Richtlinienausschlüsse erstellen

Wenn eine Richtlinie Ereignisse für bestimmte Bedingungen generiert, die keine Sicherheitsbedrohung darstellen, können Sie diese Bedingungen von der Richtlinie ausschließen (d. h. keine Ereignisse mehr für diese bestimmten Bedingungen generieren). Ein Beispiel: Wenn eine Richtlinie Änderungen des Controller-Status erkennt, die während der Arbeitszeit auftreten, Sie jedoch feststellen, dass Statusänderungen während dieser Zeiten für einen bestimmten Controller normal sind, können Sie diesen Controller aus der Richtlinie ausschließen.

Sie können Ausschlüsse auf der Seite Ereignisse erstellen, basierend auf Ereignissen, die von Ihren Richtlinien generiert wurden. Sie können angeben, welche Bedingungen eines bestimmten Ereignisses Sie aus der Richtlinie ausschließen möchten.

Um die Generierung von Ereignissen für die angegebenen Bedingungen zu einem späteren Zeitpunkt fortzusetzen, können Sie den Ausschluss löschen, wie unter Richtlinien beschrieben.

So erstellen Sie einen Richtlinienausschluss:

  1. Wählen Sie auf der entsprechenden Seite für Ereignisse (Konfigurationsereignisse, SCADA-Ereignisse, Netzwerkbedrohungen oder Netzwerkereignisse) das Ereignis aus, für das Sie einen Ausschluss erstellen möchten.

  2. Klicken Sie in der Kopfleiste auf Aktionen oder klicken Sie mit der rechten Maustaste auf das Ereignis.

    Das Menü Aktionen wird geöffnet.

  3. Klicken Sie auf Aus Richtlinie ausschließen.

    Das Fenster Aus Richtlinie ausschließen wird geöffnet.

  4. Im Abschnitt Ausschlussbedingungen sind standardmäßig alle Bedingungen ausgewählt.

    Dies führt dazu, dass Ereignisse mit einer der angegebenen Bedingungen aus der Richtlinie ausgeschlossen werden. Sie können das Kontrollkästchen neben jeder Bedingung, für die weiterhin Ereignisse generiert werden sollen, deaktivieren.

    Hinweis: Wenn Sie beispielsweise im folgenden Fenster die angegebenen Quell- und Ziel-Assets und -IP-Adressen aus dieser Richtlinie ausschließen möchten, diese Richtlinie jedoch weiterhin auf UDP-Konversationen zwischen anderen Assets im Netzwerk angewendet werden soll, deaktivieren Sie die Bedingung „Protokoll ist UDP“.

    Hinweis: Welche Bedingungen ausgeschlossen werden können, hängt vom Richtlinientyp ab, siehe folgende Tabelle.

  5. (Optional) Im Feld Ausschlussbeschreibung können Sie einen Kommentar zum Ausschluss hinzufügen.

  6. Klicken Sie auf Ausschließen.

    OT Security erstellt den Ausschluss.

    Die folgende Tabelle zeigt die Bedingungen, die für die einzelnen Ereignistypen ausgeschlossen werden können.

    Richtlinienkategorie Ereignistyp Ausschließbare Bedingungen
    Controller-Aktivitäten Konfigurationsereignisse (Aktivitäten)
    • Quell-Asset

    • Quell-IP

    • Ziel-Asset

    • Ziel-IP

    Controller-Validierung Änderung des Schlüsselstatus

    Quell-Asset

      Änderung des Controller-Status Quell-Asset
      Änderung der FW-Version Quell-Asset
      Modul nicht gesehen Quell-Asset
      Snapshot-Konflikt Quell-Asset
    Netzwerk Asset nicht gesehen Quell-Asset
      Änderung der USB-Konfiguration
    • Quell-Asset

    • USB-Geräte-ID

      IP-Konflikt
    • MAC-Adressen

    • IP-Adresse

      Netzwerk-Baseline-Abweichung
    • Quell-Asset

    • Quell-IP

    • Ziel-Asset

    • Ziel-IP

    • Protokoll

      Offener Port
    • Quell-Asset

    • Quell-IP

    • Port

      RDP-Verbindung
    • Quell-Asset

    • Quell-IP

    • Ziel-Asset

    • Ziel-IP

      Nicht autorisierte Konversation
    • Quell-Asset

    • Quell-IP

    • Ziel-Asset

    • Ziel-IP

    • Protokoll

      FTP-Login (fehlgeschlagen und erfolgreich)
    • Quell-Asset

    • Quell-IP

    • Ziel-Asset

    • Ziel-IP

      Telnet-Login (Versuch, fehlgeschlagen und erfolgreich)
    • Quell-Asset

    • Quell-IP

    • Ziel-Asset

    • Ziel-IP

    Netzwerkbedrohung Intrusion Detection
    • Quell-Asset

    • Quell-IP

    • Ziel-Asset

    • Ziel-IP

    • SID

      ARP-Scan
    • Quell-Asset

    • Quell-IP

      Port-Scan
    • Quell-Asset

    • Quell-IP

    SCADA Unzulässige Modbus-Datenadresse
    • Quell-Asset

    • Quell-IP

    • Ziel-Asset

    • Ziel-IP

      Unzulässiger Modbus-Datenwert
    • Quell-Asset

    • Quell-IP

    • Ziel-Asset

    • Ziel-IP

      Unzulässige Modbus-Funktion
    • Quell-Asset

    • Quell-IP

    • Ziel-Asset

    • Ziel-IP

      Nicht autorisierter Schreibvorgang
    • Quell-Asset

    • Ziel-Asset

    • Tag-Name

     

    IEC60870-5-104 StartDT

    IEC60870-5-104 StopDT

    • Quell-Asset

    • Quell-IP

    • Ziel-Asset

    • Ziel-IP

      IEC60870-5-104 Funktionscode-basierte Ereignisse
    • Quell-Asset

    • Quell-IP

    • Ziel-Asset

    • Ziel-IP

    • COT

      DNP3-Ereignisse
    • Quell-Asset

    • Quell-IP

    • Ziel-Asset

    • Ziel-IP

    • DNP3-Quelladresse

    • DNP3-Zieladresse