策略违规

使用“策略违规”页面查看与同一策略、源和目标关联的所有事件。页面上的每个发现结果汇总了命中同一策略且源地址与目标地址一致的多个事件。

要访问“策略违规”页面,请执行以下操作:

  1. 在左侧导航菜单中,单击“风险”>“发现结果”。

    此时会出现“发现结果”页面。

  2. 单击“策略违规”选项卡。

    此时会出现“策略违规”页面,其中包含事件列表。

    策略违规”选项卡包含以下详细信息:

    描述
    ID 违规问题的 ID。
    状态 违规问题的状态:“活动”、“重现”或“已解决”。
    严重程度 违规问题的严重性:“高危”、“中危”或“低危”。
    违规类型 违规问题的类型。例如,未经授权的对话和入侵检测。
    违规类别 违规问题类型所属的类别。
    策略 导致违规问题的策略。
    插件名称 与违规问题关联的插件。
    Mitre ICS 策略 工业控制系统 (ICS) 采用特定 Mitre 攻击技术背后的原因或“缘由”。
    Mitre ICS 技术 攻击者实现策略目标的方法或“方式”。
    源资产 出现违规问题的资产。
    源 IP 源资产的 IP 地址。
    目标资产 违规问题终止时所涉及的资产。
    目标 IP 目标资产的 IP 地址。
    协议 与违规问题关联的协议。
    首次命中 首次检测到违规问题的时间。
    最后命中 最后检测到违规问题的时间。
    活跃命中 导致违规问题的事件数量。
    资产类型 检测到违规问题的资产类型。
    资产重要性 资产的重要性。
    资产供应商 与资产关联的供应商。
    资产系列 资产所属的系列。
    资产标签 与资产关联的标签。
    普渡层 资产的普渡层。
    资产位置 资产所在的区域。
    解决日期 解决违规问题的日期。
    解决者 解决违规问题的用户。
    注释 用户在解决违规问题时添加的注释。

  3. (可选)您可以在“违规”页面上执行以下操作:

    • 按照 自定义表格 中的说明自定义列。

    • 筛选发现结果表。请参阅“筛选表”。

    • 以 CSV 格式导出数据。

    • 使用“操作”菜单执行以下操作:

        • 要解决发现结果,请执行以下操作:

          1. 选择发现结果所在的行,然后单击“操作”>“解决”。

            此时会出现“解决”面板。

          2. 输入关于解决发现结果的注释。

          3. 单击“保存”。

            OT Security 解决了发现结果,并且“插件详细信息”面板上的状态显示为“已解决”。

            注意:如果事件再次发生,OT Security 会重新打开发现结果,并且状态显示为“重现”。

        • 要从策略中排除发现结果,请执行以下操作:

          1. 选择发现结果所在的行,然后单击“操作”>“从策略中排除”。

            此时会出现“从策略中排除”面板。

          2. 选择“排除条件”。

            注意:排除条件基于最近发生的事件。

          3. 提供“排除项说明”。

          4. 单击“保存”。

            OT Security 会从策略中排除最近的事件。

        • 要下载上次的捕获文件,请执行以下操作:

          1. 选择发现结果所在的行,然后单击“操作”>“下载上次的捕获文件”。

            OT Security 会下载最近事件的捕获文件。

插件详细信息

要查看发现结果所对应的插件详细信息,请执行以下操作:

  1. 在“策略违规”选项卡中,单击发现结果所在的行以查看其插件详细信息。

    此时会出现插件详细信息面板,其中包含来自 OT Security 插件页面的违规详细信息。

    该面板在四个单独的选项卡中显示违规的详细信息:“详细信息”、“来源”、“目标”和“策略”。

搜索事件

要搜索导致违规问题的特定事件,请执行以下操作:

  1. 要查找特定发现结果的事件,请单击“ 复制发现结果 ID”。

  2. 要转至“事件”页面,请单击“完整事件日志 ”链接。

    此时会出现“所有事件”页面。

  3. 在“搜索”框中,粘贴您之前复制的“发现结果 ID”。

    OT Security 会列出特定发现结果的事件。