Интеграция MLAD Инструкция по настройке приема данных от OPC UA сервера в Kaspersky MLAD Подготовка на стороне источника данных (SCADA/ПЛК): 1. Убедитесь, что на контроллере или SCADA-сервере запущен и корректно работает сервер OPC UA. 2. Рекомендуется:  Проверить доступность и читаемость тегов с помощью стороннего OPC UA-клиента (например, UAExpert). Это позволяет локализовать проблемы на стороне источника данных. 3. Определите и запишите полные  Node Id  всех переменных (тегов), которые планируется передавать в Kaspersky MLAD. Настройка в Kaspersky MLAD: 1. Создание ассетов (Assets) В проекте MLAD в разделе  Assets  создайте теги, которые будут соответствовать переменным OPC UA сервера. Каждому ассету необходимо присвоить уникальный  Идентификатор (ID) . Именно этот ID будет использоваться для привязки к входящим данным. 2. Создание файла конфигурации сопоставления Создайте текстовый файл в формате  TXT , который описывает соответствие между узлами OPC UA сервера и ID ассетов в MLAD. Это основной файл конфигурации для коннектора. Пример содержимого файла  {   "opc_variables": [ { "nodeid": "ns=2;s=Application.PLC_PRG.TI001", "tag_type": "float", "id": 20 }, { "nodeid": "ns=2;s=Application.PLC_PRG.TI002", "tag_type": "float", "id": 21 }, { "nodeid": "ns=2;s=Application.PLC_PRG.TI003", "tag_type": "float", "id": 22 }, { "nodeid": "ns=2;s=Application.PLC_PRG.TI004", "tag_type": "float", "id": 23 }, { "nodeid": "ns=2;s=Application.PLC_PRG.FI001", "tag_type": "float", "id": 24 }, { "nodeid": "ns=2;s=Application.PLC_PRG.PI001", "tag_type": "float", "id": 25 }, { "nodeid": "ns=2;s=Application.PLC_PRG.PI002", "tag_type": "float", "id": 26 }, { "nodeid": "ns=2;s=Application.PLC_PRG.PI003", "tag_type": "float", "id": 27 }, { "nodeid": "ns=2;s=Application.PLC_PRG.LI001", "tag_type": "float", "id": 28 }, { "nodeid": "ns=2;s=Application.PLC_PRG.FI002", "tag_type": "float", "id": 29 }   ] } 3. Настройка OPC UA Connector В веб-интерфейсе администратора MLAD перейдите в раздел  Системные параметры  ->  OPC UA Connector . В поле  Точка подключения  укажите URL-адрес вашего OPC UA сервера (например,  opc.tcp://192.168.88.160:48010 ). В блоке  Конфигурационный файл загрузите подготовленный TXT -файл сопоставления. Важно:  При необходимости настройте параметры безопасности соединения (Security Policy и Mode) и учетные данные (логин и пароль), если сервер OPC UA требует аутентификации. 4. Запуск коннектора Сохраните конфигурацию и запустите  OPC UA Connector . В интерфейсе коннектора должен отобразиться статус  «Подключено» (Connected) , а в логах — отсутствие ошибок подключения и подписки. 5. Верификация и визуализация данных Перейдите в раздел  Мониторинг  для проверки поступления необходимых данных Интеграция Kaspersky MLAD с KICS for Networks 1. Описание задачи Данный документ описывает процесс интеграции MLAD с KICS for Networks для двухстороннего обмена данными. Цель данной интеграции – обеспечить Kaspersky MLAD необходимыми потоковыми данными без прямого подключения к процессу, а также для обогащения (при необходимости) событийной базы KICS for Networks данными об инцидентах, зарегистрированных в Kaspersky MLAD . Ниже приведена упрощенная схема подключения, используемая в описываемой в данном документе интеграции. Клиент OPC UA подключается и получает данные от ПЛК. Span -трафик данной коммуникации передается в KICS for Networks . Kaspersky MLAD подключается KICS for Networks для двухстороннего обмена данными: 1. Передача параметров процесса в виде тегов из KICS for Networks в MLAD . 2. Передача информацию об инцидентах из MLAD в KICS for Networks . Протокол OPC UA выбран для примера. Приведенные ниже инструкции актуальны для любого промышленного протокола, парсинг которого поддерживается в KICS for Networks . Процесс настройки клиента OPC UA и ПЛК, а также настройка KICS , не являются частью интеграции и не описаны в данном документе. Для упрощения будем считать, что коммуникация уже установлена. KICS for Networks развернут и настроен и передача SPAN -трафика в KICS обеспечена. 2. Реализация задачи В KICS for Networks перечень тегов, полученных в результате парсинга промышленных протоколов, можно найти в разделе Контроль процесса . Обратите внимание, что для появления новых тегов в списке, необходимо, чтобы KICS производил парсинг протоколов в момент установления соединения между клиентом и сервером (в нашем случае между клиентом и сервером OPC UA ). Если включить парсер протоколов уже после того, как коммуникация между клиентом и сервером установлена, новые теги не будут добавлены в список. На скриншоте выше видны теги OPC UA , полученные от ПЛК Regul , а также теги из других протоколов, которые распарсил KICS for Network . Следующим шагом необходимо перейти в раздел Коннекторы и нажать кнопку Добавить коннектор. Выберите тип коннектора Generic , задайте название и пароль, а также укажите адрес сервера KICS for Network и узла, на котором будет