Интеграция Kaspersky MLAD с KUMA по Syslog

1. Описание задачи

Данный документ описывает процесс ~~интеграции~~настройки Kaspersky MLAD для интеграции с ~~KICS~~KUMA ~~for~~по протоколу ~~Networks~~Syslog ~~для двухстороннего обмена данными.~~.

Цель данной интеграции – обеспечить передачу событий безопасности из Kaspersky MLAD необходимыми потоковыми данными без прямого подключения к процессу, а также для обогащения (при необходимости) событийной базыв ~~KICS~~SIEM ~~for~~систему ~~Networks~~для ~~данными~~обеспечения обмер ~~инцидентах,~~информационной ~~зарегистрированных~~безопасности в ~~Kaspersky~~инфраструктуре ~~MLAD~~.клиента.

Ниже приведена упрощенная схема подключения, используемая в описываемой в данном документе интеграции.

~~Клиент~~ ~~OPC~~ UA ~~подключается и получает данные от ПЛК.~~ ~~Span-трафик данной коммуникации передается в~~ ~~KICS~~ ~~for~~ ~~Networks~~. ~~Kaspersky~~ ~~MLAD~~ ~~подключается~~ ~~KICS~~ ~~for~~ ~~Networks~~ ~~для двухстороннего обмена данными:~~

1. ~~Передача параметров процесса в виде тегов из~~ ~~KICS~~ ~~for~~ ~~Networks~~ в ~~MLAD~~.

2. ~~Передача информацию об инцидентах из~~ ~~MLAD~~ в ~~KICS~~ ~~for~~ ~~Networks~~.

~~Протокол~~ ~~OPC~~ UA выбран для примера. Приведенные ниже инструкции актуальны для любого промышленного протокола, парсинг которого поддерживается в ~~KICS~~ ~~for~~ ~~Networks~~.

~~Процесс настройки клиента~~ ~~OPC~~ UA ~~и ПЛК, а также настройка~~ ~~KICS~~, не являются частью интеграции и не описаны в данном документе. Для упрощения будем считать, что коммуникация уже установлена. ~~KICS~~ ~~for~~ ~~Networks~~ ~~развернут и настроен и передача~~ ~~SPAN-трафика в~~ ~~KICS~~ ~~обеспечена.~~

2. Реализация задачи

ВПервым шагом необходимо настроить ~~KICS~~CEF-коннектор в составе Kaspersky ~~for~~MLAD ~~Networks~~на передачу событий безопасности в ~~перечень тегов, полученных в результате парсинга промышленных протоколов, можно найти в разделе~~ ~~Контроль процесса~~.SIEM-систему.

~~Обратите~~Для ~~внимание,~~этого ~~что для появления новых тегов~~перейдите в ~~списке,~~Меню ~~необходимо,~~администратора, ~~чтобы~~ ~~KICS~~ ~~производил парсинг протоколов~~затем в ~~момент~~Системные ~~установления~~параметры, ~~соединения между клиентом и сервером (в нашем случае между клиентом и сервером~~ ~~OPC~~ UA). Если включить парсер протоколов уже после того, как коммуникация между клиентом и сервером установлена, новые теги не будут добавленызатем в ~~список.~~

настройки

~~На скриншоте выше видны теги~~ CEF~~OPC~~-коннектора UA~~, полученные от ПЛК~~ ~~Regul, а также теги из других протоколов, которые распарсил~~ ~~KICS~~ ~~for~~ ~~Network~~.

~~Следующим~~Здесь ~~шагом~~вам необходимо ~~перейти~~активировать переключатель Отправлять журналы событий информационной безопасности на Syslog-сервер, указать тип транспорта (TCP или UDP), указать адрес и порт Syslog-сервера. Если вы планируете использовать защищенное TLS-соединение, то вам необходимо также загрузить сертификат/закрытый ключ клиента и CA-сертификат для верификации серверной стороны.

После этого перейдите в основное меню, далее в Службы, затем в раздел Коннекторы ~~и нажать кнопку~~ ~~Добавить коннектор.~~

~~Выберите тип коннектора~~ ~~Generic, задайте название и пароль, а также укажите адрес сервера~~ ~~KICS~~ ~~for~~ ~~Network~~ ~~и узла, на котором будет размещаться коннектор (в нашем примере это один и тот же сервер)~~. ~~Укажите~~Запустите ~~пользователя.~~

~~После создания коннектора автоматически начнется скачивание~~ ~~zip-архива с файлом сверки коннектора. Если вы хотите создать новый файл, зайдите в настройки созданного коннектора и нажмите на кнопку~~ ~~Получить новый файл свертки~~.

