Cette rubrique décrit les messages du journal des événements pour :
les CPU M580 équipées du micrologiciel versions 4.0 et ultérieures (abréviation "CPU" dans la colonne Equipements),
les adaptateurs BMECRA31310 (abréviation "CRA" dans la colonne Equipements),
les modules RTU BMENOR2200H avec micrologiciel versions 3.01 et ultérieures (abréviation "NOR" dans la colonne Equipements).
Titre de l'événement | Description de l'événement |
Description supplémentaire de l'événement | Gravité | PROCID |
MSGID | STRUCTURED-DATA |
MSG | Equipements |
|---|---|---|---|---|---|---|---|---|
Connexion établie |
Toute connexion établie entre un utilisateur (être humain ou composant) et un composant, que ce soit via un protocole chiffré ou non chiffré, si la politique de sécurité du client l'autorise |
Connexion établie (serveur Web via HTTPS) |
6 |
"HTTPS" |
"CONNECTION_SUCCESS" |
"[meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username]" |
"Logon" |
CPU, eNOR |
Connexion établie (mise à niveau du micrologiciel via HTTPS) |
6 |
"HTTPS" |
"CONNECTION_SUCCESS" |
"[meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username]" |
"Logon" |
CPU CRA, eNOR |
||
Connexion établie (OPC-UA) |
6 |
"OPC-UA" |
"CONNECTION_SUCCESS" |
"[meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username]" |
"Connexion prise" |
CPU |
||
Connexion établie (mot de passe de l’application Unity via Modbus-Umas)Mode standard uniquement |
6 |
"MODBUS-UMAS" |
"CONNECTION_SUCCESS" |
"[meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username]" |
"Logon" |
CPU |
||
Connexion Modbus TCP établie (aucun utilisateur) |
6 |
"MODBUS" |
"CONNECTION_SUCCESS" |
"[meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username]" |
"Connexion prise" |
CPU CRA, eNOR |
||
Connexion HTTP/DPWS établie |
6 |
"HTTP" |
"CONNECTION_SUCCESS" |
"[meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username]" |
"Connexion prise" |
CPU |
||
Connexion TCP explicite EIP établie (aucun utilisateur) |
6 |
"EIP" |
"CONNECTION_SUCCESS" |
"[meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username]" |
"Connexion prise" |
CPU CRA |
||
Connexion DNP3 établie (aucun utilisateur) |
6 |
"DNP3" |
"CONNECTION_SUCCESS" |
"[meta sequenceId=num] [authn@3833 itf=localPort | localInterface peer=peerFQDN:peerPort user=username]" |
"Connexion prise" |
eNOR |
||
Connexion CEI 60870 établie (aucun utilisateur) |
6 |
"IEC60870" |
"CONNECTION_SUCCESS" |
"[meta sequenceId=num] [authn@3833 itf=localPort | localInterface peer=peerFQDN:peerPort user=username]" |
"Connexion prise" |
eNOR |
||
Problème de connexion |
Toutes les connexions infructueuses entre un utilisateur (être humain ou composant) et un composant, que ce soit via un protocole chiffré ou non chiffré, si la politique de sécurité du client l'autorise |
Problème de connexion (mot de passe de l’application Unity via Modbus-Umas) |
5 |
"MODBUS-UMAS" |
"CONNECTION_FAILURE" |
"[meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username]" |
"Mot de passe non valide" |
CPU |
Problème de connexion Modbus TCP (aucun utilisateur) |
5 |
"MODBUS" |
"CONNECTION_FAILURE" |
"[meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username]" |
"Nombre max. de connexions atteint" "Flux de données filtré" |
CPU CRA, eNOR |
||
Problème de connexion TCP explicite EIP (aucun utilisateur) |
5 |
"EIP" |
"CONNECTION_FAILURE" |
"[meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username]" |