размещаться коннектор (в нашем примере это один и тот же сервер). Укажите пользователя. После создания коннектора автоматически начнется скачивание zip -архива с файлом сверки коннектора. Если вы хотите создать новый файл, з айдите в настройки созданного коннектора и нажмите на кнопку Получить новый файл свертки . Заполните все поля аналогично тому, как вы делали при создании коннектора. После скачивания нового zip -архива сохраните его, он понадобится нам для настройки коннектора KICS в MLAD . Откройте веб-интерфейс, перейдите в меню администрирования, далее в раздел Системные параметры , настройки KICS connector . Здесь вам потребуется загрузить zip -файл, который вы получили из KICS ранее, и введите пароль, который вы указали при создании файла свертки. Если вы хотите передавать в KICS событий об инцидентах о выявленных аномалиях, включите переключатель Отправлять сообщения в Kaspersky Industrial CyberSecurity for Networks . Обратите внимание, что в разделе Активы нужных нам тегов сейчас нет, и создавать их не нужно, в отличие от обычного процесса загрузки данных в MLAD . Вернитесь в основное меню, раздел Сервисы , далее Коннекторы и запустите коннектор KICS . После установления подключения (вы можете проверить это в KICS for Networks в разделе Коннекторы ), вернитесь в раздел Активы , обновите страницу и убедитесь, что новые теги появились в списке. Обратите внимание, что в списке появились все теги, которые присутствовали в KICS for Networks , включая теги из других протоколов. Лишние теги можно удалить. Обратите внимание, что теги, автоматически созданные в активах, получают свои id в соответствии с идентификаторами, которые эти теги имели в KICS for Network . Если в активах MLAD уже были теги с такими же id , данные теги будут перезаписаны! Имейте это в виду при планировании активов. В разделе Мониторинг можно убедиться, что данные по новым тегам поступают в MLAD . Если вы активировали передачу сообщений из MLAD в KICS for Networks , то после возникновения инцидентов в результате работы моделей, вы сможете увидеть соответствующие событий в KICS for Networks в разделе События . Интеграция Kaspersky MLAD с KUMA по Syslog 1. Описание задачи Данный документ описывает процесс настройки Kaspersky MLAD для интеграции с KUMA по протоколу Syslog . Цель данной интеграции – обеспечить передачу событий безопасности из Kaspersky MLAD в SIEM систему для обеспечения мер информационной безопасности в инфраструктуре клиента. Ниже приведена упрощенная схема подключения, используемая в описываемой в данном документе интеграции. 2. Реализация задачи Первым шагом необходимо настроить CEF -коннектор в составе Kaspersky MLAD на передачу событий безопасности в SIEM -систему. Для этого перейдите в Меню администратора , затем в Системные параметры , затем в настройки CEF -коннектора . Здесь вам необходимо активировать переключатель Отправлять журналы событий информационной безопасности на Syslog -сервер , указать тип транспорта ( TCP или UDP ), указать адрес и порт Syslog -сервера. Если вы планируете использовать защищенное TLS -соединение, то вам необходимо также загрузить сертификат/закрытый ключ клиента и CA -сертификат для верификации серверной стороны. После этого перейдите в основное меню, далее в Службы, затем в раздел Коннекторы . Запустите службу CEF connector , или перезапустите ее, если вы вносили изменения в настройки. На этом настройка со стороны MLAD закончена. В KUMA перейдите в раздел Ресурсы , затем Коллекторы . В состав поставки KUMA входит предварительно настроенный коллектор [ OOTB ] Syslog CEF . Создайте копию на основе данного коллектора и перейдите в его настройки. Основные настройки подключения задаются на вкладке Транспорт . Укажите тип протокола, интерфейс и порт, на котором KUMA будет принимать подключение по Syslog . Убедитесь, что настройки подключения в MLAD совпадают с настройками в данной вкладке. Настройки остальных вкладок не влияют на прием сообщений Syslog . Во вкладке Парсинг событий вы можете настроить, как будут парситься события Syslog , полученные от MLAD . Для этого вам предварительно необходимо создать соответствующий парсер. Процесс создания и настройки парсера описан в документации на KUMA , и в данном документе не затрагивается, После завершения настройки вам сначала будет необходимо будет создать соответствующий сервис. Для этого необходимо выполнить предложенную команду (через sudo ) на машине с KUMA. Если сервис уже существует, то после завершения настройки перейдите во вкладку Проверка параметров и нажмите кнопку Сохранить и перезапустить сервисы . Перейдите в раздел Активные сервисы и убедитесь, что ваш сервис коллектора Syslog запущен. Вернитесь в MLAD и произведите какое-нибудь системное действие, например, выйдите и снова войдите в систему. Далее выберите свой активный сервис в KUMA и нажмите кнопку Перейти к событиям. C делайте дефолтный SQL -запрос. Вы увидите в списке событие безопасности от MLAD .