查看策略

策略”屏幕列出了系统中的所有已配置的策略。在每个策略类别的单独选项卡下对这些列表进行了分组。此页面上同时列出了预配置的策略和用户定义的策略。每个策略均包含一个显示策略当前状态的切换开关,以及指示策略配置的多个参数。

可以显示/隐藏列,并对资产列表进行排序和筛选,同时搜索关键字。有关定制列表的信息,请参阅“管理控制台用户界面元素”。

下表中介绍了策略参数:

参数 说明
状态 显示策略是打开还是关闭。如果系统由于生成过多事件而自动禁用该策略,则会在切换开关旁边显示一个警告图标。切换状态开关,以打开/关闭某个策略。
策略 ID 系统中策略的唯一标识符。策略 ID 按类别分组,每个类别都具有不同的前缀。例如,P1 代表控制器活动,P2 代表网络事件,等等。
名称 策略的名称。
严重程度 事件的严重程度。可能的值为:无、低危、中危或高危。有关严重程度级别的说明,请参阅严重程度级别部分。
事件类型 触发此事件策略的特定事件类型。
类别 触发此事件策略的事件类型的常规类别。可能的值为:配置、SCADA、网络威胁或网络事件。有关各种类别的说明,请参阅“策略类别和子类别”。
策略条件。应用策略的源资产组/网段(即发起活动的资产)。
目标资产/受影响的资产 策略条件。应用策略的目标资产组/网络区段(即收到活动的资产)。对于涉及单一资产(无源和目标)的策略,此参数会显示受事件影响的资产。
计划 策略条件。策略适用的时间范围。
Syslog 记录此策略的事件的 Syslog 服务器 (SIEM)。
电子邮件 电子邮件组向此策略发送事件通知。
子类别 事件的子类别。“配置事件”类别包含子类别“控制器活动”和“控制器验证”。如需了解关于不同子类别的信息,请参阅“查看策略”。
每个策略的事件数量 列出每个策略生成的事件数量。您可以点击该列,对列表进行排序,以便重点关注违规/事件最多的策略。
排除项 列出添加到每个策略的排除项的数量。有关更多信息,请参阅“事件”。

查看策略详细信息

策略的“策略详细信息”页面显示关于该策略的更多详细信息。此页面列出了该策略触发的所有策略条件和事件。

若要打开特定策略的“策略详细信息”屏幕,请执行以下操作:

  1. 在“策略”页面上,选择所需的策略。

  2. 从“操作”下拉框中选择“查看”。

    此时会显示所选策略的“策略详细信息”屏幕。

    注意:您还可以通过右键单击相关策略访问“操作”菜单。

    “策略详细信息”页面包含以下元素:

    • 标题栏:显示策略的名称、类型和类别。此页面还有一个用于启用/禁用策略的切换开关,以及一个可用操作(“编辑”、“复制”和“删除”)的下拉列表。

    • “详细信息”选项卡:显示这些部分中有关策略配置的详细信息:

      • 策略定义:显示所有策略条件。根据策略类型,这包括所有相关字段。

      • 策略操作:显示事件通知的严重程度级别和目标(Syslog、电子邮件)。此外还会显示“在策略命中后生成快照”功能是否已激活。

      • 常规:显示策略的类别和状态。

    • 触发的事件:显示此策略触发的事件的列表。它还显示有关事件中涉及的资产和事件性质的详细信息。此选项卡中显示的信息与“事件”页面上显示的信息相同,只不过此选项卡仅显示指定策略的事件。有关事件信息的说明,请参阅“查看事件”。

      排除项”选项卡:如果某项策略针对不造成安全威胁的特定情况生成事件,则可以从该策略中排除这些情况(即停止针对这些特定情况生成事件)。您可以在“事件”页面添加排除项,详情请参阅“事件”。“排除项”选项卡显示应用到此策略的所有排除项,并针对每个排除项显示特定的排除条件。您可以通过此选项卡删除排除项,以便系统能够针对指定条件重新生成事件。