创建策略排除项

如果某项策略针对不造成安全威胁的特定情况生成事件,则可以从该策略中排除这些情况(即停止针对这些特定情况生成事件)。例如,如果策略检测到 Workday 使用期间发生的控制器状态变更,但确定特定控制器的状态在这些时间段内出现变更是正常的,则可以从策略中排除该控制器。

您可以根据策略生成的事件通过“事件”页面创建排除项。您可以指定要从策略中排除的特定事件的条件。

如果要在后期恢复为指定的条件生成事件,则可以删除排除项,请参阅“策略”。

若要创建策略排除项,请执行以下操作:

  1. 在相关“事件”页面(“配置事件”、“SCADA 事件”、“网络威胁”或“网络事件”)中,选择要为其创建排除项的事件。

  2. 在标题栏中,单击“操作”或右键单击该事件。

    此时会出现“操作”菜单。

  3. 单击“从策略中排除”。

    此时会打开“从策略中排除”窗口。

  4. 在“排除条件”部分中,默认情况下会选择所有条件。

    这会导致具有任何指定条件的事件被排除在策略之外。您可以取消选中要继续为其生成事件的每个条件旁的复选框。

    注意:举例来说,在下面显示的窗口中,如果要从此策略中排除指定的源和目标资产及 IP,但要继续将此策略应用到网络中其他资产之间的 UDP 对话,则应取消选择“协议即 UDP”。

    注意:可排除的条件因策略类型而异,具体请参阅下表。

  5. 在“排除项说明”框中,可以添加关于排除项的注释(可选)。

  6. 单击“排除”。

    OT Security 会创建排除项。

    下表显示了可用于每种事件类型的排除条件。

    策略类别 事件类型 排除条件
    控制器活动 配置事件(活动)
    • 源资产

    • 源 IP

    • 目标资产

    • 目标 IP

    控制器验证 密钥状态变更

    源资产

      控制器状态变更 源资产
      固件版本变更 源资产
      模块未出现 源资产
      快照不匹配 源资产
    网络 资产未出现 源资产
      USB 配置变更
    • 源资产

    • USB 设备 ID

      IP 冲突
    • MAC 地址

    • IP 地址

      网络基线偏差
    • 源资产

    • 源 IP

    • 目标资产

    • 目标 IP

    • 协议

      已打开的端口
    • 源资产

    • 源 IP

    • 端口

      RDP 连接
    • 源资产

    • 源 IP

    • 目标资产

    • 目标 IP

      未经授权的对话
    • 源资产

    • 源 IP

    • 目标资产

    • 目标 IP

    • 协议

      FTP 登录(失败和成功)
    • 源资产

    • 源 IP

    • 目标资产

    • 目标 IP

      Telnet 登录(尝试、失败和成功)
    • 源资产

    • 源 IP

    • 目标资产

    • 目标 IP

    网络威胁 入侵检测
    • 源资产

    • 源 IP

    • 目标资产

    • 目标 IP

    • SID

      ARP 扫描
    • 源资产

    • 源 IP

      端口扫描
    • 源资产

    • 源 IP

    SCADA Modbus 非法数据地址
    • 源资产

    • 源 IP

    • 目标资产

    • 目标 IP

      Modbus 非法数据值
    • 源资产

    • 源 IP

    • 目标资产

    • 目标 IP

      Modbus 非法函数
    • 源资产

    • 源 IP

    • 目标资产

    • 目标 IP

      未经授权的写入
    • 源资产

    • 目标资产

    • 标签名称

     

    IEC60870-5-104 StartDT

    IEC60870-5-104 StopDT

    • 源资产

    • 源 IP

    • 目标资产

    • 目标 IP

      基于 IEC60870-5-104 函数代码的事件
    • 源资产

    • 源 IP

    • 目标资产

    • 目标 IP

    • COT

      DNP3 事件
    • 源资产

    • 源 IP

    • 目标资产

    • 目标 IP

    • 源 DNP3 地址

    • 目标 DNP3 地址