"Nombre max. de connexions atteint" "Flux de données filtré" |
CPU CRA |
||
Problème de connexion DNP3 (aucun utilisateur) |
5 |
"DNP3" |
"CONNECTION_FAILURE" |
"[meta sequenceId=num] [authn@3833 itf=localPort | localInterface peer=peerFQDN:peerPort user=username]" |
"Nombre max. de connexions atteint" |
eNOR |
||
Problème de connexion CEI 60870 (aucun utilisateur) |
5 |
"IEC60870" |
"CONNECTION_FAILURE" |
"[meta sequenceId=num] [authn@3833 itf=localPort | localInterface peer=peerFQDN:peerPort user=username]" |
"Nombre max. de connexions atteint" |
eNOR |
||
Verrouillage de compte utilisateur humain en raison d'un trop grand nombre de problèmes lors des tentatives d'authentification |
La stratégie de sécurité peut demander le blocage d’un compte utilisateur humain après un nombre configurable de tentatives. Cet événement informe l'administrateur d'une attaque potentielle et indique que le compte utilisateur humain doit être verrouillé. |
Problème de connexion (serveur Web via HTTPS). Verrouillage de compte utilisateur humain en raison d'un trop grand nombre de problèmes lors des tentatives d'authentification |
1 |
"HTTPS" |
"CONNECTION_FAILURE_AND_BLOCK" |
"[meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username]" |
"Certificat non valide" "Mot de passe non valide" |
CPU, eNOR |
Problème de connexion (mise à niveau du micrologiciel via HTTPS). Verrouillage de compte utilisateur humain en raison d'un trop grand nombre de tentatives d'authentification infructueuses |
1 |
"HTTPS" |
"CONNECTION_FAILURE_AND_BLOCK" |
"[meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username]" |
"Certificat non valide" "Mot de passe non valide" |
CPU CRA, eNOR |
||
Problème de connexion (OPC-UA). Verrouillage de compte utilisateur humain en raison d'un trop grand nombre de problèmes lors des tentatives d'authentification |
1 |
"OPC-UA" |
"CONNECTION_FAILURE_AND_BLOCK" |
"[meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username]" |
"Certificat non valide" "Mot de passe non valide" |
— |
||
Connexion refusée (compte bloqué) |
Un utilisateur humain tente de se connecter à un compte déjà bloqué. |
Problème de connexion (serveur Web via HTTPS). Connexion refusée (compte bloqué) |
1 |
"HTTPS" |
"CONNECTION_FAILURE_ON_BLOCKED" |
"[meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username]" |
"" |
CPU, eNOR |
Problème de connexion (mise à niveau du micrologiciel via HTTPS). Connexion refusée (compte bloqué) |
1 |
"HTTPS" |
"CONNECTION_FAILURE_ON_BLOCKED" |
"[meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username]" |
"" |
CPU CRA |
||
Problème de connexion (OPC-UA). Connexion refusée (compte bloqué) |
1 |
"OPC-UA" |
"CONNECTION_FAILURE_ON_BLOCKED" |
"[meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username]" |
"" |
— |
||
Déconnexion |
Déconnexion manuelle d’une personne ou d’un composant après un timeout dû à une inactivité. |
Déconnexion HTTPS (serveur Web) |
6 |
"HTTPS" |
"DISCONNECTION" |
"[meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username]" |
"Déconnexion manuelle" |
CPU, eNOR |
Déconnexion HTTPS (mise à niveau du micrologiciel) |
6 |
"HTTPS" |
"DISCONNECTION" |
"[meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username]" |
"Déconnexion manuelle" |
CPU CRA, eNOR |
||
Déconnexion OPC-UA |
6 |
"OPC-UA" |
"DISCONNECTION" |
"[meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username]" |
"Déconnexion de la prise" |
CPU |
||
Déconnexion Modbus |
6 |
"MODBUS" |
"DISCONNECTION" |
