[7455718] Если в Kaspersky Security Center Web Console версии 14.2 и ниже установлен веб-плагин управления Kaspersky Industrial CyberSecurity for Networks из комплекта поставки программы, при попытке обновления веб-плагина до новой версии, доступной на серверах "Лаборатории Касперского", обновление завершается с ошибкой и после этого становится недоступен список установленных веб-плагинов в интерфейсе Kaspersky Security Center Web Console (Параметры Консоли → Веб-плагины).
Решение: вы можете обновить веб-плагин управления и восстановить доступность списка установленных веб-плагинов локально на компьютере с установленной программой Kaspersky Security Center Web Console – для этого запросите файлы новой версии веб-плагина у вашего технического менеджера (TAM) и замените ими файлы текущей версии веб-плагина в папке C:\Program Files\Kaspersky Lab\Kaspersky Security Center Web Console\server\plugins\kics4Networks (после замены файлов повторно откройте браузер с Kaspersky Security Center Web Console).
Для работы скрипта централизованной установки компонентов программы kics4net-deploy-<номер версии программы>.bundle.sh необходимо наличие пакетов для установки программы.
Решение: рекомендуется хранить дистрибутив установленной версии программы в одной директории со скриптом kics4net-deploy-<номер версии программы>.bundle.sh для внесения изменений в параметры установки.
Для соединений между узлами Kaspersky Industrial CyberSecurity for Networks и для подключения через API используются только самоподписанные сертификаты SSL-соединений.
[5220366] К Серверу текущей версии возможно добавить и подключить сенсор предыдущей версии программы (например, версии 3.0), однако после этого сенсор будет неработоспособен.
Решение: перед добавлением и подключением сенсора установите на этом компьютере текущую версию программы.
[3369804] При новой централизованной установке компонентов программы без каких-либо изменений параметров (не добавлены узлы для установки компонентов и не настроены другие параметры) скрипт kics4net-deploy-<номер версии программы>.bundle.sh не выводит предупреждений об отсутствии заданных параметров. В этом случае компоненты программы не устанавливаются, но при завершении работы скрипт выводит сообщение об успешной установке.
Решение: выполните централизованную установку компонентов программы с настроенными параметрами: добавьте узлы Сервера и сенсоров и при необходимости настройте другие параметры установки.
Интерфейс пользователя
Описания уязвимостей устройств представлены на английском языке независимо от языка локализации программы.
Описания техник MITRE ATT&CK в событиях и инцидентах представлены на английском языке независимо от языка локализации программы.
[3200916] Если в заголовке графы таблицы событий отображается не полное название (из-за недостаточной ширины графы), для этого названия может не отображаться всплывающая подсказка при наведении курсора мыши.
Решение: увеличьте ширину графы.
[4803787] Если при настройке параметров коннектора в поле для ввода адреса указано значение, не соответствующее шаблону адреса, в подсказке для этого поля приводится шаблон значения в виде регулярного выражения.
[5895654] При настройке параметров автоматического обновления по расписанию программа неверно определяет день следующего запуска обновления, если в текущем месяце нет указанного дня для обновления. Например, при настроенном обновлении каждый 31-й день месяца, когда текущий месяц содержит только 30 дней – следующий запуск обновления произойдет в том месяце, который содержит 31 день.
Решение: если вы хотите запускать автоматическое обновление в конце каждого месяца, включая текущий месяц, вы можете настроить параметры запуска на каждый 1-й день месяца в ночное время (начиная с времени 00:00) или указать 28-й день месяца.
События и инциденты
После применения политики безопасности на Сервере программа закрывает все ранее зарегистрированные события и сохраняет дату и время применения политики в графе "Завершение" (если в этой графе для события было пустое значение). Для всех этих событий разрешается повторная регистрация, как и в случае перезагрузки Сервера.
[3344303] При загрузке трафика для нескольких событий значение времени в именах файлов полученного архива может не совпадать со временем регистрации событий на Сервере (указывается время другого часового пояса).
[3951845] Имена файлов внутри загруженных архивов с трафиком для событий могут быть представлены в локализации, отличающейся от локализации для имен файлов архивов.
[3091037] Если инцидент имеет вложенные инциденты, при прокрутке структуры вложенных элементов в таблице событий может перестать отображаться родительский инцидент.
[3391289] При регистрации событий обнаружения признаков ARP-спуфинга время начала в описаниях событий указывается по стандарту UTC.
[6380348] В описаниях инцидентов отображаются неактуальные ссылки на детальные сведения в базе знаний MITRE ATT&CK.
Решение: актуальные ссылки сохраняются в инцидентах после установки последних обновлений, а также вы можете найти нужные сведения на страницах базы знаний по ссылкам https://attack.mitre.org/techniques/ и https://attack.mitre.org/tactics/ics/.
