Интеграция Kaspersky MLAD с KICS for Networks

1.            Описание задачи

Данный документ описывает процесс интеграции MLAD с KICS for Networks для двухстороннего обмена данными.

Цель данной интеграции – обеспечить Kaspersky MLAD необходимыми потоковыми данными без прямого подключения к процессу, а также для обогащения (при необходимости) событийной базы KICS for Networks данными об инцидентах, зарегистрированных в Kaspersky MLAD.

Ниже приведена упрощенная схема подключения, используемая в описываемой в данном документе интеграции.

Клиент OPC UA подключается и получает данные от ПЛК. Span-трафик данной коммуникации передается в KICS for Networks. Kaspersky MLAD подключается KICS for Networks для двухстороннего обмена данными:

1.    Передача параметров процесса в виде тегов из KICS for Networks в MLAD.

2.    Передача информацию об инцидентах из MLAD в KICS for Networks.

Протокол OPC UA выбран для примера. Приведенные ниже инструкции актуальны для любого промышленного протокола, парсинг которого поддерживается в KICS for Networks.

Процесс настройки клиента OPC UA и ПЛК, а также настройка KICS, не являются частью интеграции и не описаны в данном документе. Для упрощения будем считать, что коммуникация уже установлена. KICS for Networks развернут и настроен и передача SPAN-трафика в KICS обеспечена.

2.            Реализация задачи

В KICS for Networks перечень тегов, полученных в результате парсинга промышленных протоколов, можно найти в разделе Контроль процесса.

Обратите внимание, что для появления новых тегов в списке, необходимо, чтобы KICS производил парсинг протоколов в момент установления соединения между клиентом и сервером (в нашем случае между клиентом и сервером OPC UA). Если включить парсер протоколов уже после того, как коммуникация между клиентом и сервером установлена, новые теги не будут добавлены в список.

На скриншоте выше видны теги OPC UA, полученные от ПЛК Regul, а также теги из других протоколов, которые распарсил KICS for Network.

Следующим шагом необходимо перейти в раздел Коннекторы и нажать кнопку Добавить коннектор.

Выберите тип коннектора Generic, задайте название и пароль, а также укажите адрес сервера KICS for Network и узла, на котором будет размещаться коннектор (в нашем примере это один и тот же сервер). Укажите пользователя.

После создания коннектора автоматически начнется скачивание zip-архива. Он нам не потребуется, можете его удалить.

Зайдите в настройки созданного коннектора и нажмите на кнопку Получить новый файл свертки.

Заполните все поля аналогично тому, как вы делали при создании коннектора.

После скачивания нового zip-архива сохраните его, он понадобится нам для настройки коннектора KICS в MLAD.

Откройте веб-интерфейс, перейдите в меню администрирования, далее в раздел Системные параметры, настройки KICS connector. Здесь вам потребуется загрузить zip-файл, который вы получили из KICS ранее, и введите пароль, который вы указали при создании файла свертки.

Если вы хотите передавать в KICS событий об инцидентах о выявленных аномалиях, включите переключатель Отправлять сообщения в Kaspersky Industrial CyberSecurity for Networks.

Обратите внимание, что в разделе Активы нужных нам тегов сейчас нет, и создавать их не нужно, в отличие от обычного процесса загрузки данных в MLAD.

Вернитесь в основное меню, раздел Сервисы, далее Коннекторы и запустите коннектор KICS.

После установления подключения (вы можете проверить это в KICS for Networks в разделе Коннекторы), вернитесь в раздел Активы, обновите страницу и убедитесь, что новые теги появились в списке.

Обратите внимание, что в списке появились все теги, которые присутствовали в KICS for Networks, включая теги из других протоколов. Лишние теги можно удалить.

Обратите внимание, что теги, автоматически созданные в активах, получают свои id в соответствии с идентификаторами, которые эти теги имели в KICS for Network.

Если в активах MLAD уже были теги с такими же id, данные теги будут перезаписаны! Имейте это в виду при планировании активов. Возможно, в будущем данное поведение будет изменено.

В разделе Мониторинг можно убедиться, что данные по новым тегам поступают в MLAD.

Если вы активировали передачу сообщений из MLAD в KICS for Networks, то после возникновения инцидентов в результате работы моделей, вы сможете увидеть соответствующие событий в KICS for Networks в разделе События.