Каталог расширений
Платное расширение

Коннектор к АСУ ТП «Аргус».

Коннектор к АСУ ТП «Аргус» (НПФ «Система-Сервис»)предназначен для сбора событий информационной безопасности (ИБ), отправляемых по протоколу syslog

Перейти к расширению

Коннектор к АСУ ТП «Аргус» (НПФ «Система-Сервис»)предназначен для сбора событий информационной безопасности (ИБ), отправляемых по протоколу syslog, и последующей первичной обработки полученных событий для приведения к единому внутреннему стандарту (преобразование в нормализованный вид), разработанному на основе стандарта Common Event Expression (стандарт описания, представления и обмена записями событий между электронными системами).

Программный комплекс Аргус — это SCADA-система, которая осуществляет сбор и представление информации о состоянии технологического объекта управления (ТОУ) на экране рабочей станции (пульта управления), а также позволяет подавать команды управления режимом работы ТОУ с рабочей станции (пульта управления) посредством реализации следующих задач:

  • обмен данными с промышленными контроллерами аппаратуры автоматики ТОУ;
  • обработка информации в режиме реального времени;
  • организация человеко-машинного интерфейса;
  • ведение базы данных с технологической информацией в режиме реального времени;
  • формирование отчетов о режимах работы ТОУ. В состав коннектора входит набор механизмов для получения данных о событиях ИБ и их первичной обработки (парсинг и маппинг). Также в состав коннектора входит механизм категоризации событий (обогащение сведений категориями для последующей обработки).

Преимущества

  • популярная отечественная SCADA-система;
  • коннектор протестирован и давно используется на множестве объектов заказчика;
  • наличие подробной документации с описанием коннектора и инструкцией по установке;
  • возможность использования корреляции из отдельных пакетов экспертизы (см. ссылки ниже).

Поддерживаемые версии и среда функционирования

Коннектор поддерживает сбор и предварительную обработку событий со следующих версий источника с соответствующей средой функционирования:

  • Модификация источника: Argus 7.7.1
  • Среда функционирования: Windows, Astra Linux

Сбор и предварительная обработка могут осуществляться и на других версиях источника, имеющих аналогичный формат событий.

Перечень обрабатываемых событий

Коннектор поддерживает 13 событий. Полный перечень событий представлен ниже:

  1. Вход в учетную запись
  2. Пользователь ввел некорректный пароль при смене пользователя
  3. Выход из учетной записи
  4. Включение звуковой сигнализации
  5. Установка режима функционирования
  6. Пользователь установил значение
  7. Пользователь выполнил просмотр системного журнала
  8. Завершена работа терминала Аргус
  9. Терминал Аргус запущен
  10. Режим ограниченного архивирования включен
  11. Пользователь выполнил действие
  12. Пользователь выполнил печать документа
  13. Пользователь выполнил экспорт в CSV-архив

Особенности сбора

Коннектор к АСУ ТП «Аргус» осуществляет сбор событий, отправляемых по протоколу syslog.

Вид поставки

В комплект поставки входит документация, архив для нативного импорта коннектора в виде .kb-файла в платформу SIEM. Контент для АСУ ТП «Аргус» входит в состав отдельных пакетов экспертизы и не поставляется в комплекте с коннектором. Перечень пакетов с контентом для коннектора к АСУ ТП «Аргус»:

  • Пакет общих ресурсов контента (ссылка) - 6 правил корреляции
  • Пакет инфраструктурного контента (ссылка) - 6 правил корреляции
  • Пакет мониторинга ПО SCADA (ссылка) - 2 правила корреляции

Этапы по интеграции (совместному использованию) с MP SIEM

  1. Настроить источник для отправки событий в соответствии с документацией на коннектор.
  2. Установить пакеты экспертизы (правила нормализации и правила корреляции при наличии) в KnowledgeBase. Добавить пакеты экспертизы в набор установки и установить в SIEM. В зависимости от сценария использования, пакет может быть установлен несколькими способами (Из раздела "Рекомендации по установке ресурсов в PT SIEM").
  3. Настройки для работы правил нормализации: 3.1. настроить коллектор в случае установки odbc драйвера (в случае сбора событий с базы данных); 3.2. создать и настроить профиль сбора; 3.3. создать задачу на сбор событий; 3.4. убедиться в наличие нормализованных событий.
  4. Настройки для работы правил корреляций (в случае применения пакетов экспертизы): 4.1. настроить правила корреляции в соответствии с документацией на пакет экспертизы; 4.2. убедиться в создании событий/инцидентов в результате детектирование нарушений ИБ.

Ссылки

• Другие наши коннекторы к популярным АСУ ТП: https://www.gaz-is.ru/connectors-mps

Автор
Газинформсервис
Продукт
MaxPatrol SIEM
Категория
Решения

Ваш комментарий

Чтобы оставить комментарий, нужно войти через TelegramМы не храним никаких персональных данных. Нажимая кнопку, вы принимаете условия пользовательского соглашения.

Другие расширения для MaxPatrol SIEM