Коннектор к АСУ ТП «Infinity».

Коннектор к АСУ ТП «SCADA Infinity» (АО «ЭлеСи») предназначен для сбора событий информационной безопасности (ИБ), хранящихся в журнале событий ОС Windows, и последующей первичной обработки полученных событий для приведения к единому внутреннему стандарту (преобразование в нормализованный вид), разработанному на основе стандарта Common Event Expression (стандарт описания, представления и обмена записями событий между электронными системами).

АСУ ТП «SCADA Infinity» используется для разработки, настройки и эксплуатации систем управления непрерывными технологическими процессами промышленных производств. Системы на базе АСУ ТП «SCADA Infinity» могут применяться на промышленных предприятиях различного масштаба и степени распределенности производства благодаря унификации архитектурных решений и строгому соблюдению норм промышленных стандартов и спецификаций.

В состав коннектора входит набор механизмов для получения данных о событиях ИБ и их первичной обработки (парсинг и маппинг событий). Также в состав коннектора входит механизм категоризации событий (обогащение сведений категориями для последующей обработки). Открыть Открыть

Преимущества

• популярная отечественная SCADA-система;
• коннектор протестирован и давно используется на множестве объектов заказчика;
• наличие подробной документации с описанием коннектора и инструкцией по установке;
• возможность использования корреляции из отдельных пакетов экспертизы (см. ссылки ниже).

Поддерживаемые версии и среда функционирования

Коннектор поддерживает сбор и предварительную обработку событий со следующих версий источника с соответствующей средой функционирования:

• Версия источника: SCADA Infinity 4.x
• Среда функционирования: Windows 8.1 (х64) или старше, Microsoft Office 2007 (x86/x64) или старше Сбор и предварительная обработка могут осуществляться и на других версиях источника, имеющих аналогичный формат событий.

Перечень обрабатываемых событий

Коннектор поддерживает 224 события, включая такие важные события SCADA-системы, как:

• события безопасности, связанные с изменением настроек общего программного обеспечения;
• события безопасности, связанные с управлением запуском/остановкой компонентов программного обеспечения;
• события безопасности, связанные с выполнением процедуры установки/удаления компонентов программного обеспечения;
• события безопасности, связанные с доступом к защищаемой информации.

Полный перечень событий представлен ниже:

