策略

OT Security 包含用于定义网络中发生的可疑、未授权、异常或值得注意的特定事件类型的策略。当发生满足特定策略的所有策略定义条件的事件时,系统将生成事件。系统会记录事件,并且会根据为该策略配置的策略操作发出通知。

  • 基于策略的检测:会在满足由一系列事件描述符定义的策略的精确条件时触发事件。

  • 异常检测:当 OT Security 在网络中发现异常或可疑活动时触发事件。

OT Security 具有一组预定义的策略(开箱即用)。此外,您可以编辑预定义策略或定义新自定义策略。

注意:默认情况下,大多数策略处于开启状态。如要打开/关闭策略,请参阅“启用或禁用策略”。

策略配置

每个策略都包含一系列定义网络中特定行为类型的条件。这包括活动、涉及的资产和事件的时间安排等考虑因素。只有符合策略中设置的所有参数的事件才会触发该策略的事件。每个策略都有一个指定的策略操作配置,用于定义事件的严重程度、通知方法和日志记录。

OT Security 中策略定义的一个基本组件是使用组。配置策略时,每个策略参数均属于组,这与独立实体相反。这可以简化策略配置过程。例如,如果在一天中的特定时间(例如工作时间)在控制器上执行固件更新的活动被视为可疑活动,则不必为网络中的每个控制器创建单独的策略,创建适用于资产组控制器的单一策略即可。

策略配置使用以下类型的组:

  • 资产组:系统随附基于资产类型的预定义资产组。可以根据位置、部门、重要程度等其他因素添加自定义组。

  • 网段:系统根据资产类型和 IP 范围创建自动生成的网段。您可以创建自定义网段,定义任何具有类似通信模式的资产组。

  • 电子邮件组:对接收特定事件的电子邮件通知的多个电子邮件帐户进行分组。例如,按角色、部门等进行分组。

  • 端口组 :以类似方式使用的组端口。例如,在 Rockwell 控制器上开放的端口。

  • 协议组:按照协议类型(例如 Modbus)、制造商(例如 Rockwell 允许的协议)等对通信协议进行分组。

  • 计划组:将多个时间范围划分为一个具有某个共同特征的计划组。例如,工作时间、周末等。

  • 标签组:对各种控制器中包含类似操作数据的标签进行分组。例如,控制熔炉温度的标签。

  • 规则组:与组相关的规则,可通过其 Suricata 签名 ID (SID) 进行标识。这些组可以用作定义入侵检测策略的策略条件。

只能使用系统中已经配置的组来定义策略。系统提供一组预定义的组。您可以编辑这些组并添加专属组,详情请参阅“

注意:只能使用组设置策略参数,即使希望将某个策略应用于单个实体,也必须配置仅包含该实体的组。

严重程度级别

每个策略都分配有特定的严重程度级别,而该级别指示触发事件的情况所造成的风险程度。下表介绍了各种严重程度:

严重程度 描述
该事件无需关注。
没有立即予以关注。应在方便时检查。
适度关注,已发生潜在危害活动。应在方便时予以处理。
高度关注,已发生潜在危害活动。应立即处理。

事件通知

当发生满足某项策略的条件的事件时,系统中将生成事件。“事件”部分显示“所有事件”。“策略”页面在触发事件的策略下列出事件,“清单”页面在受影响的资产下列出事件。此外,您可将策略配置为使用 Syslog 协议向外部 SIEM 和/或向指定电子邮件收件人发送事件通知。

  • Syslog 通知:Syslog 消息使用包含标准密钥和自定义密钥(经过配置,可与 OT Security 一起使用)的 CEF 协议。有关如何解释 Syslog 通知的说明,请参阅“OT Security Syslog 集成指南”。

  • 电子邮件通知:电子邮件消息包含有关生成通知的事件的详细信息,以及缓解威胁的步骤。

策略类别和子类别

OT Security 按照以下类别整理策略:

  • 配置事件:这些策略与网络中发生的活动有关。共有两个子类别:

    • 控制器验证:这些策略与网络中的控制器发生的变更有关。这可能涉及控制器状态变更,以及固件、资产属性或代码块变更。可以限制策略用于特定计划(例如,工作日期间升级固件)和/或特定控制器。

    • 控制器活动:这些策略与影响控制器状态和配置的特定工程命令有关。可以定义始终生成事件的特定活动,或指定用于生成事件的一组标准。例如,在某些时间和/或在某些控制器上执行某些活动。支持将资产、活动和计划列入屏蔽列表和允许列表。

  • 网络事件:这些策略与网络中的资产以及资产之间的通信流有关。这包括添加到网络或从网络删除的资产。它还包括网络的异常流量模式,或已被标记为引起关注的流量模式。例如,如果工程站用于与控制器通信的协议不属于预配置协议组(例如,由特定供应商制造的控制器使用的协议),则会触发事件。这些策略可限制用于特定计划和/或特定资产。为方便起见,供应商会整理特定于供应商的协议,同时您可以在策略定义中使用任何协议。

  • SCADA 事件策略:这些策略会检测设定点值的变更(可能会危害工业过程)。这些变更可能是网络攻击或人为错误所致。

  • 网络威胁策略:这些策略使用基于签名的 OT 和 IT 威胁检测,来识别表示入侵威胁的网络流量。此类检测基于已在 Suricata 威胁引擎中编目的规则。

策略类型

每个类别和子类别内都包含一系列不同的策略类型。OT Security 包括每种类型的预定义策略。您还可以针对每种类型创建专属自定义策略。下表说明了按类别分组的各种策略类型。