Коннектор к АСУ ТП «Соната» (АО «ЭЗАН») предназначен для сбора событий информационной безопасности (ИБ), хранящихся в файлах и отправляемых по протоколам SMB и SFTP, и последующей первичной обработки полученных событий для приведения к единому внутреннему стандарту (преобразование в нормализованный вид), разработанному на основе стандарта Common Event Expression (стандарт описания, представления и обмена записями событий между электронными системами).
АСУ ТП «Соната» предназначена для выполнения следующих функций:
- сбор информации с устройств нижнего уровня (датчиков, контроллеров);
- прием и передача команд оператора/диспетчера на контроллеры и исполнительные устройства (дистанционное управление объектами);
- автоматизированное управление объектом автоматизации;
- хранение полученной информации в архивах;
- представление текущих и накопленных (архивных) данных в виде графиков (тренды);
- формирование сводок и других отчетных документов по созданным на этапе проектирования шаблонам.
В состав коннектора входит набор механизмов для получения данных о событиях ИБ и их первичной обработки (парсинг и маппинг событий). Также в состав коннектора входит механизм категоризации событий (обогащение сведений категориями для последующей обработки).
Преимущества
- популярная отечественная SCADA-система;
- коннектор протестирован и давно используется на множестве объектов заказчика;
- коннектор поддерживает как старую версию источника (1.3), так и новую (1.4);
- коннектор разработан при поддержке и консультации интегратора;
- наличие подробной документации с описанием коннектора и инструкцией по установке;
- возможность использования корреляции из отдельных пакетов экспертизы (см. ссылки ниже);
- коннектор разработан при содействии интегратора ООО «Вега-ГАЗ».
Поддерживаемые версии и среда функционирования
Коннектор поддерживает сбор и предварительную обработку событий со следующих версий источника с соответствующей средой функционирования, приведенных в списке:
- АСУ ТП «Соната» 1.3 Windows Server 2012 R2
- АСУ ТП «Соната» 1.4 Windows Server 2012 R2, Astra Linux 1.7.5
Сбор и предварительная обработка могут осуществляться и на других версиях источника, имеющих аналогичный формат событий.
Перечень обрабатываемых событий
Коннектор поддерживает 34 события для версии источника 1.3 и 31 событие для версии 1.4, включая такие важные события SCADA-системы, как:
- события безопасности, связанные с доступом к программному обеспечению;
- события безопасности, связанные с изменением программного обеспечения;
- события безопасности, связанные с работой программного обеспечения.
Полный перечень событий представлен ниже:
Версия 1.3: 1 Добавлена группа "…" 2 Пользователь "…" заблокирован по причине слишком большого количества ошибок ввода пароля 3 Учетная запись пользователя "…" была заблокирована 4 Вход пользователя "…" в систему 5 Вход пользователю "…" запрещен 6 Ошибка входа пользователя "…": введен неправильный пароль 7 Ошибка входа пользователя "…": неизвестный пользователь 8 Выход пользователя "…" из системы 9 Изменена парольная политика 10 Учетная запись пользователя "…" была изменена 11 Изменен пароль от учетной записи "…" 12 Были изменены права для учетной записи "…" 13 Учетная запись пользователя "…" была изменена (привилегии и/или пароль и/или пользователь заблокирован/разблокирован) 14 Был изменен набор групп для учетной записи "…" 15 Изменена группа "…" 16 Входное имя группы было изменено 17 Изменены права группы "…" 18 Удалена учетная запись пользователя "…" 19 Удалена группа "…" 20 Учетная запись пользователя "…" была разблокирована 21 Добавлена учетная запись "…" 22 Ошибка подсчета контрольной суммы 23 Нажата кнопка "…" 24 Изменение установки: c "…" на "…" 25 Штатное изменение файла "…" 26 Приложение "…" стало доступным 27 Приложение "…" стало недоступным 28 Приложение перешло в состояние "РАБОТАЕТ" 29 Приложение перешло в состояние "ПАУЗА" 30 Контроль целостности файлов 31 Выход из учетной записи 32 Открыто диалоговое окно 33 Выполнение команды 34 Регистрация в системе
Версия 1.4:
1 Добавлена группа "…" 2 Учетная запись пользователя "…" была заблокирована 3 Вход пользователя "…" в систему 4 Вход пользователю "…" запрещен 5 Ошибка входа пользователя "…": введен неправильный пароль 6 Ошибка входа пользователя "…": неизвестный пользователь 7 Выход пользователя "…" из системы 8 Изменена парольная политика 9 Учетная запись пользователя "…" была изменена 10 Изменен пароль от учетной записи "…" 11 Были изменены права для учетной записи "…" 12 Был изменен набор групп для учетной записи "…" 13 Изменена группа "…" 14 Изменены права группы "…" 15 Разрешенные дни недели для пользователя "…" были изменены 16 Удалена учетная запись пользователя "…" 17 Удалена группа "…" 18 Учетная запись пользователя "…" была разблокирована 19 Добавлена учетная запись "…" 20 Ошибка подсчета контрольной суммы 21 Нажата кнопка "…" 22 Изменение установки: c "…" на "…" 23 Попытка нажать кнопку: "…" 24 Приложение "…" не имеет лицензии 25 Штатное изменения файла "…" 26 Приложение "…" стало доступным 27 Приложение "…" стало недоступным 28 Приложение перешло в состояние "РАБОТАЕТ" 29 Приложение перешло в состояние "ПАУЗА" 30 Нет связи с контроллером 31 Запрошена смена пароля для пользователя
Особенности сбора
Коннектор к АСУ ТП «Соната» осуществляет сбор событий, хранящихся в файлах.
Вид поставки
В комплект поставки входит документация, архив для нативного импорта коннектора в виде .kb-файла в платформу SIEM. Контент для АСУ ТП «Соната» входит в состав отдельных пакетов экспертизы и не поставляется в комплекте с коннектором. Перечень пакетов с контентом для коннектора к АСУ ТП «Соната»:
- Пакет общих ресурсов контента - 6 правил корреляции
- Пакет инфраструктурного контента – 22 (v. 1.3), 23 (v. 1.4) правила корреляции
- Пакет мониторинга ПО SCADA - 2 правила корреляции
Этапы по интеграции (совместному использованию) с MP SIEM
- Настроить источник для отправки событий в соответствии с документацией на коннектор.
- Установить пакеты экспертизы (правила нормализации и правила корреляции при наличии) в KnowledgeBase. Добавить пакеты экспертизы в набор установки и установить в SIEM. В зависимости от сценария использования, пакет может быть установлен несколькими способами (Из раздела "Рекомендации по установке ресурсов в PT SIEM").
- Настройки для работы правил нормализации: 3.1. настроить коллектор в случае установки odbc драйвера (в случае сбора событий с базы данных); 3.2. создать и настроить профиль сбора; 3.3. создать задачу на сбор событий; 3.4. убедиться в наличие нормализованных событий.
- Настройки для работы правил корреляций (в случае применения пакетов экспертизы): 4.1. настроить правила корреляции в соответствии с документацией на пакет экспертизы; 4.2. убедиться в создании событий/инцидентов в результате детектирование нарушений ИБ.
Ссылки
• Другие наши коннекторы к популярным АСУ ТП: https://www.gaz-is.ru/connectors-mps
