Интеграция MLAD

Инструкция по настройке приема данных от OPC UA сервера в Kaspersky MLAD
Интеграция Kaspersky MLAD с KICS for Networks
Интеграция Kaspersky MLAD с KUMA по Syslog

Инструкция по настройке приема данных от OPC UA сервера в Kaspersky MLAD

Подготовка на стороне источника данных (SCADA/ПЛК):

1. Убедитесь, что на контроллере или SCADA-сервере запущен и корректно работает сервер OPC UA.

2. Рекомендуется: Проверить доступность и читаемость тегов с помощью стороннего OPC UA-клиента (например, UAExpert). Это позволяет локализовать проблемы на стороне источника данных.

3. Определите и запишите полные Node Id всех переменных (тегов), которые планируется передавать в Kaspersky MLAD.

Настройка в Kaspersky MLAD:

1. Создание ассетов (Assets)
В проекте MLAD в разделе Assets создайте теги, которые будут соответствовать переменным OPC UA сервера. Каждому ассету необходимо присвоить уникальный Идентификатор (ID). Именно этот ID будет использоваться для привязки к входящим данным.

2. Создание файла конфигурации сопоставления
Создайте текстовый файл в формате TXT, который описывает соответствие между узлами OPC UA сервера и ID ассетов в MLAD. Это основной файл конфигурации для коннектора.

Пример содержимого файла

{

"opc_variables": [

{

"nodeid": "ns=2;s=Application.PLC_PRG.TI001",

"tag_type": "float",

"id": 20

{

"nodeid": "ns=2;s=Application.PLC_PRG.TI002",

"tag_type": "float",

"id": 21

{

"nodeid": "ns=2;s=Application.PLC_PRG.TI003",

"tag_type": "float",

"id": 22

{

"nodeid": "ns=2;s=Application.PLC_PRG.TI004",

"tag_type": "float",

"id": 23

{

"nodeid": "ns=2;s=Application.PLC_PRG.FI001",

"tag_type": "float",

"id": 24

{

"nodeid": "ns=2;s=Application.PLC_PRG.PI001",

"tag_type": "float",

"id": 25

{

"nodeid": "ns=2;s=Application.PLC_PRG.PI002",

"tag_type": "float",

"id": 26

{

"nodeid": "ns=2;s=Application.PLC_PRG.PI003",

"tag_type": "float",

"id": 27

{

"nodeid": "ns=2;s=Application.PLC_PRG.LI001",

"tag_type": "float",

"id": 28

{

"nodeid": "ns=2;s=Application.PLC_PRG.FI002",

"tag_type": "float",

"id": 29

}

]

}

3. Настройка OPC UA Connector

В веб-интерфейсе администратора MLAD перейдите в раздел Системные параметры -> OPC UA Connector.

В поле Точка подключения укажите URL-адрес вашего OPC UA сервера (например, opc.tcp://192.168.88.160:48010).
В блоке Конфигурационный файл загрузите подготовленный TXT-файл сопоставления.
Важно: При необходимости настройте параметры безопасности соединения (Security Policy и Mode) и учетные данные (логин и пароль), если сервер OPC UA требует аутентификации.

4. Запуск коннектора
Сохраните конфигурацию и запустите OPC UA Connector. В интерфейсе коннектора должен отобразиться статус «Подключено» (Connected), а в логах — отсутствие ошибок подключения и подписки.

5. Верификация и визуализация данных

Перейдите в раздел Мониторинг для проверки поступления необходимых данных

Интеграция Kaspersky MLAD с KICS for Networks

1. Описание задачи

Данный документ описывает процесс интеграции MLAD с KICS for Networks для двухстороннего обмена данными.

Цель данной интеграции – обеспечить Kaspersky MLAD необходимыми потоковыми данными без прямого подключения к процессу, а также для обогащения (при необходимости) событийной базы KICS for Networks данными об инцидентах, зарегистрированных в Kaspersky MLAD.

Ниже приведена упрощенная схема подключения, используемая в описываемой в данном документе интеграции.

Клиент OPC UA подключается и получает данные от ПЛК. Span-трафик данной коммуникации передается в KICS for Networks. Kaspersky MLAD подключается KICS for Networks для двухстороннего обмена данными:

1. Передача параметров процесса в виде тегов из KICS for Networks в MLAD.

2. Передача информацию об инцидентах из MLAD в KICS for Networks.

Протокол OPC UA выбран для примера. Приведенные ниже инструкции актуальны для любого промышленного протокола, парсинг которого поддерживается в KICS for Networks.

Процесс настройки клиента OPC UA и ПЛК, а также настройка KICS, не являются частью интеграции и не описаны в данном документе. Для упрощения будем считать, что коммуникация уже установлена. KICS for Networks развернут и настроен и передача SPAN-трафика в KICS обеспечена.

2. Реализация задачи

В KICS for Networks перечень тегов, полученных в результате парсинга промышленных протоколов, можно найти в разделе Контроль процесса.

Обратите внимание, что для появления новых тегов в списке, необходимо, чтобы KICS производил парсинг протоколов в момент установления соединения между клиентом и сервером (в нашем случае между клиентом и сервером OPC UA). Если включить парсер протоколов уже после того, как коммуникация между клиентом и сервером установлена, новые теги не будут добавлены в список.