~~Заполните все поля аналогично тому, как вы делали при создании коннектора.~~

~~После скачивания нового~~ ~~zip-архива сохраните его, он понадобится нам для настройки коннектора~~ ~~KICS~~ в ~~MLAD~~.

~~Откройте веб-интерфейс, перейдите в меню администрирования, далее в раздел~~ ~~Системные параметры~~~~, настройки~~службу ~~KICS~~CEF connector., ~~Здесь~~или ~~вам~~перезапустите ~~потребуется~~ее, ~~загрузить~~если вы вносили изменения в настройки.

На этом настройка со стороны ~~zip-файл, который вы получили из~~ ~~KICS~~MLAD ~~ранее,~~закончена.

В ~~введите~~KUMA ~~пароль,~~перейдите ~~который~~в выраздел ~~указали~~Ресурсы, ~~при~~затем ~~создании файла свертки.~~Коллекторы.

состав

~~Если вы хотите передавать в~~поставки ~~KICS~~KUMA ~~событий~~входит обпредварительно ~~инцидентах~~настроенный ~~о выявленных аномалиях, включите переключатель~~коллектор ~~Отправлять сообщения в~~ [~~Kaspersky~~OOTB] Syslog ~~Industrial~~ ~~CyberSecurity~~ ~~for~~ ~~Networks~~CEF. Создайте копию на основе данного коллектора и перейдите в его настройки. Основные настройки подключения задаются на вкладке Транспорт.

~~Обратите~~Укажите ~~внимание,~~тип протокола, интерфейс и порт, на котором KUMA будет принимать подключение по Syslog. Убедитесь, что внастройки ~~разделе~~ ~~Активы~~ ~~нужных нам тегов сейчас нет, и создавать их не нужно, в отличие от обычного процесса загрузки данных~~подключения в MLAD совпадают с настройками в данной вкладке.

Настройки остальных вкладок не влияют на прием сообщений Syslog. Во вкладке Парсинг событий вы можете настроить, как будут парситься события Syslog, полученные от MLAD. Для этого вам предварительно необходимо создать соответствующий парсер. Процесс создания и настройки парсера описан в документации на KUMA, и в данном документе не затрагивается,

После завершения настройки вам сначала будет необходимо будет создать соответствующий сервис.

Для этого необходимо выполнить предложенную команду (через sudo) на машине с KUMA.

Если сервис уже существует, то после завершения настройки перейдите во вкладку Проверка параметров и нажмите кнопку Сохранить и перезапустить сервисы.

Перейдите в раздел Активные сервисы и убедитесь, что ваш сервис коллектора Syslog запущен.

Вернитесь в ~~основное меню, раздел~~ ~~Сервисы~~~~, далее~~ ~~Коннекторы~~ ~~и запустите коннектор~~ ~~KICS~~.

~~После установления подключения (вы можете проверить это в~~ ~~KICS~~ ~~for~~ ~~Networks~~ ~~в разделе~~ ~~Коннекторы~~~~), вернитесь в раздел~~ ~~Активы~~~~, обновите страницу и убедитесь, что новые теги появились в списке.~~

~~Обратите внимание, что в списке появились все теги, которые присутствовали в~~ ~~KICS~~ ~~for~~ ~~Networks, включая теги из других протоколов. Лишние теги можно удалить.~~

~~Обратите внимание, что теги, автоматически созданные в активах, получают свои~~ id ~~в соответствии с идентификаторами, которые эти теги имели в~~ ~~KICS~~ ~~for~~ ~~Network~~.

~~Если в активах~~ MLAD ~~уже были теги с такими же~~ id,и ~~данные~~произведите ~~теги~~какое-нибудь ~~будут~~системное ~~перезаписаны!~~действие, ~~Имейте~~например, ~~это~~выйдите и снова войдите в ~~виду при планировании активов.~~систему.

ВДалее ~~разделе~~выберите свой активный сервис в KUMA и нажмите кнопку ~~Мониторинг~~Перейти к событиям.~~можно~~
~~убедиться,~~
~~что~~
Cделайте ~~данные~~дефолтный поSQL-запрос. ~~новым~~Вы ~~тегам поступают~~увидите в списке событие безопасности от MLAD.

~~Если вы активировали передачу сообщений из~~ ~~MLAD~~ в ~~KICS~~ ~~for~~ ~~Networks~~, то после возникновения инцидентов в результате работы моделей, вы сможете увидеть соответствующие событий в ~~KICS~~ ~~for~~ ~~Networks~~ ~~в разделе~~ ~~События~~.