Richtlinien

OT Security enthält Richtlinien, die bestimmte Arten von Ereignissen definieren, die verdächtig, nicht autorisiert, anormal oder anderweitig auffällig sind und im Netzwerk stattfinden. Wenn ein Ereignis eintritt, das alle Bedingungen der Richtliniendefinition für eine bestimmte Richtlinie erfüllt, generiert das System ein Ereignis. Das System protokolliert das Ereignis und sendet Benachrichtigungen gemäß den für die Richtlinien konfigurierten Richtlinienaktionen.

Richtlinienbasierte Erkennung – Löst ein Ereignis aus, wenn die genauen Bedingungen der Richtlinie, wie durch eine Reihe von Ereignisdeskriptoren definiert, erfüllt sind.
Anomalie-Erkennung – Löst Ereignisse aus, wenn OT Security anomale oder verdächtige Aktivitäten im Netzwerk erkennt.

OT Security verfügt über eine Reihe vordefinierter (sofort einsetzbarer) Richtlinien. Darüber hinaus können Sie die vordefinierten Richtlinien bearbeiten oder neue benutzerdefinierte Richtlinien definieren.

Hinweis: Standardmäßig sind die meisten Richtlinien aktiviert. Informationen zum Aktivieren/Deaktivieren von Richtlinien finden Sie unter Richtlinien aktivieren oder deaktivieren.

Richtlinienkonfiguration

Jede Richtlinie besteht aus einer Reihe von Bedingungen, die einen bestimmten Verhaltenstyp im Netzwerk definieren. Dazu gehören Überlegungen wie die Aktivität, die beteiligten Assets und der Zeitpunkt des Ereignisses. Nur ein Ereignis, das allen in der Richtlinie festgelegten Parametern entspricht, löst ein Ereignis für diese Richtlinie aus. Jede Richtlinie hat eine bestimmte Konfiguration für Richtlinienaktionen, die den Schweregrad, die Benachrichtigungsmethoden und die Protokollierung des Ereignisses definiert.

Gruppen

Eine wesentliche Komponente bei der Definition von Richtlinien in OT Security ist die Verwendung von Gruppen. Bei der Konfiguration einer Richtlinie gehört jeder Richtlinienparameter zu einer Gruppe, nicht zu einzelnen Entitäten. Dadurch wird der Prozess für die Richtlinienkonfiguration optimiert. Wenn beispielsweise die Aktivität „Firmware-Update“ als verdächtige Aktivität gilt, wenn sie zu bestimmten Tageszeiten (z. B. während der Arbeitszeit) auf einem Controller durchgeführt wird, können Sie statt einer separaten Richtlinie für jeden Controller in Ihrem Netzwerk eine einzige Richtlinie erstellen, die für die Asset-Gruppe „Controller“ gilt.

Für die Richtlinienkonfiguration werden die folgenden Arten von Gruppen verwendet:

Asset-Gruppen – Das System verfügt über vordefinierte Asset-Gruppen basierend auf dem Asset-Typ. Sie können benutzerdefinierte Gruppen hinzufügen, die auf anderen Faktoren wie Standort, Abteilung und Kritikalität basieren.
Netzwerksegmente – Das System erstellt automatisch generierte Netzwerksegmente basierend auf Asset-Typ und IP-Bereich. Sie können benutzerdefinierte Netzwerksegmente erstellen, die eine beliebige Gruppe von Assets mit ähnlichen Kommunikationsmustern definieren.
E-Mail-Gruppen – Gruppieren Sie mehrere E-Mail-Konten, die E-Mail-Benachrichtigungen für bestimmte Ereignisse erhalten. Sie können z. B. nach Rolle und Abteilung gruppieren.
Port-Gruppen – Gruppieren Sie Ports, die auf ähnliche Weise verwendet werden. Zum Beispiel Ports, die auf Rockwell-Controllern offen sind.
Protokollgruppen – Gruppieren Sie Kommunikationsprotokolle nach Protokolltyp (z. B. Modbus) oder Hersteller (z. B. von Rockwell zugelassene Protokolle).
Planungsgruppen – Gruppieren Sie mehrere Zeitbereiche als Planungsgruppe mit einem bestimmten gemeinsamen Merkmal. Zum Beispiel Arbeitszeiten und Wochenende.
Tag-Gruppen – Gruppieren Sie Tags, die ähnliche Betriebsdaten in verschiedenen Controllern enthalten. Zum Beispiel Tags, die die Ofentemperatur steuern.
Regelgruppen – Gruppieren Sie verwandte Regeln, die durch ihre Suricata-Signatur-IDs (SIDs) identifiziert werden. Diese Gruppen werden als Richtlinienbedingung zum Definieren von Intrusion Detection-Richtlinien verwendet.

