов поиска используйте кнопки + рядом с названиями отображаемых протоколов в дереве.
• [2494064] В качестве разделителя MAC-адреса необходимо использовать знак ":". Знак "-" не поддерживается.
• [3200916] Если в заголовке графы таблицы событий отображается не полное название (из-за недостаточной ширины графы), для этого названия может не отображаться всплывающая подсказка при наведении курсора мыши.
  • Решение: увеличьте ширину графы.
• [1935812] Окна Консоли программы невозможно частично переместить за пределы видимой части экрана.
• [3728329] Окно Консоли программы для ввода учетных данных пользователя можно свернуть в кнопку на панели задач. При этом возможность работы с главным окном Консоли остается недоступна.
  • Решение: для продолжения работы с Консолью разверните окно для ввода учетных данных из кнопки на панели задач и введите имя и пароль пользователя.
• [3754605] В Консоли программы при редактировании полей с числовыми значениями в окне "Управление журналами" курсор занимает крайнее правое положение в поле ввода после каждого действия по изменению значения.
  • Решение: для изменения числового значения удалите ненужные цифры, начиная с первого (правого) разряда, или используйте кнопки в правой части поля.

События и инциденты

• После применения политики безопасности на Сервере программа закрывает все ранее зарегистрированные события и сохраняет дату и время применения политики в графе "Завершение" (если в этой графе для события было пустое значение). Для всех этих событий разрешается повторная регистрация, как и в случае перезагрузки Сервера.
• [3388315] Для инцидентов всегда указана одна и та же точка мониторинга независимо от того, какие точки мониторинга указаны для вложенных событий.
  • Решение: вы можете просмотреть правильную информацию о точках мониторинга во вложенных событиях инцидентов.
• [3344303] При загрузке трафика для нескольких событий значение времени в именах файлов полученного архива может не совпадать со временем регистрации событий на Сервере (указывается время другого часового пояса).
• [3370474] При включении фильтрации таблицы событий по заданному периоду (например, путем выключения автоматического обновления таблицы) для начальной и конечной границ периода используется время компьютера, с которого выполняется подключение через веб-браузер. Если это время не синхронизировано и отстает от времени Сервера (без учета разницы часовых поясов), в таблицу не загружаются события, зарегистрированные в пределах разницы во времени между компьютером и Сервером.
  • Решение: при фильтрации таблицы событий по заданному периоду учитывайте разницу во времени между компьютером и Сервером (например, если время компьютера отстает от времени Сервера на 10 секунд, для загрузки всех нужных событий укажите время конечной границы периода больше на 10 секунд).
• [3091037] Если инцидент имеет вложенные инциденты, при прокрутке структуры вложенных элементов в таблице событий может перестать отображаться родительский инцидент.
• [3391289] При регистрации событий обнаружения признаков ARP-спуфинга время начала в описаниях событий указывается по стандарту UTC.
• [2444775] В Консоли программы предоставляется возможность настройки времени разрешения повтора для некоторых системных типов событий, не предусматривающих подавление (например, тестовые события по технологиям). Заданные значения времени разрешения повтора для таких событий не применяются.

Контроль устройств

• [3338215] При объединении устройств, в адресной информации которых указаны только IP-адреса, не сохраняется значение даты и времени последнего появления.
• [3371248] При попытке сохранить устройство, содержащее несколько сетевых интерфейсов, в которых для всех указан одинаковый IP-адрес и только первый интерфейс не содержит MAC-адреса, ошибка об отсутствии МАС-адреса выводится для всех интерфейсов, кроме первого.
• [3296453] Если на карте сети узел перемещен с наложением на линию соединения с другими узлами, автоматическое устранение этого наложения (за счет оптимизации размещения незакрепленных узлов) происходит не во всех случаях.
• [3092206] В веб-браузере Microsoft Edge при перетаскивании изображения карты сети объекты могут перемещаться неравномерно.
  • Решение: измените масштаб отображения карты сети или используйте другой веб-браузер.

Контроль целостности сети

• [3021344] Для взаимодействий по протоколу SNMP программа обеспечивает только обнаружение взаимодействий и определение этого протокола без обнаружения системных команд и тегов.
• [1946917] Для событий контроля сети отсутствует возможность включать/выключать регистрацию отдельных типов событий.
  • Решение: события перестают регистрироваться при выключении соответствующей технологии для контроля сети.

