查看策略
“策略”屏幕列出了系统中的所有已配置的策略。在每个策略类别的单独选项卡下对这些列表进行了分组。此页面上同时列出了预配置的策略和用户定义的策略。每个策略均包含一个显示策略当前状态的切换开关,以及指示策略配置的多个参数。
可以显示/隐藏列,并对资产列表进行排序和筛选,同时搜索关键字。有关定制列表的信息,请参阅“管理控制台用户界面元素”。
下表中介绍了策略参数:
| 参数 | 描述 |
|---|---|
| 状态 | 显示策略是打开还是关闭。如果系统由于生成过多事件而自动禁用该策略,则会在切换开关旁边显示一个警告图标。切换状态开关,以打开/关闭某个策略。 |
| 策略 ID | 系统中策略的唯一标识符。策略 ID 按类别分组,每个类别都具有不同的前缀。例如,P1 代表控制器活动,P2 代表网络事件,等等。 |
| 名称 | 策略的名称。 |
| 严重程度 | 事件的严重程度。可能的值为:无、低危、中危或高危。有关严重程度级别的说明,请参阅严重程度级别部分。 |
| 事件类型 | 触发此事件策略的特定事件类型。 |
| 类别 | 触发此事件策略的事件类型的常规类别。可能的值为:配置、SCADA、网络威胁或网络事件。有关各种类别的说明,请参阅“策略类别和子类别”。 |
| 源 | 策略条件。应用策略的源资产组/网段(即发起活动的资产)。 |
| 目标资产/受影响的资产 | 策略条件。应用策略的目标资产组/网络区段(即收到活动的资产)。对于涉及单一资产(无源和目标)的策略,此参数会显示受事件影响的资产。 |
| 计划 | 策略条件。策略适用的时间范围。 |
| Syslog | 记录此策略的事件的 Syslog 服务器 (SIEM)。 |
| 电子邮件 | 电子邮件组向此策略发送事件通知。 |
| 子类别 | 事件的子类别。“配置事件”类别包含子类别“控制器活动”和“控制器验证”。如需了解关于不同子类别的信息,请参阅“查看策略”。 |
| 每个策略的事件数量 | 列出每个策略生成的事件数量。您可以点击该列,对列表进行排序,以便重点关注违规/事件最多的策略。 |
| 排除项 | 列出添加到每个策略的排除项的数量。有关更多信息,请参阅“事件”。 |
查看策略详细信息
策略的“策略详细信息”页面显示关于该策略的更多详细信息。此页面列出了该策略触发的所有策略条件和事件。
若要打开特定策略的“策略详细信息”屏幕,请执行以下操作:
-
在“策略”页面上,选择所需的策略。
-
从“操作”下拉框中选择“查看”。
此时会显示所选策略的“策略详细信息”屏幕。
注意:您还可以通过右键单击相关策略访问“操作”菜单。
“策略详细信息”页面包含以下元素:
-
标题栏:显示策略的名称、类型和类别。此页面还有一个用于启用/禁用策略的切换开关,以及一个可用操作(“编辑”、“复制”和“删除”)的下拉列表。
-
“详细信息”选项卡:显示这些部分中有关策略配置的详细信息:
-
策略定义:显示所有策略条件。根据策略类型,这包括所有相关字段。
-
策略操作:显示事件通知的严重程度级别和目标(Syslog、电子邮件)。此外还会显示“在策略命中后生成快照”功能是否已激活。
-
常规:显示策略的类别和状态。
-
-
触发的事件:显示此策略触发的事件的列表。它还显示有关事件中涉及的资产和事件性质的详细信息。此选项卡中显示的信息与“事件”页面上显示的信息相同,只不过此选项卡仅显示指定策略的事件。有关事件信息的说明,请参阅“查看事件”。
“排除项”选项卡:如果某项策略针对不造成安全威胁的特定情况生成事件,则可以从该策略中排除这些情况(即停止针对这些特定情况生成事件)。您可以在“事件”页面添加排除项,详情请参阅“事件”。“排除项”选项卡显示应用到此策略的所有排除项,并针对每个排除项显示特定的排除条件。您可以通过此选项卡删除排除项,以便系统能够针对指定条件重新生成事件。
-