Richtlinien können nur mit Gruppen definiert werden, die in Ihrem System konfiguriert sind. Das System wird mit einer Reihe vordefinierter Gruppen geliefert. Sie können diese Gruppen bearbeiten und eigene Gruppen hinzufügen, siehe Gruppen.

Hinweis: Richtlinienparameter können nur mithilfe von Gruppen festgelegt werden. Selbst wenn eine Richtlinie für eine einzelne Entität gelten soll, müssen Sie eine Gruppe konfigurieren, die nur diese Entität enthält.

Schweregradstufen

Jeder Richtlinie ist ein bestimmter Schweregrad zugewiesen, der den Grad des Risikos angibt, das von der Situation ausgeht, die das Ereignis ausgelöst hat. In der folgenden Tabelle werden die verschiedenen Schweregrade beschrieben:

Schweregrad	Beschreibung
Kein	Das Ereignis ist kein Grund zur Besorgnis.
Gering	Kein unmittelbarer Grund zur Sorge. Sollte bei Gelegenheit geprüft werden.
Mittel	Moderate Bedenken, dass potenziell schädliche Aktivitäten stattgefunden haben. Sollte behandelt werden, wenn es passt.
Hoch	Schwerwiegende Bedenken, dass potenziell schädliche Aktivitäten stattgefunden haben. Sollte sofort behandelt werden.

Ereignisbenachrichtigungen

Wenn ein Ereignis eintritt, das die Bedingungen der Richtlinie erfüllt, wird ein Ereignis ausgelöst. Im Abschnitt Ereignisse wird Alle Ereignisse angezeigt. Auf der Seite Richtlinie wird das Ereignis unter der Richtlinie aufgeführt, die das Ereignis ausgelöst hat. Auf der Seite Inventar wird das Ereignis unter dem betroffenen Asset aufgeführt. Darüber hinaus können Sie Richtlinien so konfigurieren, dass Benachrichtigungen über Ereignisse mithilfe des Syslog-Protokolls an ein externes SIEM-System und/oder an bestimmte E-Mail-Empfänger gesendet werden.

Syslog-Benachrichtigung – Syslog-Nachrichten verwenden das CEF-Protokoll sowohl mit Standardschlüsseln als auch mit benutzerdefinierten Schlüsseln (für die Verwendung mit OT Security konfiguriert). Eine Erläuterung zur Interpretation von Syslog-Benachrichtigungen finden Sie im OT Security Syslog Integration Guide.
E-Mail-Benachrichtigungen – E-Mail-Nachrichten enthalten Details über das Ereignis, das die Benachrichtigung generiert hat, sowie Schritte zur Eindämmung der Bedrohung.

Richtlinienkategorien und Unterkategorien

In OT Security werden die Richtlinien nach folgenden Kategorien geordnet:

Konfigurationsereignisse – Diese Richtlinien beziehen sich auf die Aktivitäten, die im Netzwerk stattfinden. Es gibt zwei Unterkategorien:
- Controller-Validierung – Diese Richtlinien beziehen sich auf Änderungen, die in den Controllern im Netzwerk stattfinden. Dabei kann es sich um Statusänderungen eines Controllers, aber auch um Änderungen an Firmware, Asset-Eigenschaften oder Codeblöcken handeln. Die Richtlinien können auf bestimmte Zeitpläne (z. B. Firmware-Upgrade während eines Arbeitstages) und/oder bestimmte Controller beschränkt werden.
- Controller-Aktivitäten – Diese Richtlinien beziehen sich auf bestimmte Engineering-Befehle, die sich auf den Status und die Konfiguration von Controllern auswirken. Es ist möglich, bestimmte Aktivitäten zu definieren, die immer Ereignisse generieren, oder eine Reihe von Kriterien zum Generieren von Ereignissen festzulegen. Zum Beispiel, wenn bestimmte Aktivitäten zu bestimmten Zeiten und/oder auf bestimmten Controllern ausgeführt werden. Sperrlisten und Zulassungslisten für Assets, Aktivitäten und Zeitpläne werden unterstützt.
Netzwerkereignisse – Diese Richtlinien beziehen sich auf die Assets im Netzwerk und die Kommunikationsströme zwischen Assets. Dies schließt Assets ein, die dem Netzwerk hinzugefügt oder daraus entfernt werden. Dazu gehören auch Traffic-Muster, die für das Netzwerk ungewöhnlich sind oder als besorgniserregend gekennzeichnet wurden. Wenn beispielsweise eine Engineering-Station mit einem Controller über ein Protokoll kommuniziert, das nicht Teil eines vorkonfigurierten Satzes von Protokollen ist (z. B. Protokolle, die von Controllern verwendet werden, die von einem bestimmten Anbieter hergestellt werden), löst die Richtlinie ein Ereignis aus. Sie können diese Richtlinien auf bestimmte Zeitpläne und/oder bestimmte Assets beschränken. Anbieterspezifische Protokolle werden der Einfachheit halber nach Anbieter organisiert, es kann jedoch jedes Protokoll in einer Richtliniendefinition verwendet werden.
SCADA-Ereignisrichtlinien – Diese Richtlinien erkennen Änderungen der Sollwerte, die den industriellen Prozess beeinträchtigen können. Diese Änderungen können aus einem Cyberangriff oder menschlichem Fehlverhalten resultieren.
Netzwerkbedrohungsrichtlinien – Diese Richtlinien verwenden signaturbasierte OT- und IT-Bedrohungserkennung, um Netzwerk-Traffic zu identifizieren, der auf Bedrohungen durch Eindringlinge hinweist. Die Erkennung basiert auf Regeln, die in der Threats-Engine von Suricata katalogisiert sind.

