事件

事件是指系统中生成的通知,用于提醒注意网络中可能有害的活动。您在 OT Security 系统中设置的策略会生成以下类别之一的事件:“配置事件”、“SCADA 事件”、“网络威胁”或“网络事件”。OT Security 为每个策略分配了一个严重程度级别,目的在于指示事件的严重程度。

在您激活策略后,系统中符合策略条件的任何事件都将触发事件日志。具有相同特性的多个事件会划分一个群集中。

查看事件

系统中发生的所有事件都会出现在“所有事件”屏幕上。事件的特定子集会出现在每个事件类别对应的单独窗口上:“配置事件”、“SCADA 事件”、“网络威胁”和“网络事件”。

对于每个“事件”页面(“配置事件”、“SCADA 事件”、“网络威胁”和“网络事件”),可以通过选择要显示的列以及各列的位置来自定义显示设置。您可以根据事件类型、严重性、策略名称等对事件分组。您还可以对事件列表进行排序、筛选和搜索。有关定制功能的更多信息,请参阅“自定义表格”。

您可以使用标题栏中的“操作”按钮执行以下操作:

  • 解决:将此事件标记为“已解决”。

  • 下载 PCAP:下载此事件的 PCAP 文件。

  • 排除:为此事件创建策略排除项。

屏幕底部显示有关所选事件的信息,并分为多个选项卡。系统仅显示与所选事件的事件类型相关的选项卡。系统会显示各种事件的下列选项卡:“详细信息”、“代码”、“源”、“目标”、“策略”、“扫描的端口”和“状态”。

注意:您可以向上或向下拖动面板分隔线,以放大/缩小底部面板显示。

您可以下载与每个事件关联的数据包捕获文件,详情请参阅“网络”。下表介绍了针对每个事件列表显示的信息:

参数 描述
名称 网络中设备的名称。单击资产的名称即可查看该资产的“资产详细信息”屏幕(详情请参阅“资产”)。
地址

资产的 IP 和/或 MAC 地址。

注意:一项资产可能具有多个 IP 地址。

类型 资产类型。请参阅“资产类型”,获取有关各种资产类型的说明。
背板 控制器连接到的背板装置。“资产详细信息”屏幕会显示有关背板配置的其他详细信息。
插槽 对于背板上的控制器,显示控制器所连接的插槽编号。
供应商 资产供应商。
系列 控制器供应商定义的产品的系列名称。
固件 控制器上当前安装的固件版本。
位置 用户在 OT Security 资产详细信息中输入的资产的位置。请参阅 资产
上次出现 OT Security 上次查看设备的时间。这是设备上次连接到网络或执行活动的时间。
操作系统 资产上运行的操作系统。
日志 ID 系统生成的用于参考事件的 ID。
时间 事件发生的日期和时间。
事件类型 说明触发事件的活动类型。事件由在系统中设置的策略生成。有关各种策略的说明,请参阅“策略类型”。
严重程度

显示事件的严重程度级别。以下是可能值的说明:

无:无需关注。

信息:无需立即关注。应在方便时检查。

警告:已发生潜在危害活动,需适度关注。应在方便时予以处理。

严重:已发生潜在危害活动,需高度关注。应立即处理。

策略名称 生成事件的策略的名称。该名称是指向策略列表的链接。
源资产 发起事件的资产的名称。此字段是指向资产清单的链接。
源地址 发起事件的资产的 IP 或 MAC。
目标资产 受事件影响的资产的名称。此字段是指向资产清单的链接。
目标地址 受事件影响的资产的 IP 或 MAC。
协议 协议会在相关时显示用于生成此事件的对话的协议。
事件类别

显示事件的一般类别。

注意:所有类型的事件会在“所有事件”屏幕上显示。每个特定的“事件”屏幕仅显示指定类别的事件。

以下是事件类别的简要说明(有关更加详细的说明,请参阅“策略类别和子类别”):

  • 配置事件:这包括两个子类别

  • 控制器验证事件:这些策略检测网络中的控制器发生的变更。

  • 控制器活动事件:活动策略与网络中发生的活动(即在网络中的资产之间实施的“命令”)相关。

  • SCADA 事件:识别控制器数据平面变更的策略。• 网络威胁事件:这些策略识别表示入侵威胁的网络流量。

  • 网络事件:这些策略与网络中的资产以及资产之间的通信流有关。

状态 显示事件是否已被标记为“已解决”。
解决者 对于已解决的事件,显示哪个用户将该事件标记为“已解决”。
解决日期 对于已解决的事件,显示何时将该事件标记为“已解决”。
注释 显示解决事件时添加的任何注释。

查看事件详细信息

“事件”屏幕底部显示有关所选事件的其他详细信息。该等信息被分成多个选项卡。但系统仅显示与所选事件相关的选项卡。详细信息包括相关实体(源资产、目标资产、策略、组等)的附加信息的链接。

  • 标头:显示有关事件的基本信息的概述。

  • 详细信息:提供事件的简要说明和此类信息如此重要的说明,以及为缓解事件造成的潜在危害应采取的建议措施。此外,它还显示了事件中涉及的源资产和目标资产。

  • 规则详细信息(针对入侵检测事件):显示有关适用于事件的 Suricata 规则的信息。

  • 代码:此选项卡显示与控制器活动相关的信息,例如代码下载和上传、硬件配置和代码删除。它还会显示有关相关代码的详细信息,其中包括特定的代码块、Rung 和标签。代码元素会以树状结构显示,并带有用于展开/最小化所显示详细信息的箭头。

  • :显示有关此事件的源资产的详细信息。

  • 目标:显示有关此事件的目标资产的详细信息。

  • 受影响的资产:显示有关受此事件影响的资产的详细信息。

  • 已扫描的端口(适用于端口扫描事件):显示已扫描的端口。

  • 已扫描的地址(适用于 ARP 扫描事件):显示已扫描的地址。

  • 策略:显示与触发事件的策略有关的详细信息。

  • 状态:显示事件是否已被标记为“已解决”。对于已解决的事件,显示与哪个用户将其标记为“已解决”以及何时解决有关的详细信息。

查看事件群集

为了便于监控事件,具有相同特性的多个事件会划分到一个群集中。群集基于事件类型(即共享相同的策略)、源和目标资产,以及事件发生的时间范围。有关配置事件群集的信息,请参阅“事件群集”。

群集事件由日志 ID 旁的箭头指示。要查看群集中的各个事件,请单击记录以展开列表。