"[meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username]" |
"Déconnexion de la prise" |
CPU CRA |
||
Déconnexion explicite EIP |
6 |
"EIP" |
"DISCONNECTION" |
"[meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username]" |
"Déconnexion de la prise" |
CPU CRA |
||
Déconnexion HTTP (DPWS) |
6 |
"HTTP" |
"DISCONNECTION" |
"[meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username]" |
"Déconnexion de la prise" |
CPU |
||
Déconnexion HTTPS déclenchée par un timeout |
6 |
"HTTPS" |
"DISCONNECTION" |
"[meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username]" |
"Déconnexion par timeout" |
CPU CRA, eNOR |
||
Déconnexion OPC-UA déclenchée par un timeout |
6 |
"OPC-UA" |
"DISCONNECTION" |
"[meta sequenceId=num][authn@3833 itf=localPort | localInterfacepeer=peerFQDN:peerPort user=username]" |
"Déconnexion par timeout" |
— |
||
Déconnexion DNP3 |
6 |
"DNP3" |
"DISCONNECTION" |
"[meta sequenceId=num] [authn@3833 itf=localPort | localInterface peer=peerFQDN:peerPort user=username]" |
"Déconnexion de la prise" |
eNOR |
||
Déconnexion CEI 60870 |
6 |
"IEC60870" |
"DISCONNECTION" |
"[meta sequenceId=num] [authn@3833 itf=localPort | localInterface peer=peerFQDN:peerPort user=username]" |
"Déconnexion de la prise" |
eNOR |
||
Modification majeure des paramètres lors de l'exécution |
Modification de l'exécution des paramètres majeurs pouvant avoir un impact significatif sur le système |
Modification des paramètres d'application de l'automate : temps de cycle |
6 |
"Configuration" |
"PARAMETER_SET" |
"[meta sequenceId=num] [config@3833 object="PLC application" value=valeur]" |
"Temps de scrutation" |
CPU |
Opération de sauvegarde |
Sauvegarde d'une partie ou d'un total de composants |
Téléchargement de l'application à partir de l'automate |
6 |
"Sauvegarde" |
"BACKUP" |
"[meta sequenceId=num] [backup@3833 object="PLC application"]" |
"" |
CPU |
Exportation de la configuration de la cybersécurité à partir des pages Web BME NUA ou BME NOR |
6 |
"Sauvegarde" |
"BACKUP" |
"[meta sequenceId=num] [backup@3833 object="Cybersecurity configuration"]" |
"" |
eNOR |
||
Opération de restauration |
Restauration d'une partie ou de la totalité des composants |
Chargement d'une configuration dans un module |
6 |
"Configuration" |
"CONFIGURATION_CHANGE" |
"[meta sequenceId=num] [config@3833 object="Module" |
"" |
CRA |
Chargement de l'application/configuration de l'automate dans l'automate |
6 |
"Configuration" |
"CONFIGURATION_CHANGE" |
"[meta sequenceId=num] [config@3833 object=Objet Object = "PLC application" ou "PLC configuration" |
"" |
CPU |
||
Restauration de l'application de l'automate dans l'automate |
6 |
"Sauvegarde" |
"RESTORE" |
"[meta sequenceId=num] [backup@3833 object="PLC application"]" |
"" |
CPU |
||
Importation de la configuration de la cybersécurité à partir des pages Web BME NUA ou BME NOR |
6 |
"Sauvegarde" |
"RESTORE" |
"[meta sequenceId=num] [backup@3833 object="Cybersecurity configuration"]" |
"" |
eNOR |
||
Mise à jour du micrologiciel |
Un nouveau micrologiciel a été vérifié et installé. |
Chargement d'un nouveau micrologiciel dans l'automate de l'équipement, le coprocesseur, les pages Web |
6 |
"Configuration" |
"FIRMWARE_UPDATE" |
"[meta sequenceId=num] [config@3833 object=Objet value=version]"Object = "Firmware", "Safety copro", "Web pages" |
"" |
CPU CRA, eNOR |
Mise à jour du micrologiciel non valide |
Le nouveau micrologiciel n'a pas été installé en raison d'une erreur. |
