创建策略排除项
如果某项策略针对不造成安全威胁的特定情况生成事件,则可以从该策略中排除这些情况(即停止针对这些特定情况生成事件)。例如,如果策略检测到 Workday 使用期间发生的控制器状态变更,但确定特定控制器的状态在这些时间段内出现变更是正常的,则可以从策略中排除该控制器。
您可以根据策略生成的事件通过“事件”页面创建排除项。您可以指定要从策略中排除的特定事件的条件。
如果要在后期恢复为指定的条件生成事件,则可以删除排除项,请参阅“策略”。
若要创建策略排除项,请执行以下操作:
-
在相关“事件”页面(“配置事件”、“SCADA 事件”、“网络威胁”或“网络事件”)中,选择要为其创建排除项的事件。
-
在标题栏中,单击“操作”或右键单击该事件。
此时会出现“操作”菜单。
-
单击“从策略中排除”。
此时会打开“从策略中排除”窗口。
-
在“排除条件”部分中,默认情况下会选择所有条件。
这会导致具有任何指定条件的事件被排除在策略之外。您可以取消选中要继续为其生成事件的每个条件旁的复选框。
注意:举例来说,在下面显示的窗口中,如果要从此策略中排除指定的源和目标资产及 IP,但要继续将此策略应用到网络中其他资产之间的 UDP 对话,则应取消选择“协议即 UDP”。注意:可排除的条件因策略类型而异,具体请参阅下表。
-
在“排除项说明”框中,可以添加关于排除项的注释(可选)。
-
单击“排除”。
OT Security 会创建排除项。
下表显示了可用于每种事件类型的排除条件。
策略类别 事件类型 排除条件 控制器活动 配置事件(活动) -
源资产
-
源 IP
-
目标资产
-
目标 IP
控制器验证 密钥状态变更 源资产
控制器状态变更 源资产 固件版本变更 源资产 模块未出现 源资产 快照不匹配 源资产 网络 资产未出现 源资产 USB 配置变更 -
源资产
-
USB 设备 ID
IP 冲突 -
MAC 地址
-
IP 地址
网络基线偏差 -
源资产
-
源 IP
-
目标资产
-
目标 IP
-
协议
已打开的端口 -
源资产
-
源 IP
-
端口
RDP 连接 -
源资产
-
源 IP
-
目标资产
-
目标 IP
未经授权的对话 -
源资产
-
源 IP
-
目标资产
-
目标 IP
-
协议
FTP 登录(失败和成功) -
源资产
-
源 IP
-
目标资产
-
目标 IP
Telnet 登录(尝试、失败和成功) -
源资产
-
源 IP
-
目标资产
-
目标 IP
网络威胁 入侵检测 -
源资产
-
源 IP
-
目标资产
-
目标 IP
-
SID
ARP 扫描 -
源资产
-
源 IP
端口扫描 -
源资产
-
源 IP
SCADA Modbus 非法数据地址 -
源资产
-
源 IP
-
目标资产
-
目标 IP
Modbus 非法数据值 -
源资产
-
源 IP
-
目标资产
-
目标 IP
Modbus 非法函数 -
源资产
-
源 IP
-
目标资产
-
目标 IP
未经授权的写入 -
源资产
-
目标资产
-
标签名称
IEC60870-5-104 StartDT
IEC60870-5-104 StopDT
-
源资产
-
源 IP
-
目标资产
-
目标 IP
基于 IEC60870-5-104 函数代码的事件 -
源资产
-
源 IP
-
目标资产
-
目标 IP
-
COT
DNP3 事件 -
源资产
-
源 IP
-
目标资产
-
目标 IP
-
源 DNP3 地址
-
目标 DNP3 地址
-