Контроль технологического процесса

• [1842016] При плотном трафике после нарушения работы и перезапуска программа Kaspersky Industrial CyberSecurity for Networks может создать дубликаты последних событий.
  • Решение: можно игнорировать дубликаты событий.
• [1956116] Программа не поддерживает некоторые типы данных тегов.
• [1789024] Программа неправильно обрабатывает старший бит тега uint64.
  • Решение: для тегов с типом данных uint64 создавайте правила только для значений в пределах от -2^62 до 2^62-1.
• [1809642] Для всех ПЛК можно выбрать любой тип данных тега независимо от того, поддерживается ли выбранный тип данных этим ПЛК.
• [3079632] При регистрации событий, связанных с обнаружением взаимодействий устройств по протоколу Yokogawa Vnet/IP, в качестве адресной информации получателя сетевых пакетов в событии в некоторых случаях регистрируется IP-адрес групповой передачи, а не IP-адрес устройства для контроля процесса в политике безопасности. Это связано с особенностями передачи команд управления технологическим процессом по этому протоколу.
• [2487647] Ограничена поддержка протокола BDUBus: при использовании шифрованного соединения по этому протоколу не отслеживаются системные команды после установки соединения.
• [2591829] Для тегов протокола General Electric SRTP порядок перечисления значений параметра "Тип данных" отличается от тегов других протоколов.
• [1838543] Две разных ситуации в трафике протокола IEC 60870-5-104 вызывают одно событие "Несоответствие адреса регистра (REGISTER ADDRESS MISMATCH)".
• [3924316] Ограничена поддержка устройств Honeywell C300 для систем управления Experion PKS / PlantCruise: не отслеживаются значения параметров технологического процесса.
• [2528058] Ограничена поддержка устройств ABB серии Relion 670: на некоторых устройствах (например, ABB REL670 с версией встроенного ПО 2.0.0) не используется протокол ABB SPA-Bus, а для протокола FTP используется шифрованный вариант (TLS). В результате для таких устройств отслеживается только системная команда "Обнаружена команда (INITIALIZE CONNECTION)", поступающая по протоколу FTP. После установки соединения программа может регистрировать события "Ошибка (PARSING ERROR: UNKNOWN COMMAND)".
• [2487474] Ограничена поддержка устройств ЭКРА 243: в зависимости от версии установленного ПО на этих устройствах могут не отслеживаться некоторые системные команды.
• [3094764] При обнаружении взаимодействий по протоколу DMS поверх транспортного протокола UDP, программа не контролирует значения тегов, которые передаются сервером в рамках подписки клиента на получение актуальных значений этих тегов.
• [2452239] При регистрации событий адресная информация отправителя и получателя пакетов определяется по первому пакету в сессии и не обновляется в течение этой сессии.
• [3780909] После сохранения неизвестного тега в хранилище обнаруженных тегов программа не обновляет информацию о параметрах этого тега (например, при изменении типа данных тега).
  • Решение: после добавления тега в политику безопасности вы можете указать нужные параметры для этого тега.
• [1772976] На закладке "Контроль процесса" в списке правил контроля процесса не поддерживается выбор нескольких элементов с помощью клавиш CTRL или SHIFT.
• [2402537] На закладке "Контроль процесса" невозможно переместить группу в другую группу, которая уже содержит одноименный элемент. Программа не выводит уведомление о наличии одноименной группы.

Внешние системы

• [1268342] При пересылке событий в SIEM-систему поддерживается только протокол TCP.
• [1268351] Программа передает данные в SIEM-систему в формате CEF 20. Данные не трансформируются в формат стандарта Syslog.
  • Решение: при необходимости передавать данные в формате стандарта Syslog нужно настраивать передачу данных в формате стандарта Syslog, а не SIEM-систем.

Обслуживание программы

• [2466729] При нарушении работы процесса filter программа может зарегистрировать не все события, соответствующие этому периоду, или создать дубликаты событий.
• [2588631] При переполнении жесткого диска из-за недостаточного объема свободного пространства в Консоли программы может быть выведено сообщение "Ошибка при удалении файла метаданных для записи трафика".
  • Решение: регулярно проверяйте объем свободного пространства на жестком диске, если компьютер не удовлетворяет минимальным требованиям к аппаратному обеспечению.
• [3365890] Время, отображаемое в поле "Эффективное время работы" на странице раздела "Теги" веб-интерфейса программы, включает не только время нормальной работы программы (без сбоев), но также и время, в течение которого программа работала со статусом "Произошла ошибка".
• [3519607] Если при включении точки мониторинга возникла ошибка, это состояние сохранится и после устранения причины ошибки (например, в случае включения сетевого интерфейса после включения точки мониторинга).
  • Решение: после устранения причины возникновения ошибки выключите и снова включите точку мониторинга.
• [3779902] Если установка обновлений на компьютере сенсора завершилась неудачно из-за недоступности одного из процессов программы (например, процесса filter), следующий запуск отложенного обновления происходит только после успешного перезапуска сервиса kics4net.

© 2020 АО "Лаборатория Касперского".

В начало