Коннектор к АСУ ТП «Аргус» (НПФ «Система-Сервис»)предназначен для сбора событий информационной безопасности (ИБ), отправляемых по протоколу syslog, и последующей первичной обработки полученных событий для приведения к единому внутреннему стандарту (преобразование в нормализованный вид), разработанному на основе стандарта Common Event Expression (стандарт описания, представления и обмена записями событий между электронными системами).
Программный комплекс Аргус — это SCADA-система, которая осуществляет сбор и представление информации о состоянии технологического объекта управления (ТОУ) на экране рабочей станции (пульта управления), а также позволяет подавать команды управления режимом работы ТОУ с рабочей станции (пульта управления) посредством реализации следующих задач:
- обмен данными с промышленными контроллерами аппаратуры автоматики ТОУ;
- обработка информации в режиме реального времени;
- организация человеко-машинного интерфейса;
- ведение базы данных с технологической информацией в режиме реального времени;
- формирование отчетов о режимах работы ТОУ.
В состав коннектора входит набор механизмов для получения данных о событиях ИБ и их первичной обработки (парсинг и маппинг). Также в состав коннектора входит механизм категоризации событий (обогащение сведений категориями для последующей обработки).
Преимущества
- популярная отечественная SCADA-система;
- коннектор протестирован и давно используется на множестве объектов заказчика;
- наличие подробной документации с описанием коннектора и инструкцией по установке;
- возможность использования корреляции из отдельных пакетов экспертизы (см. ссылки ниже).
Поддерживаемые версии и среда функционирования
Коннектор поддерживает сбор и предварительную обработку событий со следующих версий источника с соответствующей средой функционирования:
- Модификация источника: Argus 7.7.1
- Среда функционирования: Windows, Astra Linux
Сбор и предварительная обработка могут осуществляться и на других версиях источника, имеющих аналогичный формат событий.
Перечень обрабатываемых событий
Коннектор поддерживает 13 событий. Полный перечень событий представлен ниже:
- Вход в учетную запись
- Пользователь ввел некорректный пароль при смене пользователя
- Выход из учетной записи
- Включение звуковой сигнализации
- Установка режима функционирования
- Пользователь установил значение
- Пользователь выполнил просмотр системного журнала
- Завершена работа терминала Аргус
- Терминал Аргус запущен
- Режим ограниченного архивирования включен
- Пользователь выполнил действие
- Пользователь выполнил печать документа
- Пользователь выполнил экспорт в CSV-архив
Особенности сбора
Коннектор к АСУ ТП «Аргус» осуществляет сбор событий, отправляемых по протоколу syslog.
Вид поставки
В комплект поставки входит документация, архив для нативного импорта коннектора в виде .kb-файла в платформу SIEM. Контент для АСУ ТП «Аргус» входит в состав отдельных пакетов экспертизы и не поставляется в комплекте с коннектором. Перечень пакетов с контентом для коннектора к АСУ ТП «Аргус»:
- Пакет общих ресурсов контента (ссылка) - 6 правил корреляции
- Пакет инфраструктурного контента (ссылка) - 6 правил корреляции
- Пакет мониторинга ПО SCADA (ссылка) - 2 правила корреляции
Этапы по интеграции (совместному использованию) с MP SIEM
- Настроить источник для отправки событий в соответствии с документацией на коннектор.
- Установить пакеты экспертизы (правила нормализации и правила корреляции при наличии) в KnowledgeBase. Добавить пакеты экспертизы в набор установки и установить в SIEM. В зависимости от сценария использования, пакет может быть установлен несколькими способами (Из раздела "Рекомендации по установке ресурсов в PT SIEM").
- Настройки для работы правил нормализации: 3.1. настроить коллектор в случае установки odbc драйвера (в случае сбора событий с базы данных); 3.2. создать и настроить профиль сбора; 3.3. создать задачу на сбор событий; 3.4. убедиться в наличие нормализованных событий.
- Настройки для работы правил корреляций (в случае применения пакетов экспертизы): 4.1. настроить правила корреляции в соответствии с документацией на пакет экспертизы; 4.2. убедиться в создании событий/инцидентов в результате детектирование нарушений ИБ.
Ссылки
• Другие наши коннекторы к популярным АСУ ТП: https://www.gaz-is.ru/connectors-mps
