WIXLIB

Erfassung derBenutzeraktivitätenauf einem SIMATICController mithilfeeines SIEM-SystemsSIMATIC Controller S7-410-5H/S7-410ESIMATIC PCS w/109748211SiemensIndustryOnlineSupport

Gewährleistung und HaftungGewährleistung und HaftungHinweisDie Anwendungsbeispiele sind unverbindlich und erheben keinen Anspruch aufVollständigkeit hinsichtlich Konfiguration und Ausstattung sowie jeglicher Eventualitäten.Die Anwendungsbeispiele stellen keine kundenspezifischen Lösungen dar, sondern sollenlediglich Hilfestellung bei typischen Aufgabenstellungen bieten. Sie sind für den sachgemäßen Betrieb der beschriebenen Produkte selbst verantwortlich. Dieses Anwendungsbeispiel enthebt Sie nicht der Verpflichtung zu sicherem Umgang bei Anwendung,Installation, Betrieb und Wartung. Durch Nutzung dieses Anwendungsbeispiels erkennenSie an, dass wir über die beschriebene Haftungsregelung hinaus nicht für etwaigeSchäden haftbar gemacht werden können. Wir behalten uns das Recht vor, Änderungenan diesem Anwendungsbeispiel jederzeit ohne Ankündigung durchzuführen. BeiAbweichungen zwischen den Vorschlägen in diesem Anwendungsbeispiel und anderenSiemens Publikationen, wie z. B. Katalogen, hat der Inhalt der anderen DokumentationVorrang. Siemens AG 2017 All rights reservedFür die in diesem Dokument enthaltenen Informationen übernehmen wir keineGewähr.Unsere Haftung, gleich aus welchem Rechtsgrund, für durch die Verwendung derin diesem Anwendungsbeispiel beschriebenen Beispiele, Hinweise, Programme,Projektierungs- und Leistungsdaten usw. verursachte Schäden ist ausgeschlossen,soweit nicht z. B. nach dem Produkthaftungsgesetz in Fällen des Vorsatzes, dergroben Fahrlässigkeit, wegen der Verletzung des Lebens, des Körpers oder derGesundheit, wegen einer Übernahme der Garantie für die Beschaffenheit einerSache, wegen des arglistigen Verschweigens eines Mangels oder wegenVerletzung wesentlicher Vertragspflichten zwingend gehaftet wird. Der Schadensersatz wegen Verletzung wesentlicher Vertragspflichten ist jedoch auf denvertragstypischen, vorhersehbaren Schaden begrenzt, soweit nicht Vorsatz odergrobe Fahrlässigkeit vorliegt oder wegen der Verletzung des Lebens, des Körpersoder der Gesundheit zwingend gehaftet wird. Eine Änderung der Beweislast zuIhrem Nachteil ist hiermit nicht verbunden.Weitergabe oder Vervielfältigung dieser Anwendungsbeispiele oder Auszügedaraus sind nicht gestattet, soweit nicht ausdrücklich von der Siemens AGzugestanden.SecurityhinweiseSiemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an, die densicheren Betrieb von Anlagen, Systemen, Maschinen und Netzwerken unterstützen.Um Anlagen, Systeme, Maschinen und Netzwerke gegen Cyber-Bedrohungen zu sichern,ist es erforderlich, ein ganzheitliches Industrial Security-Konzept zu implementieren (undkontinuierlich aufrechtzuerhalten), das dem aktuellen Stand der Technik entspricht. DieProdukte und Lösungen von Siemens formen nur einen Bestandteil eines solchenKonzepts.Der Kunde ist dafür verantwortlich, unbefugten Zugriff auf seine Anlagen, Systeme,Maschinen und Netzwerke zu verhindern. Systeme, Maschinen und Komponenten solltennur mit dem Unternehmensnetzwerk oder dem Internet verbunden werden, wenn undsoweit dies notwendig ist und entsprechende Schutzmaßnahmen (z.B. Nutzung vonFirewalls und Netzwerksegmentierung) ergriffen wurden.Zusätzlich sollten die Empfehlungen von Siemens zu entsprechenden Schutzmaßnahmenbeachtet werden. Weiterführende Informationen über Industrial Security finden Sie unterhttp://www.siemens.com/industrialsecurity.Die Produkte und Lösungen von Siemens werden ständig weiterentwickelt, um sie nochsicherer zu machen. Siemens empfiehlt ausdrücklich, Aktualisierungen durchzuführen,sobald die entsprechenden Updates zur Verfügung stehen und immer nur die aktuellenProduktversionen zu verwenden. Die Verwendung veralteter oder nicht mehr unterstützterVersionen kann das Risiko von Cyber-Bedrohungen erhöhen.Um stets über Produkt-Updates informiert zu sein, abonnieren Sie den Siemens IndustrialSecurity RSS Feed unter g der Benutzeraktivitäten auf einem SIMATIC ControllerBeitrags-ID: 109748211, V1.0, 06/20172