1. Сообщение пользователю
2. Запуск службы безопасности
3. Остановка службы безопасности
4. Версия файла настроек
5. Разрешение доступа
6. Отказ в доступе
7. Обновление разрешений
8. Лицензирование службы безопасности
9. Работа пользователя запрещена (Недопустимый интервал времени работы для пользователя)
10. Работа пользователя разрешена
11. Изменение пользователя
12. Разрешение функции (Для группы)
13. Разрешение функции (Для пользователя)
14. Разрешение доп. условия (Для группы)
15. Разрешение доп. условия (Для пользователя)
16. Добавление пользователя (фигурирует группа)
17. Ошибка аутентификации
18. Успешная аутентификация
19. Ошибка аутентификации (локально)
20. Запуск настройки прав доступа
21. Остановка настройки прав доступа
22. Автоматическая регистрация пользователя
23. Автоматическая разрегистрация пользователя
24. Добавление пользователя
25. Удаление пользователя
26. Изменение свойств пользователя
27. Добавление временного периода
28. Удаление временного периода
29. Изменение свойства временного периода
30. Добавление группы
31. Удаление группы
32. Добавление приложения
33. Удаление приложения
34. Изменение свойства (приложения)
35. Добавление функции
36. Удаление функции
37. Изменение свойства (функции)
38. Неизвестный тег
39. Переход в гостевой режим (Локально)
40. Повреждение БД разрешений
41. Вызов команды о смене пользователя
42. Импорт приложений и функций успешно завершен из файла
43. Запрещена функция (для группы)
44. Запрещена функция (для пользователя)
45. Завершен экспорт
46. Ошибка экспорта
47. Импорт групп и разрешений успешно завершен из файла
48. Ошибка импорта
49. Выход из системы
50. База данных разрешений не обновлена. Версии не совпадают
51. Добавление рабочей станции
52. Блокировка пользователя (неуспешный вход)
53. Общее время работы
54. Дата и время начала работы
55. Удаление рабочей станции
56. Разблокировка пользователей группы
57. Пользователь не найден
58. Ошибка входа в систему
59. Небезопасный пароль
60. Пользователь заблокирован
61. Включена автоблокировка пользователя
62. Включена блокировка пользователя
63. Отключена блокировка пользователя
64. Пользователи группы заблокированы
65. Удалено доп. условие для пользователя
66. Изменено доп. условие для пользователя (Разрешено)
67. Запрещено доп. условие для пользователя
68. Изменено доп. условие для пользователя (Запрещено)
69. Удалено доп. условие для группы
70. Изменено доп. условие для группы (Разрешено)
71. Запрещено доп. условие для группы
72. Изменено доп. условие для группы (Запрещено)
73. Пользователь заблокирован (Неправильное имя пользователя или пароль)
74. Пользователь удален из группы
75. Добавлен временной период для группы
76. Удален временной период из группы
77. Изменены свойства для группы (При отсутствии активности переход в гостевой режим отменен)
78. Изменены свойства для группы (При отсутствии активности переход в гостевой режим через N мин)
79. Изменены свойства для группы (Максимальное время сеанса)
80. Изменены свойства для группы (Отключена разрегистрация при достижении максимального времени сеанса)
81. Параметры блокировки для группы (Количество неудачных попыток входа перед блокировкой)
82. Параметры блокировки для группы (Отключена блокировка при неудачных попытках входа)
83. Изменены свойства для пользователя (При отсутствии активности переход в гостевой режим через N мин)
84. Изменены свойства для пользователя (Максимальное время сеанса)
85. Удалена группа у пользователя
86. Добавлена группа у пользователя
87. Изменены свойства для пользователя (Отключена разрегистрация при достижении максимального времени сеанса)
88. Параметры блокировки для пользователя (Количество неудачных попыток входа перед блокировкой)
89. Параметры блокировки для пользователя (Отключена блокировка при неудачных попытках входа)
90. Добавлен временной период для пользователя
91. Удален временной период для пользователя
92. Изменены свойства для группы (Применять настройки немедленно)
93. Изменены свойства для группы (Применять настройки после смены пользователя)
94. Изменены свойства для пользователя (Применять настройки немедленно)
95. Изменены свойства для пользователя (Применять настройки после смены пользователя)
96. Пользователь не добавлен в группу (Нет прав на администрирование)
97. Пользователь не добавлен в группу (Пользователь не найден)
98. Пользователь не добавлен в группу (Группа не найдена)
99. Пользователь уже находится в группе
100. Пользователь не удален из группы (Нет прав на администрирование)
101. Пользователь не удален из группы (Пользователь не найден)
102. Пользователь не удален из группы (Группа не найдена)
103. Пользователь не найден в группе
104. Версии базы данных разрешений не совпадают
105. Работа пользователя запрещена (Пользователь заблокирован)
106. Ошибка добавления пользователя в группу
107. Работа пользователя запрещена (Время сеанса для пользователя истекло)
108. Ошибка добавления пользователя
109. Пользователь не добавлен (Нет прав на администрирование)
110. Пользователь уже существует в базе
111. Пользователь не добавлен (Учетная запись не найдена)
112. Ошибка удаления пользователя из группы
113. Ошибка удаления пользователя (Удаление пользователя выполняется только на основном или резервном сервере безопасности)
114. Пользователь не удален (Нет прав на администрирование)
115. Пользователь не удален (Пользователь не найден)
116. Срок действия пароля для этой учетной записи истек
117. До окончания срока действия пароля осталось менее суток
118. Подключение к серверу безопасности установлено
119. Подключение к серверу безопасности потеряно
120. Не удалось подключиться к серверу безопасности
121. Сохранение списка сигналов
122. Сохранение данных по сигналам
123. Сохранение данных для просмотра
124. Экспорт данных
125. Печать графика
126. Сохранение событий
127. Печать событий
128. Запуск менеджера проектов
129. Остановка менеджера проектов
130. Включение контроля
131. Отключение контроля
132. Установка связи
133. Получен файл
134. Ошибка синхронизации файла
135. Команда: Запуск процесса
136. Команда: Остановка процесса
137. Команда: показать главное окно процесса
138. Команда: скрыть главное окно процесса
139. Включение синхронизации
140. Отключение синхронизации
141. Синхронизация: Установлена связь
142. Контроль целостности файлов включен
143. Нет связи
144. Процесс работает
145. Процесс не работает
146. Процесс не найден
147. Отключение контроля целостности
148. Расхождение контрольной суммы файла
149. Добавление файла в контроль целостности
150. Удаление файла из контроля целостности
151. Синхронизация
152. Сохранение конфигурации
153. Удаление процесса из контроля
154. Процесс не отвечает
155. Запуск процесса
156. Команда: Остановка файла
157. Команда: Встроить главное окно процесса
158. Встраивание главного окна процесса
159. Показ главного окна процесса
160. Главное окна процесса скрыто
161. Удаление файла из синхронизации
162. Изменение параметров файла
163. Файл добавлен в синхронизацию
164. Процесс добавлен в контроль
165. Конфигурация обновлена
166. Сервер для обновления конфигурации
167. Сервер для обновления конфигурации удален
168. Синхронизация конфигурации. Установлена связь
169. Синхронизация конфигурации. Потеряна связь
170. Пользовательское сообщение
171. Пользовательское сообщение (Проект успешно установлен)
172. Пользовательское сообщение (Неуспешная попытка)
173. Переход в Гостевой режим
174. Смена пользователя
175. Ошибка смены пользователя
176. Инициация очистки журнала
177. Архивация журнала
178. Очистка журнала
179. Запуск службы сбора журналов
180. Остановка службы сбора журналов инициирована пользователем
181. Установка новых параметров службы
182. Ошибка конфигурирования службы (Не удалось найти файл настроек)
183. Ошибка конфигурирования службы
184. Ошибка чтения конфигурации службы
185. Блокировка пользователя (пользователем)
186. Разблокировка пользователя
187. Команда перезагрузки узла
188. Команда выключения узла
189. Очистка статистики по компонентам
190. Остановка службы сбора статистики
191. Запуск автоматической архивации по пороговому значению
192. Архивация и очистка журнала «Общий»
193. Запуск автоматической архивации и очистки журнала
194. Архивация и очистка журнала «Административный»
195. Запуск автоматической архивации журнала «Административный» по расписанию
196. Запуск автоматической архивации журнала «Общий» по расписанию
197. Остановка службы сбора журналов
198. Запуск управления ИБ
199. Оповещение пользователя
200. Пользователь нажал на кнопку
201. Сообщение пользователю (Удаление пользователя возможно только при переходе на данных узлах в гостевой режим)
202. Ошибка удаления пользователя (У пользователя активна сессия на основном сервере клиентской безопасности)
203. Отмена удаления пользователя
204. Пользователь открыл общий журнал безопасности
205. Открытие журнала администратора
206. Сообщение пользователю (Блокировка пользователя возможна только при переходе на данных узлах в гостевой режим)
207. Ошибка блокировки пользователя
208. Отмена блокировки пользователя
209. Ошибка применения конфигурации
210. Применение конфигурации
211. Изменение конфигурации
212. Изменение списка узлов
213. Создание учетной записи
214. Изменение пароля учетной записи
215. Изменение группы пользователей
216. Удаление учетной записи
217. Установка новых настроек политик
218. Ошибка сервиса
219. Сообщение пользователю (Удаление пользователя может привести к блокировке ПК)
220. Изменение параметров журнала «Общий»
221. Изменение параметров журнала «Административный»
222. Текущая заполненность журналов
223. Установка новых параметров службы архивирования журналов
224. Информационные события, не относящиеся к «SCADA Infinity»

