Richtlinien anzeigen
Im Bildschirm Richtlinien werden alle konfigurierten Richtlinien in Ihrem System aufgeführt. Die Listen sind für jede Richtlinienkategorie auf separaten Registerkarten gruppiert. Auf dieser Seite werden sowohl vorkonfigurierte Richtlinien als auch benutzerdefinierte Richtlinien aufgelistet. Für jede Richtlinie gibt es einen Umschalter, der den aktuellen Status der Richtlinie anzeigt, sowie mehrere Parameter, die die Richtlinienkonfiguration angeben.
Sie können Spalten ein- und ausblenden und die Asset-Listen sortieren und filtern sowie nach Schlüsselwörtern suchen. Informationen zum Anpassen der Liste finden Sie unter Elemente in der Benutzeroberfläche der Verwaltungskonsole.
In der folgenden Tabelle werden die Richtlinienparameter beschrieben:
Parameter | Beschreibung |
---|---|
Status | Zeigt an, ob die Richtlinie aktiviert oder deaktiviert ist. Wenn das System die Richtlinie automatisch deaktiviert hat, weil sie zu viele Ereignisse generiert hat, wird ein Warnsymbol neben dem Umschalter angezeigt. Schalten Sie den Status-Schalter um, um eine Richtlinie zu aktivieren/deaktivieren. |
Richtlinien-ID | Ein eindeutiger Bezeichner für die Richtlinie im System. Richtlinien-IDs sind nach Kategorie gruppiert, mit einem anderen Präfix für jede Kategorie. Zum Beispiel P1 für Controller-Aktivitäten, P2 für Netzwerkereignisse usw. |
Name | Der Name der Richtlinie. |
Schweregrad | Der Schweregrad des Ereignisses. Mögliche Werte sind: Kein, Gering, Mittel oder Hoch. Eine Beschreibung der Schweregrade finden Sie im Abschnitt Schweregrade. |
Ereignistyp | Der spezifische Ereignistyp, der diese Ereignisrichtlinie auslöst. |
Kategorie | Die allgemeine Kategorie für den Ereignistyp, der diese Ereignisrichtlinie auslöst. Mögliche Werte sind: Konfiguration, SCADA, Netzwerkbedrohungen oder Netzwerkereignis. Weitere Informationen zu den verschiedenen Kategorien finden Sie unter Kategorien und Unterkategorien von Richtlinien. |
Quelle | Eine Richtlinienbedingung. Die Quell-Asset-Gruppe/das Quell-Netzwerksegment (d. h. das Asset, das die Aktivität initiiert hat), für die bzw. das die Richtlinie gilt. |
Ziel-Asset/Betroffenes Asset | Eine Richtlinienbedingung. Die Ziel-Asset-Gruppe/das Ziel-Netzwerksegment (d. h. das Asset, das die Aktivität erhält), für die bzw. das die Richtlinie gilt. Bei Richtlinien, die ein einzelnes Asset betreffen (ohne Quelle und Ziel), zeigt dieser Parameter das Asset an, das von dem Ereignis betroffen ist. |
Zeitplan | Eine Richtlinienbedingung. Der Zeitraum, für den die Richtlinie gilt. |
Syslog | Der Syslog-Server (SIEM), auf dem Ereignisse für diese Richtlinie protokolliert werden. |
Die E-Mail-Gruppe, die die Ereignisbenachrichtigungen für diese Richtlinie sendet. | |
Unterkategorie | Die Unterkategorieklassifizierung des Ereignisses. Die Kategorie „Konfigurationsereignisse“ setzt sich aus den folgenden Unterkategorien zusammen: „Controller-Aktivitäten“ und „Controller-Validierung“. Informationen zu den verschiedenen Unterkategorien finden Sie unter Richtlinien anzeigen. |
Anzahl der Ereignisse pro Richtlinie | Listet die Anzahl der Ereignisse auf, die von jeder Richtlinie generiert werden. Sie können auf die Spalte klicken, um die Liste zu sortieren, sodass Sie sich auf die Richtlinien mit den meisten Verstößen/Ereignissen konzentrieren können. |
Ausschlüsse | Listet die Anzahl der Ausschlüsse auf, die jeder Richtlinie hinzugefügt wurden. Weitere Informationen finden Sie unter Ereignisse. |
Richtliniendetails anzeigen
Sie können die Seite Richtliniendetails für eine Richtlinie öffnen, um weitere Details zur Richtlinie anzuzeigen. Auf dieser Seite werden alle Richtlinienbedingungen und -ereignisse aufgelistet, die durch die Richtlinie ausgelöst wurden.
So öffnen Sie den Bildschirm Richtliniendetails für eine bestimmte Richtlinie:
-
Wählen Sie auf der Seite Richtlinien die gewünschte Richtlinie aus.
-
Wählen Sie im Dropdown-Feld Aktionen die Option Anzeigen aus.
Der Bildschirm „Richtliniendetails“ für die ausgewählte Richtlinie wird angezeigt.
Hinweis: Alternativ können Sie das Menü „Aktionen“ aufrufen, indem Sie mit der rechten Maustaste auf die entsprechende Richtlinie klicken.
Die Seite „Richtliniendetails“ enthält die folgenden Elemente:
-
Kopfleiste – Zeigt Namen, Typ und Kategorie der Richtlinie an. Die Seite enthält außerdem einen Umschalter zum Aktivieren und Deaktivieren der Richtlinie und eine Dropdown-Liste der verfügbaren Aktionen (Bearbeiten, Duplizieren und Löschen).
-
Registerkarte „Details“ – Zeigt Details zur Richtlinienkonfiguration in den folgenden Abschnitten an:
-
Richtliniendefinition – Zeigt alle Richtlinienbedingungen an. Dies umfasst alle relevanten Felder gemäß dem Richtlinientyp.
-
Richtlinienaktionen – Zeigt den Schweregrad sowie das Ziel (Syslog, E-Mail) von Ereignisbenachrichtigungen an. Zeigt auch an, ob die Funktion Snapshot nach Richtlinientreffer erstellen aktiviert ist.
-
Allgemein – Zeigt die Kategorie und den Status der Richtlinie an.
-
-
Ausgelöste Ereignisse – Zeigt eine Liste von Ereignissen an, die von dieser Richtlinie ausgelöst wurden. Außerdem werden Details zu den an dem Ereignis beteiligten Assets und die Art des Ereignisses angezeigt. Die auf dieser Registerkarte angezeigten Informationen sind identisch mit den Informationen auf der Seite Ereignisse, außer dass auf dieser Registerkarte nur Ereignisse für die angegebene Richtlinie angezeigt werden. Eine Erläuterung der Ereignisinformationen finden Sie unter Anzeigen von Ereignissen.
Registerkarte Ausschlüsse – Wenn eine Richtlinie Ereignisse für bestimmte Bedingungen generiert, die keine Sicherheitsbedrohung darstellen, können Sie diese Bedingungen von der Richtlinie ausschließen (d. h. keine Ereignisse mehr für diese bestimmten Bedingungen generieren). Ausschlüsse können auf der Seite Ereignisse hinzugefügt werden, siehe Ereignisse. Auf der Registerkarte Ausschlüsse werden alle Ausschlüsse angezeigt, die für diese Richtlinie gelten. Für jeden Ausschluss werden außerdem die spezifischen ausgeschlossenen Bedingungen angegeben. Auf dieser Registerkarte können Sie einen Ausschluss löschen, was es dem System ermöglicht, die Generierung von Ereignissen für die angegebenen Bedingungen fortzusetzen.
-