g und Haftung . 21Aufgabe. 42Lösung . 62.12.22.2.12.2.22.32.43Konfiguration und Projektierung . 143.13.23.33.4 Siemens AG 2017 All rights reservedÜbersicht . 6Hard- und Software-Komponenten . 8Gültigkeit. 8Verwendete Komponenten . 8Beschreibung der Kernfunktionalität zur Ermittlung desBenutzernamens . 10Anforderungen / Szenarien . 11Erstellen und Bereitstellen der Konfigurationsdatei für das IPMapping . 14Konfiguration des ES-Servers . 15Konfiguration der CPU 410 . 16Konfiguration des SIEM-Systems . 184Funktionsprüfung . 415Abkürzungsverzeichnis . 436Literaturhinweise . 447Historie. 44Erfassung der Benutzeraktivitäten auf einem SIMATIC ControllerBeitrags-ID: 109748211, V1.0, 06/20173

1 Aufgabe1AufgabeEinführungModerne Automatisierungsinfrastrukturen werden immer komplexer. Die einzelnenStationen und Komponenten in den Automatisierungsanlagen werden immerstärker vernetzt und wachsen kontinuierlich weiter. Aufgrund dieser starkenKomplexität und Vernetzung, sowie den Standardisierungs-, Zertifizierungs- undregulatorischen Anforderungen (u.a. im Zusammenhang mit dem ITSicherheitsgesetz \6\), gewinnt das Thema Industrial Security zunehmend anBedeutung. Siemens AG 2017 All rights reservedUm die Anforderungen des im industriellen Umfeld führenden Security-StandardsIEC 62443 (\5\) zu erfüllen, ist es unter anderem erforderlich, sämtlicheBenutzeraktivitäten vollständig zu erfassen. Eine wichtige Voraussetzung dafür istdie Generierung und Bereitstellung von entsprechenden Security Events. UnterSecurity Events versteht man alle Security-relevanten Ereignisse, die in denbeteiligten Systemkomponenten generiert und dem SIEM-System gesendet oderzum Abruf bereitgestellt werden. Derartige Events werden von verschiedenenKomponenten (z. B. Industrial PCs, Server, Netzwerkkomponenten, Controller)generiert und beinhalten u.a. Informationen bezüglich der von verschiedenenBenutzern ausgeführten Aktivitäten (z. B. Anmeldungen,Konfigurationsänderungen).SIMATIC Controller (z. B. CPU 410) verfügen, im Gegensatz zu einigen anderen,im industriellen Umfeld etablierten Systemen (z. B. verschiedenenBetriebssystemen von Microsoft), nicht über eine Benutzerverwaltung. Einderartiger Controller erkennt einen legitimen Benutzer nur durch Eingabe deskorrekten Passwortes, welches auch als Schutzstufenpasswort bezeichnet wird.Ein von mehreren Benutzern geteilter Login kann nicht personengenau aufgelöstwerden. Daher ist es ihnen nicht möglich den Benutzernamen als Bestandteil ihrerSecurity-Events mitzuliefern. Die Ermittlung des Benutzernamens zu den einzelnenEvents des Controllers kann jedoch applikativ, unter Verwendung einessogenannten "Security Information and Event Management Systems (SIEM)"realisiert werden.Erfassung der Benutzeraktivitäten auf einem SIMATIC ControllerBeitrags-ID: 109748211, V1.0, 06/20174

1 AufgabeÜberblick über die AutomatisierungsaufgabeDie folgende Abbildung gibt einen Überblick über die Automatisierungsaufgabe: Siemens AG 2017 All rights reservedAbbildung 1-1Beschreibung der AutomatisierungsaufgabeDie Aufgabe besteht darin, mit Hilfe eines SIEM-Systems (hier: McAfee SIEM) dieBenutzeraktivitäten möglichst vollständig zu erfassen. Insbesondere soll der Namedes Benutzers, der bestimmte Aktionen auf einem SIMATIC Controller ausführt,erfasst werden.Da die Anmeldung an einem SIMATIC Controller (z. B. CPU 410) jedoch durch eingültiges Passwort ohne Angabe eines Benutzernamens erfolgt, muss dieser zuden einzelnen protokollierten Aktionen unter Verwendung von Korrelationsregelnermittelt werden. Dies erfolgt unter Zuhilfenahme eines SIEM-Systems, hier"McAfee SIEM".Erfassung der Benutzeraktivitäten auf einem SIMATIC ControllerBeitrags-ID: 109748211, V1.0, 06/20175