На скриншоте выше видны теги OPC UA, полученные от ПЛК Regul, а также теги из других протоколов, которые распарсил KICS for Network.

Следующим шагом необходимо перейти в раздел Коннекторы и нажать кнопку Добавить коннектор.

Выберите тип коннектора Generic, задайте название и пароль, а также укажите адрес сервера KICS for Network и узла, на котором будет размещаться коннектор (в нашем примере это один и тот же сервер). Укажите пользователя.

После создания коннектора автоматически начнется скачивание zip-архива с файлом сверки коннектора. Если вы хотите создать новый файл, зайдите в настройки созданного коннектора и нажмите на кнопку Получить новый файл свертки.

Заполните все поля аналогично тому, как вы делали при создании коннектора.

После скачивания нового zip-архива сохраните его, он понадобится нам для настройки коннектора KICS в MLAD.

Откройте веб-интерфейс, перейдите в меню администрирования, далее в раздел Системные параметры, настройки KICS connector. Здесь вам потребуется загрузить zip-файл, который вы получили из KICS ранее, и введите пароль, который вы указали при создании файла свертки.

Если вы хотите передавать в KICS событий об инцидентах о выявленных аномалиях, включите переключатель Отправлять сообщения в Kaspersky Industrial CyberSecurity for Networks.

Обратите внимание, что в разделе Активы нужных нам тегов сейчас нет, и создавать их не нужно, в отличие от обычного процесса загрузки данных в MLAD.

Вернитесь в основное меню, раздел Сервисы, далее Коннекторы и запустите коннектор KICS.

После установления подключения (вы можете проверить это в KICS for Networks в разделе Коннекторы), вернитесь в раздел Активы, обновите страницу и убедитесь, что новые теги появились в списке.

Обратите внимание, что в списке появились все теги, которые присутствовали в KICS for Networks, включая теги из других протоколов. Лишние теги можно удалить.

Обратите внимание, что теги, автоматически созданные в активах, получают свои id в соответствии с идентификаторами, которые эти теги имели в KICS for Network.

Если в активах MLAD уже были теги с такими же id, данные теги будут перезаписаны! Имейте это в виду при планировании активов.

В разделе Мониторинг можно убедиться, что данные по новым тегам поступают в MLAD.

Если вы активировали передачу сообщений из MLAD в KICS for Networks, то после возникновения инцидентов в результате работы моделей, вы сможете увидеть соответствующие событий в KICS for Networks в разделе События.

$image.png$

Интеграция Kaspersky MLAD с KUMA по Syslog

1. Описание задачи

Данный документ описывает процесс настройки Kaspersky MLAD для интеграции с KUMA по протоколу Syslog.

Цель данной интеграции – обеспечить передачу событий безопасности из Kaspersky MLAD в SIEM систему для обеспечения мер информационной безопасности в инфраструктуре клиента.

Ниже приведена упрощенная схема подключения, используемая в описываемой в данном документе интеграции.

2. Реализация задачи

Первым шагом необходимо настроить CEF-коннектор в составе Kaspersky MLAD на передачу событий безопасности в SIEM-систему.

Для этого перейдите в Меню администратора, затем в Системные параметры, затем в настройки CEF-коннектора.

Здесь вам необходимо активировать переключатель Отправлять журналы событий информационной безопасности на Syslog-сервер, указать тип транспорта (TCP или UDP), указать адрес и порт Syslog-сервера. Если вы планируете использовать защищенное TLS-соединение, то вам необходимо также загрузить сертификат/закрытый ключ клиента и CA-сертификат для верификации серверной стороны.

После этого перейдите в основное меню, далее в Службы, затем в раздел Коннекторы. Запустите службу CEF connector, или перезапустите ее, если вы вносили изменения в настройки.

На этом настройка со стороны MLAD закончена.

В KUMA перейдите в раздел Ресурсы, затем Коллекторы.

В состав поставки KUMA входит предварительно настроенный коллектор [OOTB] Syslog CEF. Создайте копию на основе данного коллектора и перейдите в его настройки. Основные настройки подключения задаются на вкладке Транспорт.

Укажите тип протокола, интерфейс и порт, на котором KUMA будет принимать подключение по Syslog. Убедитесь, что настройки подключения в MLAD совпадают с настройками в данной вкладке.

Настройки остальных вкладок не влияют на прием сообщений Syslog. Во вкладке Парсинг событий вы можете настроить, как будут парситься события Syslog, полученные от MLAD. Для этого вам предварительно необходимо создать соответствующий парсер. Процесс создания и настройки парсера описан в документации на KUMA, и в данном документе не затрагивается,

После завершения настройки вам сначала будет необходимо будет создать соответствующий сервис.

Для этого необходимо выполнить предложенную команду (через sudo) на машине с KUMA.

Если сервис уже существует, то после завершения настройки перейдите во вкладку Проверка параметров и нажмите кнопку Сохранить и перезапустить сервисы.

Перейдите в раздел Активные сервисы и убедитесь, что ваш сервис коллектора Syslog запущен.

Вернитесь в MLAD и произведите какое-нибудь системное действие, например, выйдите и снова войдите в систему.

Далее выберите свой активный сервис в KUMA и нажмите кнопку Перейти к событиям.

Cделайте дефолтный SQL-запрос. Вы увидите в списке событие безопасности от MLAD.