MR
ID:0
а то что у них память бежит на одном из контроллере уже около пяти лет - всем все равно
Size: a a a
2020 June 08
22
Dmitry Darensky
Мы упражнялись в нормализации событий из него в MP SIEM. Работает. но когда появится в продукте не знаю ещё.
Ну мы просто делали кастомный журнал в винде а источником брали события из их логов.
Дмитрий, а вам с каких еще PLC вам удавалось вытягивать журналы событий? По сименсу там стандартный сис лог с этим понятно. А у АВВ или SE, GE ?
Дмитрий, а вам с каких еще PLC вам удавалось вытягивать журналы событий? По сименсу там стандартный сис лог с этим понятно. А у АВВ или SE, GE ?
DD
мы выгружали из их экспорт модуля.
22
Еще вопрос а вы пробовали забирать логи со различных SCADA в онлайн режиме? Не просто алармы со скада, а именно логи системные о работе самой SCADA (ну например из SCM у вандервари?).
22
интересен сам подход, вы пишите кастомные коннекторы или автоматизируете сбор логов через самописные скрипты?
22
Коллеги, а подскажите еще? Кто какие инструменты использует для контроля вычеслени Хэш сумм? кто как решает задачу проверки определенных файлов, что в них не были внесены изменения.
AS
2 2
Коллеги, а подскажите еще? Кто какие инструменты использует для контроля вычеслени Хэш сумм? кто как решает задачу проверки определенных файлов, что в них не были внесены изменения.
Не могу не напомнить что Kaspersky Industrial CyberSecurity for Nodes имеет механизм File Integrity Monitor для контроля целостности файлов в ОС Windows
22
Антон, мы уже по пробовали этот механизм , все работает. Но хотелось бы услышать всех, кто чем пользуется (может опенсорс).
1
2 2
Коллеги, а подскажите еще? Кто какие инструменты использует для контроля вычеслени Хэш сумм? кто как решает задачу проверки определенных файлов, что в них не были внесены изменения.
Dallas Lock, Secret Net с предварительным тестированием на стенде либо подтверждением от Вендора.
T
2 2
Ну мы просто делали кастомный журнал в винде а источником брали события из их логов.
Дмитрий, а вам с каких еще PLC вам удавалось вытягивать журналы событий? По сименсу там стандартный сис лог с этим понятно. А у АВВ или SE, GE ?
Дмитрий, а вам с каких еще PLC вам удавалось вытягивать журналы событий? По сименсу там стандартный сис лог с этим понятно. А у АВВ или SE, GE ?
Вы журналы событий - диагностический бцфер вытягивали по syslog? из кода проекта читали буфер и вызываю FD его высылали по syslog на сервер?
NK
ZS
2 2
Коллеги, а подскажите еще? Кто какие инструменты использует для контроля вычеслени Хэш сумм? кто как решает задачу проверки определенных файлов, что в них не были внесены изменения.
Carbon Black App Control
AS
Zakir Supeyev
Carbon Black App Control
Судя из названия "App Control" - это не контроль целостности произвольных файлов, а контроль запуска исполняемых файлов. Но я не знаю продукт, предполагаю
ZS
Судя из названия "App Control" - это не контроль целостности произвольных файлов, а контроль запуска исполняемых файлов. Но я не знаю продукт, предполагаю
Работа с хэшами в комплекте, но думаю чисто для этого использовать дороговато будет
22
Вы журналы событий - диагностический бцфер вытягивали по syslog? из кода проекта читали буфер и вызываю FD его высылали по syslog на сервер?
Мы сейчас о сборе каких логов говорим и откуда? указаная вами переписка была о пересылки логов с версиондога или вопрос касается как получали логи с PLC сименса?
Если с PLC то использовали syslog library, настраивали передачу на отдельный сервер в БД.
Если с PLC то использовали syslog library, настраивали передачу на отдельный сервер в БД.
22
Вы журналы событий - диагностический бцфер вытягивали по syslog? из кода проекта читали буфер и вызываю FD его высылали по syslog на сервер?
22
Вы журналы событий - диагностический бцфер вытягивали по syslog? из кода проекта читали буфер и вызываю FD его высылали по syslog на сервер?
22
Вот гайды
DD
2 2
Еще вопрос а вы пробовали забирать логи со различных SCADA в онлайн режиме? Не просто алармы со скада, а именно логи системные о работе самой SCADA (ну например из SCM у вандервари?).
мы поднимали экспорт логов на контроллерах, а так же в водервари и пцс сименса. ведём работы ещё по нескольким вендорам. скрипты не пишем. делаем нормалицию на сием
AC
ID:0
Обаный трындец...