2 Lösung2Lösung2.1ÜbersichtSchemaDas vorliegende Dokument beschreibt einen Ansatz zur applikativen Ermittlungdes Benutzernamens unter Verwendung eines SIEM-Systems. Ferner wird derAnsatz am Beispiel des SIEM-Systems von McAfee namens McAfee SIEMveranschaulicht.Unter dem Oberbegriff SIMATIC Controller werden in diesem Dokument dieSIMATIC Controller CPU 410-5H und CPU 410E berücksichtigt. Siemens AG 2017 All rights reservedDas Anlagenschaltbild gemäß Abbildung 1-1 zeigt (stark vereinfacht) dieNetzwerkstruktur und die beteiligten Systeme. Das SIEM-System (hier McAfeeSIEM) besteht aus der eigentlichen Hardware Appliance im Anlagennetz, auf demMcAfee ESM, McAfee ELM und die Korrelations-Engine McAfee ACE ausgeführtwerden. Ferner verfügt das System über einen Receiver (ERC), um die Events derAnlagenkomponenten, hier vom SIMATIC Controller, sowie denEngineeringstationen (ES) aus dem PCN-und CSN-Netzwerk zu empfangen. Diesegenannten Systeme können sowohl dediziert, als auch als sogenannte"ComboBox" vorliegen.Alternativ können auch in jedem Netzwerk (PCN, CSN) dedizierte Receiver ERCinstalliert sein. Die von diesen Receivern empfangenen Events werdennachfolgend normalisiert und ggf. aggregiert an das übergeordnete SIEM-Systemweitergeleitet.Die Engineeringstationen (ES1 und ES2) gehören zu einer Windows-Domäne. Aufdem für die Domäne zuständigen Domain-Server ist u. a. die Benutzerverwaltungüber Microsoft Active Directory (AD) umgesetzt.Jeder Anwender ist über einen eigenen Login eindeutig im Netzwerk identifizierbar.VorteileDie im vorliegenden Dokument vorgestellte Lösung mit der in Abschnitt 1beschriebenen Kernfunktionalität bietet Ihnen folgende Vorteile: Sie ermöglicht eine effiziente applikative Ermittlung des Benutzernamens undträgt somit zur Verbesserung der proaktiven Erkennung von unberechtigtenZugriffen und Abweichungen vom Normalverhalten sowie zur Konformität mitden relevanten Standardisierungs-, Zertifizierungs- und regulatorischenAnforderungen bei. Sie beruht auf Standardmechanismen eines SIEM-Systems und sollte sichdaher auf jedes beliebige SIEM-Systems übertragen lassen.Erfassung der Benutzeraktivitäten auf einem SIMATIC ControllerBeitrags-ID: 109748211, V1.0, 06/20176

2 LösungAbgrenzungDiese Applikationsbeispiel enthält keine Beschreibung zu folgenden Themen: Einrichten und Verwalten von Active Directory Einträgen Einrichten und Verwalten von Zugriffsberechtigungen Systeminstallation und/oder -konfiguration Netzwerkplanung und/oder -konfiguration Anlagenprojektierung Konfiguration des SIEM-Systems zum Empfangen der Events derAnlagenkomponenten Konfiguration der ES zum Übertragen der Events an das SIEM-SystemFerner ist es mit der in diesem Dokument beschrieben Korrelationsregel nurmöglich, den Benutzernamen von bekannten und im SIEM-System integrierten ESzu ermitteln. Ein nicht autorisierter Zugriff kann durch das SIEM-System mit der indiesem Anwendungsbeispiel beschriebenen Korrelationsregel nicht erkannt undggf. gemeldet werden. Hierfür sind gesonderte Korrelationsregeln erforderlich, dienicht Bestandteil dieses Dokuments sind. Siemens AG 2017 All rights reservedVorausgesetzte KenntnisseGrundlegende Kenntnisse über das SIEM-System "McAfee SIEM" und dasEinrichten und Verwalten von Active Directory Einträgen sowie derWindows Benutzer- und Rechteverwaltung werden vorausgesetzt.Erfassung der Benutzeraktivitäten auf einem SIMATIC ControllerBeitrags-ID: 109748211, V1.0, 06/20177