Особенности сбора

АСУ ТП «SCADA Infinity по умолчанию записывает события ИБ в системные журналы SM и SMA. На уровне межсетевого экрана необходимо разрешить доступ по сети между сервером «SCADA Infinity и Сервером SIEM Collector.

Вид поставки

В комплект поставки входит документация, архив для нативного импорта коннектора в виде .kb-файла в платформу SIEM. Контент для АСУ ТП «SCADA» Infinity входит в состав отдельных пакетов экспертизы и не поставляется в комплекте с коннектором. Перечень пакетов с контентом для коннектора к АСУ ТП «SCADA Infinity»:

• Пакет общих ресурсов контента - 11 правил корреляции
• Пакет инфраструктурного контента - 40 правил корреляции
• Пакет мониторинга ПО SCADA - 6 правил корреляции

Этапы по интеграции (совместному использованию) с MP SIEM

1. Настроить источник для отправки событий в соответствии с документацией на коннектор.
2. Установить пакеты экспертизы (правила нормализации и правила корреляции при наличии) в KnowledgeBase. Добавить пакеты экспертизы в набор установки и установить в SIEM. В зависимости от сценария использования, пакет может быть установлен несколькими способами (Из раздела "Рекомендации по установке ресурсов в PT SIEM").
3. Настройки для работы правил нормализации: 3.1. настроить коллектор в случае установки odbc драйвера (в случае сбора событий с базы данных); 3.2. создать и настроить профиль сбора; 3.3. создать задачу на сбор событий; 3.4. убедиться в наличие нормализованных событий.
4. Настройки для работы правил корреляций (в случае применения пакетов экспертизы): 4.1. настроить правила корреляции в соответствии с документацией на пакет экспертизы; 4.2. убедиться в создании событий/инцидентов в результате детектирование нарушений ИБ.

Ссылки

• Другие наши коннекторы к популярным АСУ ТП: https://www.gaz-is.ru/connectors-mps