Ereignisse

Auf der Registerkarte Ereignisse wird eine detaillierte Liste von Ereignissen im Netzwerk angezeigt, die das Asset betreffen und die von OT Security-Plugins erkannt wurden. Sie können die Anzeigeeinstellungen anpassen, indem Sie festlegen, welche Spalten angezeigt werden und wo die einzelnen Spalten positioniert sind. Die Ereignisse können nach verschiedenen Kategorien gruppiert werden (z. B. Ereignistyp, Schweregrad, Richtlinienname). Sie können die Ereignislisten auch sortieren und filtern sowie nach Text suchen. Eine Erläuterung der Anpassungsfunktionen finden Sie unter Elemente in der Benutzeroberfläche der Verwaltungskonsole.

Unten im Bildschirm werden auf verschiedenen Registerkarten detaillierte Informationen zum ausgewählten Ereignis angezeigt. Es werden nur Registerkarten angezeigt, die für den Ereignistyp des ausgewählten Ereignisses relevant sind. Weitere Informationen zu Ereignissen finden Sie unter Ereignisse.

Oben im Bereichs befindet sich eine Schaltfläche Aktionen, mit der Sie die folgende Aktion für die ausgewählten Ereignisse ausführen können:

  • Auflösen – Markieren Sie dieses Ereignis als „Aufgelöst“.

  • PCAP herunterladen – Laden Sie die PCAP-Datei für dieses Ereignis herunter.

  • Ausschließen – Erstellen Sie einen Richtlinienausschluss für dieses Ereignis.

Detaillierte Informationen zu diesen Aktionen finden Sie im Kapitel Ereignisse.

Die für die einzelnen Ereignislisten angezeigten Informationen werden in der folgenden Tabelle beschrieben:

Parameter Beschreibung
Protokoll-ID Die vom System generierte ID, um auf das Ereignis zu verweisen.
Uhrzeit Das Datum und die Uhrzeit des Ereignisses.
Ereignistyp Beschreibt die Art der Aktivität, die das Ereignis ausgelöst hat. Ereignisse werden von Richtlinien generiert, die im System eingerichtet sind. Eine Erläuterung der verschiedenen Arten von Richtlinien finden Sie unter Richtlinientypen.
Schweregrad

Zeigt den Schweregrad des Ereignisses an. Nachfolgend finden Sie eine Erläuterung zu den möglichen Werten:

  • Kein – Kein Grund zur Besorgnis.

  • Info – Kein unmittelbarer Grund zur Sorge. Sollte bei Gelegenheit geprüft werden.

  • Warnung – Moderate Bedenken, dass potenziell schädliche Aktivitäten stattgefunden haben. Sollte behandelt werden, wenn es passt.

  • Kritisch – Schwerwiegende Bedenken, dass potenziell schädliche Aktivitäten stattgefunden haben. Sollte sofort behandelt werden.
Richtlinienname Der Name der Richtlinie, die das Ereignis generiert hat. Der Name ist ein Link zur Richtlinienliste.
Quell-Asset Der Name des Assets, das das Ereignis initiiert hat. Dieses Feld ist ein Link zur Asset-Liste.
Quelladresse Die IP- oder MAC-Adresse des Assets, das das Ereignis initiiert hat.
Quelladresse Die IP- oder MAC-Adresse des Assets, das das Ereignis initiiert hat.
Ziel-Asset Der Name des Assets, das von dem Ereignis betroffen war. Dieses Feld ist ein Link zur Asset-Liste.
Zieladresse Die IP- oder MAC-Adresse des Assets, das von dem Ereignis betroffen war.
Protokoll Sofern relevant, wird hier das Protokoll angezeigt, das für die Konversation verwendet wurde, die dieses Ereignis ausgelöst hat.
Ereigniskategorie

Zeigt die allgemeine Kategorie des Ereignisses an.

HINWEIS: Im Bildschirm „Alle Ereignisse“ werden Ereignisse aller Typen angezeigt. Auf jedem der spezifischen Ereignisbildschirme werden nur Ereignisse der angegebenen Kategorie angezeigt.

Im Folgenden finden Sie eine kurze Erläuterung der Ereigniskategorien (für eine ausführlichere Erläuterung siehe Richtlinienkategorien und Unterkategorien):

  • Konfigurationsereignisse – Dies umfasst zwei Unterkategorien

  • Controller-Validierungsereignisse – Diese Richtlinien erkennen Änderungen, die in den Controllern im Netzwerk stattfinden.

  • Controller-Aktivitätsereignisse – Aktivitätsrichtlinien beziehen sich auf die Aktivitäten, die im Netzwerk stattfinden (d. h. die „Befehle“, die zwischen Assets im Netzwerk implementiert werden).

  • SCADA-Ereignisse – Richtlinien, die Änderungen identifizieren, die an der Datenebene von Controllern vorgenommen wurden.

  • Netzwerkbedrohungsereignisse – Diese Richtlinien identifizieren Netzwerk-Traffic, der auf Bedrohungen durch Eindringlinge hinweist.

  • Netzwerkereignisse – Richtlinien, die sich auf die Assets im Netzwerk und die Kommunikationsströme zwischen Assets beziehen.
Status Zeigt an, ob das Ereignis als aufgelöst markiert wurde oder nicht.
Aufgelöst von Zeigt für aufgelöste Ereignisse an, welcher Benutzer das Ereignis als aufgelöst markiert hat.
Aufgelöst am Zeigt für aufgelöste Ereignisse an, wann das Ereignis als aufgelöst markiert wurde.
Kommentar Zeigt alle Kommentare an, die hinzugefügt wurden, als das Ereignis aufgelöst wurde.