Le nouveau micrologiciel n'a pas été installé en raison d'une version incompatible ou d'une signature non valide. |
1 |
"Configuration" |
"FIRMWARE_INVALID" |
"[meta sequenceId=num] [config@3833 object=Objet value=version]"Object = "Firmware", "Safety copro", "Web pages" |
"Version incompatible" "Signature non valide" |
CPU CRA, eNOR |
Modification de l'heure de l'équipement |
Demande de modification de la date et de l’heure par un utilisateur humain. |
— |
5 |
"Configuration" |
"TIME_CHANGE" |
"[meta sequenceId=num] [config@3833 object="Time" value=datetime]" |
"" |
CPU |
Signal horaire hors tolérance |
Le composant doit valider les messages de synchronisation horaire reçus via les canaux de synchronisation d'horloge et l'alarme si le message de synchronisation horaire n'est pas dans les tolérances de l'horloge interne/locale du composant (heure passée, éloignée, etc.). |
— |
1 |
"Configuration" |
"TIME_UNATTENTED" |
"[meta sequenceId=num] [config@3833 object="Time" value=datetime]" |
"Signal horaire hors tolérance" |
— |
Modification matérielle |
Modification détectée dans la topologie du réseau |
modification du port physique du réseau : liaison du port active/interrompue |
6 |
"Système" |
"HARDWARE_CHANGE" |
[system@3833 object=Object]Objet = "eth" suivi d'un nombre décimal |
"liaison du port active" "liaison du port interrompue" |
CPU CRA |
|
Toute modification de topologie détectée par RSTP / HSR / PRP |
6 |
"Système" |
"HARDWARE_CHANGE" |
[system@3833 object=Object]Objet = "eth" suivi d'un nombre décimal |
Blocage de l’activation du port, de la désactivation du port, de la mémorisation, du port de transfert |
CPU CRA |
|
Modification détectée dans le matériel |
Insertion/extraction de la carte SD M580 |
6 |
"Système" |
"HARDWARE_CHANGE" |
[system@3833 object="SDCard"] |
"Insertion" "Extraction" |
CPU |
|
Modification du mode de fonctionnement |
Modification du mode de fonctionnement du programme (Run, Stop, Init, Halt)Mode Maintenance / SafeRun / Arrêt de la tâche SAFE |
— |
5 |
"Système" |
"OPERATING_MODE_CHANGE" |
[system@3833 object=Object ]Object = "PLC" ou "PLC safe task" ou "Module" |
"Init" "Run" "Stop" "Halt" "Mode de maintenance" "Mode de sécurité" "Primaire redondant" "Secondaire redondant" "Attente redondante" "Maître" "Non maître" |
CPU CRA |
Configuration non valide (hors cybersécurité) |
Une nouvelle configuration (non liée à la cybersécurité) n'a pas été installée en raison d'une erreur. |
Erreur d'intégrité des données (application automate, etc.) |
1 |
"Configuration" |
"CONFIGURATION_INVALID" |
"[meta sequenceId=num] [config@3833 object=Object value=version]"Object="PLC application" ou "Module configuration" |
"Format non valide" "Version incompatible" |
— |
Redémarrer |
Réinitialisation matérielle ou réinitialisation automatique après le chargement du micrologiciel |
— |
1 |
"Système" |
"REBOOT" |
— |
"Mise à jour du micrologiciel" "Bouton de réinitialisation" |
CPU CRA Le CRA n'implémente pas l'événement Reboot après le bouton Reset. |
Modification du certificat du produit (et/ou des clés) |
Gestion des certificats : création de certificats auto-signés du produit SL1 |
— |
6 |
"Informations d’identification" |
"CERTIFICATE_CHANGE" |
"[meta sequenceId=num] [cred@3833 name=NomCommun]" |
"Création de certificat" |
CPU CRA |
Installation = 10
HOSTNAME = Nom de domaine complet (FQDN) ou adresse IP locale
APPNAME = nom de référence commerciale, par exemple BMEP584040
Exemple de messages Syslog Server
