Richtlinien erstellen

Sie können benutzerdefinierte Richtlinien basierend auf den spezifischen Überlegungen für Ihr ICS-Netzwerk erstellen. Sie können genau bestimmen, auf welche Art von Ereignissen Ihre Mitarbeiter aufmerksam gemacht werden müssen und wie die Benachrichtigungen zugestellt werden. Bei der Bestimmung haben Sie völlige Flexibilität, wie spezifisch oder weit gefasst jede Richtlinie definieret werden soll.

Hinweis: Richtlinien werden mithilfe von Gruppen definiert, die in Ihrem System konfiguriert sind. Wenn die Dropdown-Liste für einen bestimmten Parameter nicht die spezifische Gruppierung enthält, auf die Sie die Richtlinie anwenden möchten, können Sie eine neue Gruppe entsprechend Ihren Anforderungen erstellen. Siehe Gruppen.

Wenn Sie eine neue Richtlinie erstellen, wählen Sie zunächst die Kategorie und den Typ der Richtlinie aus, die Sie erstellen möchten. Der Assistent zum Erstellen von Richtlinien führt Sie durch den Einrichtungsvorgang. Jeder Richtlinientyp hat seinen eigenen Satz relevanter Parameter für Richtlinienbedingungen. Der Assistent zum Erstellen von Richtlinien zeigt Ihnen die relevanten Parameter für Richtlinienbedingungen für den ausgewählten Richtlinientyp an.

Für die Parameter „Quelle“, „Ziel“ und „Zeitplan“ können Sie festlegen, ob die angegebene Gruppe auf die Zulassungsliste oder die Sperrliste gesetzt werden soll.

  • Wählen Sie Einschließen aus, um die angegebene Gruppe auf die Zulassungsliste zu setzen (d. h. sie in die Richtlinie aufzunehmen), ODER

  • Wählen Sie Ausschließen aus, um die angegebene Gruppe auf die Sperrliste zu setzen (d. h. sie aus der Richtlinie herauszulassen).

Für Asset-Gruppen- und Netzwerksegmentparameter (d. h. „Quelle“, „Ziel“ und „Betroffene Assets“) können Sie logische Operatoren (Und/Oder) verwenden, um die Richtlinie auf verschiedene Kombinationen oder Teilmengen Ihrer vordefinierten Gruppen anzuwenden. Wenn Sie beispielsweise möchten, dass eine Richtlinie auf jedes Gerät angewendet wird, das entweder ein ICS-Gerät oder ein ICS-Server ist, wählen Sie ICS-Geräte oder ICS-Server aus. Wenn eine Richtlinie nur für Controller gelten soll, die sich in Werk A befinden, wählen Sie „Controller“ und „Geräte Werk A“ aus.

Wenn Sie eine neue Richtlinie mit ähnlichen Parametern wie eine vorhandene Richtlinie erstellen möchten, können Sie die ursprüngliche Richtlinie duplizieren und die erforderlichen Änderungen vornehmen, siehe Abschnitt Richtlinien erstellen.

Hinweis: Wenn Sie nach dem Erstellen einer Richtlinie feststellen, dass die Richtlinie Ereignisse für Situationen generiert, die keine Aufmerksamkeit erfordern, können Sie bestimmte Bedingungen aus der Richtlinie ausschließen, siehe Ereignisse.

So erstellen Sie eine neue Richtlinie:

  1. Klicken Sie im Bildschirm Richtlinien auf Richtlinie erstellen.

    Der Assistent Richtlinie erstellen wird geöffnet.

  2. Klicken Sie auf eine Richtlinienkategorie, um die Unterkategorien und/oder Richtlinientypen anzuzeigen.

    Eine Liste aller Unterkategorien und/oder Typen, die in dieser Kategorie enthalten sind, wird angezeigt.

  3. Wählen Sie einen Richtlinientyp aus.

  4. Klicken Sie auf Weiter.

    Eine Reihe von Parametern zum Definieren der Richtlinie werden angezeigt. Alle relevanten Richtlinienbedingungen für den ausgewählten Richtlinientyp sind darin enthalten.

  5. Geben Sie im Feld Richtlinienname einen Namen für diese Richtlinie ein.

    Hinweis: Wählen Sie einen Namen aus, der die spezifische Art des Ereignistyps beschreibt, den die Richtlinie erkennen soll.

  6. Führen Sie für jeden Parameter die folgenden Schritte aus:

    Wichtig: Für IDS-Ereignisse (Intrusion Detection System, Angriffserkennungssystem) können die Asset-Gruppen Quelle und Ziel nicht bearbeitet werden.

    1. Wählen Sie gegebenenfalls Einschließen (Standard) aus, um das ausgewählte Element auf die Zulassungsliste zu setzen, oder „Ausschließen“, um das ausgewählte Element auf die Sperrliste zu setzen.

    2. Klicken Sie auf Auswählen.

      Eine Dropdown-Liste relevanter Elemente (z. B. Asset-Gruppe, Netzwerksegment, Port-Gruppe, Planungsgruppe usw.) wird angezeigt.

    3. Wählen Sie das gewünschte Element aus.

      Hinweis: Wenn die genaue Gruppierung, auf die Sie die Richtlinie anwenden möchten, nicht vorhanden ist, können Sie eine neue Gruppe entsprechend Ihren Anforderungen erstellen, siehe Gruppen.

    4. Wenn Sie für Asset-Parameter (d. h. „Quelle“, „Ziel“ und „Betroffene Assets“) eine zusätzliche Asset-Gruppe/ein zusätzliches Netzwerksegment mit einer „Oder“-Bedingung hinzufügen möchten, klicken Sie auf die blaue Schaltfläche + Oder neben dem Feld und wählen Sie eine andere Asset-Gruppe/ein anderes Netzwerksegment aus.

    5. Wenn Sie für Asset-Parameter (d. h. „Quelle“, „Ziel“ und „Betroffene Assets“) eine zusätzliche Asset-Gruppe/ein zusätzliches Netzwerksegment mit einer „Und“-Bedingung hinzufügen möchten, klicken Sie auf die blaue Schaltfläche + Und neben dem Feld und wählen Sie eine andere Asset-Gruppe/ein anderes Netzwerksegment aus.

  7. Klicken Sie auf Weiter.

    Eine Reihe von Parametern für Richtlinienaktionen (d. h. die Aktionen, die vom System ausgeführt werden, wenn ein Richtlinientreffer auftritt) werden angezeigt.

  8. Klicken Sie im Abschnitt Schweregrad auf den gewünschten Schweregrad für diese Richtlinie.

  9. Wenn Sie Ereignisprotokolle an einen oder mehrere Syslog-Server senden möchten, aktivieren Sie im Abschnitt Syslog das Kontrollkästchen neben jedem Server, an den Sie die Ereignisprotokolle senden möchten.

    Hinweis: Informationen zum Hinzufügen eines Syslog-Servers finden Sie unter Syslog-Server.

  10. Wenn Sie E-Mail-Benachrichtigungen über Ereignisse senden möchten, wählen Sie im Feld „E-Mail-Gruppe“ in der Dropdown-Liste die zu benachrichtigende E-Mail-Gruppe aus.

    Hinweis: Informationen zum Hinzufügen eines SMTP-Servers finden Sie unter SMTP-Server.

  11. Im Abschnitt Zusätzliche Aktionen, wo die angegebene Aktion relevant ist:

    • Wenn Sie die Richtlinie nach dem ersten Richtlinientreffer deaktivieren möchten, aktivieren Sie das Kontrollkästchen Richtlinie nach erstem Treffer deaktivieren. (Diese Aktion ist für einige Typen von Netzwerkereignisrichtlinien und einige Typen von SCADA-Ereignisrichtlinien relevant.)

    • Wenn Sie jedes Mal einen automatischen Snapshot des betroffenen Assets initiieren möchten, wenn ein Richtlinientreffer erkannt wird, aktivieren Sie das Kontrollkästchen Snapshot nach Richtlinientreffer erstellen. (Diese Aktion ist für einige Typen von Richtlinien für Konfigurationsereignisse relevant.)

  12. Klicken Sie auf Erstellen. Die neue Richtlinie wird erstellt und automatisch aktiviert. Die Richtlinie wird in der Liste im Bildschirm „Richtlinien“ angezeigt.

Richtlinien für nicht autorisierte Schreibvorgänge erstellen

Dieser Richtlinientyp erkennt nicht autorisierte Schreibvorgänge für Controller-Tags. Die Richtliniendefinition umfasst die Angabe der relevanten Tag-Gruppen und des Schreibvorgangstyps, der einen Richtlinientreffer generiert.

So legen Sie die Richtliniendefinition für eine Richtlinie für nicht autorisierte Schreibvorgänge fest:

  1. Erstellen Sie eine neue Richtlinie für nicht autorisierte Schreibvorgänge, wie unter Richtlinien erstellen beschrieben.

  2. Wählen Sie im Abschnitt „Richtliniendefinition“ im Feld Tag-Gruppe die Tag-Gruppe aus, für die diese Richtlinie gilt.

  3. Wählen Sie im Abschnitt Tag-Wert die gewünschte Option aus, indem Sie auf das Optionsfeld klicken und die erforderlichen Felder ausfüllen. Verfügbare Optionen:

    • Beliebiger Wert – Wählen Sie diese Option aus, um Änderungen am Tag-Wert zu erkennen.

    • Abweichend von Wert – Wählen Sie diese Option aus, um einen anderen als den angegebenen Wert zu erkennen. Geben Sie den angegebenen Wert in das Feld neben dieser Auswahl ein.

    • Außerhalb des zulässigen Bereichs – Wählen Sie diese Option aus, um Werte außerhalb des angegebenen Bereichs zu erkennen. Geben Sie die Unter- und Obergrenze des zulässigen Bereichs in die entsprechenden Felder neben dieser Auswahl ein.

      Hinweis: Die Optionen „Abweichend von Wert“ und „Außerhalb des zulässigen Bereichs“ sind nur für Standard-Tag-Typen (z. B. Ganzzahl, Boolesch usw.) verfügbar, nicht jedoch für benutzerdefinierte Tags oder Zeichenfolgen.

  4. Führen Sie die Verfahren zur Erstellung von Richtlinien wie unter Richtlinien erstellen beschrieben durch.