创建策略
您可以根据 ICS 网络的特定注意事项创建自定义策略。您可以准确确定必须提请工作人员注意的事件类型以及发送通知的方式。您可以完全灵活地确定要为每个策略提供的定义的具体程度或广泛程度。
注意:可以使用系统中配置的组来定义策略。如果某个参数的下拉列表未出现要应用策略的特定分组,则可以根据需要创建新组,详情请参阅“组”。
创建新策略时,首先选择要创建的策略的“类别”和“类型”。“创建策略”向导将指导您完成设置过程。每个策略类型都有其专属相关策略条件参数集。“创建策略”向导会显示所选策略类型的相关策略条件参数。
对于“源”、“目标”和“计划”参数,可以指定将指定的组列入允许列表还是阻止列表。
-
选择“位于其中”,以将指定的组列入允许列表(即将其包含在策略中),或
-
选择“不在其中”,以将指定的组列入阻止列表(即将其排除在策略之外)。
对于“资产组”和“网段”参数(即“源”、“目标”和“受影响的资产”),可以使用逻辑运算符( 与/或)将策略应用于预定义组的各种组合或子集。例如,若要将策略应用到 ICS 设备或 ICS 服务器,则选择“ICS 设备”或“ICS 服务器”。若要将策略仅应用到控制器(位于工厂 A 内),则选择“控制器”和“工厂 A 设备”。
如果要使用与现有策略类似的参数创建新策略,您可以复制原始策略并进行必要的更改,详情请参阅“创建策略”部分。
若要创建新策略,请执行以下操作:
-
在“策略”屏幕上,单击“创建策略”。
此时会打开“创建策略”向导。
-
单击“策略类别”以显示子类别和/或策略类型。
此时会显示该类别中包含的所有子类别和/或类型的列表。
-
选择策略类型。
-
单击“下一步”。
此时会显示一系列用于定义策略的参数。其中包括适用于所选策略类型的所有相关策略条件。
-
在“策略名称”字段中,为此策略输入一个名称。
注意:选择一个可以说明策略计划检测的事件类型的特定性质的名称。
-
对于每个参数:
重要提示:您无法编辑入侵检测系统 (IDS) 事件的“源”和“目标”资产组。-
如果相关,则选择“位于其中”(默认),以将所选元素列入允许列表,或选择“不在其中”,以将所选元素列入阻止列表。
-
单击“选择”。
此时会显示相关元素(例如资产组、网络区段、端口组、计划组等)的下拉列表。
-
选择所需的元素。
注意:如果要应用策略的精确分组不存在,则可以根据需要创建新组,详情请参阅“组”。 -
对于“资产”参数(即“源”、“目标”和“受影响的资产”),若想添加具有“或”条件的其他资产组/网段,请单击该字段旁的蓝色“+ 或”按钮并选择另一个资产组/网段。
-
对于“资产”参数(即“源”、“目标”和“受影响的资产”),若想添加具有“与”条件的其他资产组/网段,请单击该字段旁的蓝色“+ 与”按钮并选择另一个资产组/网段。
-
-
单击“下一步”。
此时会显示一系列“策略操作”参数(即发生策略命中时系统采取的操作)。
-
在严重程度部分,单击此策略所需的严重程度级别。
-
若想将事件日志发送到一个或多个 Syslog 服务器,请在 Syslog 部分选中要向其发送事件日志的每个服务器旁边的复选框。
注意:如要添加 Syslog 服务器,请参阅“Syslog 服务器”。
-
如果要发送事件的电子邮件通知,请在“电子邮件组”字段的下拉列表中选择接收通知的电子邮件组。
注意:如要添加 SMTP 服务器,请参阅“SMTP 服务器”。
-
在指定操作与之相关的“其他操作”部分中:
-
如果要在首次发生策略命中后禁用该策略,请选中“在第一次命中后禁用策略”复选框。(此操作与某些类型的网络事件策略和某些类型的 SCADA 事件策略相关。)
-
如果要在检测到策略命中时启动受影响资产的自动快照,请选择“策略命中后生成快照”复选框。(此操作与某些类型的配置事件策略相关。)
-
-
点击“创建”。新策略已创建并会自动激活。该策略显示在“策略”屏幕的列表中。
创建未经授权的写入策略
此类策略可检测对控制器标记未经授权的写入。策略定义涉及指定相关标签组和生成策略命中的写入类型。
若要设置未授权写入策略的策略定义,请执行以下操作:
