AI
Всем привет. Хотел бы узнать ваше мнение по поводу ноутбука ACER ASPIRE 5 - как считаете хороший laptop ?
Эйсер фигня, только ThinkPad X-серии, с пипкой на клаве!
Size: a a a
2020 August 11
AI
Это более асутпшный ноутбук, чем эйсер ))
AI
ID:0
Парсер Zeek для протокола GOOSE (IEC61850)
GOOSE is a communication protocol defined in the IEC61850 standard. It is used by Intelligent Electronic Devices (IEDs) in electrical substations to facilitate information exchange between devices. A GOOSE parser has been developed to enable detailed analysis of the transmitted data and allow rule-based identification of anomalies related to cybersecurity attacks. It is compatible with an older instance of Zeek Network Security Monitor (v2.6).
https://github.com/smartgridadsc/Goose-protocol-parser-for-Zeek-IDS
GOOSE is a communication protocol defined in the IEC61850 standard. It is used by Intelligent Electronic Devices (IEDs) in electrical substations to facilitate information exchange between devices. A GOOSE parser has been developed to enable detailed analysis of the transmitted data and allow rule-based identification of anomalies related to cybersecurity attacks. It is compatible with an older instance of Zeek Network Security Monitor (v2.6).
https://github.com/smartgridadsc/Goose-protocol-parser-for-Zeek-IDS
Воу, наконец-то! Ну, теперь придется Бро ставить..
DD
Нет. Как мне объяснили, в KICS можно прописать description и указать где физически стоит контроллер и кто за него отвечает. Чтобы в случае с инцидентом операторы не тратили время на поиски местоположения и отвественных сотрудников я хотел бы доставать этот description.
А зачем вам KICS для сбора инвентаризационных данных с контроллеров? Даже если так можно сделать, то это выглядит прям странно. SIEM же сам может её собирать. При чем используя штатные механизмы как самих плк, так и SCADA.
VG
Там не проставляется и не передается эта информация
VG
И меня интересует именно реагирование на сработки kics, а то в противном случае из siem получается Network IDS
АС
мы криптошлюзы использовали :)
Сильно на пропускную способность и временные показатели повлияло ?
DD
И меня интересует именно реагирование на сработки kics, а то в противном случае из siem получается Network IDS
Сиемом вполне можно детектировать всё, что обнаруживает KICS4Nodes. Геометки могут присваиваться при конфигурирования плк, не у всех производителей, это да.
VG
Dmitry Darensky
А зачем вам KICS для сбора инвентаризационных данных с контроллеров? Даже если так можно сделать, то это выглядит прям странно. SIEM же сам может её собирать. При чем используя штатные механизмы как самих плк, так и SCADA.
Мне не нужны его инвентаризационные данные. Я хочу через kics прокидывать геолокацию контроллера. Вот и спрашиваю, вытаскивал кто-либо эти данные из БД kics
VG
Dmitry Darensky
Сиемом вполне можно детектировать всё, что обнаруживает KICS4Nodes. Геометки могут присваиваться при конфигурирования плк, не у всех производителей, это да.
тут я не соглашусь, но это уже уйдет в холивар
DD
Сильно на пропускную способность и временные показатели повлияло ?
А кто-нибудь видел вообще атаки на каналы аиис куэ? Для чего его шифровать? На системы использующие 2g-3g-4g сети атаки делают через сигнальные сети.
DD
тут я не соглашусь, но это уже уйдет в холивар
Вы про малварные сигнатуры?))) но вы их в отношении плк только в трафике увидите, и это уже не KICS4Nodes. Всё остальное это поведенческий анализ и корреляции. Так что холивар ть не о чем собственно.
VG
Dmitry Darensky
Вы про малварные сигнатуры?))) но вы их в отношении плк только в трафике увидите, и это уже не KICS4Nodes. Всё остальное это поведенческий анализ и корреляции. Так что холивар ть не о чем собственно.
Пускай будет так😊
AC
Сильно на пропускную способность и временные показатели повлияло ?
Вообще никак не влияют. Никакой критичной ко времени информации по внешним каналам не передаются, всё укладывается в одну секунду.
НД
Мне не нужны его инвентаризационные данные. Я хочу через kics прокидывать геолокацию контроллера. Вот и спрашиваю, вытаскивал кто-либо эти данные из БД kics
У Касперского беда с открытыми api, а читать напрямую из бд чревато - могут в следующей версии поменять все, вплоть до СУБД и тогда все настройки превратятся в тыкву
VG
Николай Домуховский
У Касперского беда с открытыми api, а читать напрямую из бд чревато - могут в следующей версии поменять все, вплоть до СУБД и тогда все настройки превратятся в тыкву
А в чем именно беда? Я просто сейчас думаю откуда лучше забирать данные
НД
Документированного api нет
НД
Понятно, что какое-то есть - ksc общается с агентами, но его каперский третьим разработчикам не предоставляет
K
Николай Домуховский
Документированного api нет
Ksc open api вроде есть
НД
Ух ты... Действительно добавили такую штуку...