Отчеты
[5939167] Если для запуска формирования отчетов выбраны все отчеты, в некоторых случаях формирование этих отчетов может завершиться неудачно (отчеты будут со статусом "Ошибка").
[5912429] При копировании содержимого отчетов из файлов в формате PDF в текстовый редактор некоторые символы не копируются или копируются неправильно (с заменой на другие символы).
Контроль активов
[4768430] Устройства, для которых указан IP-адрес из подсети с типом "Публичная" и при этом известен MAC-адрес, могут отображаться на карте сетевых взаимодействий в качестве неизвестных устройств. При обнаружении взаимодействий таких устройств с IP-адресами из частных подсетей программа не включает эти устройства в узел WAN.
[3296453] Если на карте сетевых взаимодействий узел перемещен с наложением на линию соединения с другими узлами, автоматическое устранение этого наложения (за счет оптимизации размещения незакрепленных узлов) происходит не во всех случаях.
[5921035] При изменении параметров топологии для узла программа не позволяет поменять местами имена портов путем ввода имен этих портов в соответствующих полях.
Решение: если вы хотите поменять местами имена портов, вы можете использовать соответствующие кнопки в строках со сведениями о портах.
При добавлении устройства в результате импорта конфигурации из внешнего проекта, если в проекте отсутствует адресная информация, программа присваивает добавленному устройству IP-адрес 0.0.0.0. При импорте конфигурации из следующего внешнего проекта, также не содержащего адресной информации для устройств, может произойти подмена сведений о первом устройстве. Кроме того, в этом случае не все данные из внешнего проекта могут быть импортированы в программу.
Решение: после импорта конфигурации устройств и тегов из внешнего проекта проверьте и при необходимости укажите правильную адресную информацию устройств, добавленных в результате импорта.
Контроль целостности сети
[3021344] Для взаимодействий по протоколу SNMP программа обеспечивает только обнаружение взаимодействий и определение этого протокола без обнаружения системных команд и тегов.
Контроль технологического процесса
[1842016] При плотном трафике после нарушения работы и перезапуска программа Kaspersky Industrial CyberSecurity for Networks может создать дубликаты последних событий.
Решение: можно игнорировать дубликаты событий.
[1789024] Программа неправильно обрабатывает старший бит тега uint64.
Решение: для тегов с типом данных uint64 создавайте правила только для значений в пределах от -2^62 до 2^62-1.
[2487647] Ограничена поддержка протокола BDUBus: при использовании шифрованного соединения по этому протоколу не отслеживаются системные команды после установки соединения.
[1838543] Две разных ситуации в трафике протокола IEC 60870-5-104 вызывают одно событие "Несоответствие адреса регистра (REGISTER ADDRESS MISMATCH)".
[2528058] Ограничена поддержка устройств ABB серии Relion 670: на некоторых устройствах (например, ABB REL670 с версией встроенного ПО 2.0.0) не используется протокол ABB SPA-Bus, а для протокола FTP используется шифрованный вариант (TLS). В результате для таких устройств отслеживается только системная команда "Обнаружена команда (INITIALIZE CONNECTION)", поступающая по протоколу FTP. После установки соединения программа может регистрировать события "Ошибка (PARSING ERROR: UNKNOWN COMMAND)".
[2487474] Ограничена поддержка устройств ЭКРА 243: в зависимости от версии установленного ПО на этих устройствах могут не отслеживаться некоторые системные команды.
[3094764] При обнаружении взаимодействий по протоколу DMS поверх транспортного протокола UDP, программа не контролирует значения тегов, которые передаются сервером в рамках подписки клиента на получение актуальных значений этих тегов.
Внешние системы
[1268351] Программа передает данные в SIEM-систему в формате CEF 20. Данные не трансформируются в формат стандарта Syslog.
Решение: при необходимости передавать данные в формате стандарта Syslog нужно настраивать передачу данных в формате стандарта Syslog, а не SIEM-систем.
Обслуживание программы
[4788300] В сведениях об узле Сервера или сенсора значение параметра "Максимально возможный объем данных программы" является оценочным. В некоторых случаях файлы программы могут занять больше пространства на диске, чем указанное значение объема.
[4878306] В некоторых случаях, если открыт список уведомлений о проблемах в работе программы с помощью кнопки в меню веб-интерфейса Сервера, список содержит уведомление "В работе программы проблем не обнаружено", хотя рядом с кнопкой открытия списка отображается значок желтого цвета. Это уведомление и значок характеризуют ситуацию, которая может привести к возникновению проблем (например, если объем свободного пространства на диске сократился до 20%).
[2466729] При нарушении работы процесса filter программа может зарегистрировать не все события, соответствующие этому периоду, или создать дубликаты событий.
Решение: после устранения причины возникновения ошибки выключите и снова включите точку мониторинга.