事件

事件”选项卡显示 OT Security 插件检测到的网络中涉及资产的事件的详细列表。可以通过调整要显示的列以及各列的位置来自定义显示设置。可根据不同类别(例如事件类型、严重程度、策略名称)对事件进行分组。还可以对事件列表进行排序和筛选,也可以搜索文本。有关自定义功能的说明,请参阅“管理控制台用户界面元素”。

屏幕底部显示有关所选事件的详细信息,并分为多个选项卡。系统仅显示与所选事件的事件类型相关的选项卡。有关事件的更多信息,请参阅“事件”。

窗格顶部有一个“操作”按钮,该按钮便于针对所选事件执行以下操作:

  • 解决:将此事件标记为“已解决”。

  • 下载 PCAP:下载此事件的 PCAP 文件。

  • 排除:为此事件创建策略排除项。

有关这些操作的详细信息,请参阅“事件”一章。

下表介绍了针对每个事件列表显示的信息:

参数 说明
日志 ID 系统生成的用于参考事件的 ID。
时间 事件发生的日期和时间。
事件类型 说明触发事件的活动类型。事件由在系统中设置的策略生成。有关各种策略的说明,请参阅“策略类型”。
严重程度

显示事件的严重程度级别。以下是可能值的说明:

  • 无:无需关注。

  • 信息:无需立即关注。应在方便时检查。

  • 警告:已发生潜在危害活动,需适度关注。应在方便时予以处理。

  • 严重:已发生潜在危害活动,需高度关注。应立即处理。

策略名称 生成事件的策略的名称。该名称是指向策略列表的链接。
源资产 发起事件的资产的名称。此字段是指向资产清单的链接。
源地址 发起事件的资产的 IP 或 MAC。
源地址 发起事件的资产的 IP 或 MAC。
目标资产 受事件影响的资产的名称。此字段是指向资产清单的链接。
目标地址 受事件影响的资产的 IP 或 MAC。
协议 协议会在相关时显示用于生成此事件的对话的协议。
事件类别

显示事件的一般类别。

注意:所有类型的事件会在“所有事件”屏幕上显示。每个特定的“事件”屏幕仅显示指定类别的事件。

以下是事件类别的简要说明(有关更加详细的说明,请参阅“策略类别和子类别”):

  • 配置事件:这包括两个子类别

  • 控制器验证事件:这些策略检测网络中的控制器发生的变更。

  • 控制器活动事件:活动策略与网络中发生的活动(即在网络中的资产之间实施的“命令”)相关。

  • SCADA 事件:识别控制器数据平面变更的策略。

  • 网络威胁事件:这些策略识别表示入侵威胁的网络流量。

  • 网络事件:这些策略与网络中的资产以及资产之间的通信流有关。

状态 显示事件是否已被标记为“已解决”。
解决者 对于已解决的事件,显示哪个用户将该事件标记为“已解决”。
解决日期 对于已解决的事件,显示何时将该事件标记为“已解决”。
注释 显示解决事件时添加的任何注释。