Richtlinientypen

Innerhalb jeder Kategorie und Unterkategorie gibt es eine Reihe verschiedener Typen von Richtlinien. OT Security enthält die vordefinierten Richtlinien der einzelnen Typen. Sie können auch Ihre eigenen benutzerdefinierten Richtlinien der einzelnen Typen erstellen. In den folgenden Tabellen werden die verschiedenen Richtlinientypen nach Kategorie gruppiert erläutert.

Konfigurationsereignis – Typen von Controller-Aktivitätsereignissen

Controller-Aktivitäten beziehen sich auf die Aktivitäten, die im Netzwerk stattfinden. Zum Beispiel die „Befehle“, die zwischen Assets im Netzwerk implementiert werden. Es gibt viele verschiedene Typen von Controller-Aktivitätsereignissen. Der Typ des Controllers, auf dem die Aktivität stattfindet, sowie die spezifische Aktivität definieren den Typ der Controller-Aktivität. Beispiele: Rockwell-SPS-Stopp, SIMATIC-Code-Download und Modicon-Online-Sitzung.

Die Parameter für die Richtliniendefinition bzw. Richtlinienbedingungen, die für Controller-Aktivitätsereignisse gelten, sind „Quell-Asset“, „Ziel-Asset“ und „Zeitplan“.

Konfigurationsereignis – Typen von Controller-Validierungsereignissen

Die folgende Tabelle beschreibt die verschiedenen Typen von Controller-Validierungsereignissen.

Hinweis: Richtlinienbedingungen in Bezug auf betroffene Assets, Quellen oder Ziele können festgelegt werden, indem entweder eine Asset-Gruppe oder ein Netzwerksegment ausgewählt wird .

Ereignistyp	Richtlinienbedingungen	Beschreibung
Änderung des Schlüsselschalters	Betroffenes Asset, Zeitplan	Eine Änderung am Controller-Status durch Anpassen der Position des physischen Schlüssels. Unterstützt derzeit nur Rockwell-Controller.
Statusänderung	Betroffenes Asset, Zeitplan	Der Controller wechselte von einem Betriebsstatus in einen anderen. Zum Beispiel „Wird ausgeführt“, „Gestoppt“ und „Test“.
Änderung der Firmware-Version	Betroffenes Asset, Zeitplan	Eine Änderung an der auf dem Controller ausgeführten Firmware.
Modul nicht gesehen	Betroffenes Asset, Zeitplan	Erkennt ein zuvor identifiziertes Modul, das von einer Backplane entfernt wurde.
Neues Modul erfasst	Betroffenes Asset, Zeitplan	Erkennt ein neues Modul, das einer vorhandenen Backplane hinzugefügt wird.
Snapshot-Konflikt	Betroffenes Asset, Zeitplan	Der letzte Snapshot eines Controllers (der den aktuellen Status des auf einem Controller bereitgestellten Programms erfasst) war nicht identisch mit dem vorherigen Snapshot dieses Controllers.

Netzwerkereignistypen

Die folgende Tabelle beschreibt die verschiedenen Typen von Netzwerkereignissen.

Hinweis: Richtlinienbedingungen in Bezug auf betroffene Assets, Quellen oder Ziele können festgelegt werden, indem entweder eine Asset-Gruppe oder ein Netzwerksegment ausgewählt wird .

Ereignistyp	Richtlinienbedingungen	Beschreibung
Asset nicht gesehen	Nicht gesehen seit, Betroffenes Asset, Zeitplan	Erkennt zuvor identifizierte Assets in der Gruppe „Betroffene Assets“, die für die angegebene Zeitdauer innerhalb des angegebenen Zeitraums aus dem Netzwerk entfernt wurden.
Rediscovered Asset (Erneut erfasstes Asset)	Inaktiv seit, Betroffene Assets, Zeitplan	Erkennt ein Asset, das online geschaltet wird oder wieder zu kommunizieren beginnt, nachdem es für eine bestimmte Zeit offline war.
Änderung der USB-Konfiguration	Betroffene Assets, Zeitplan	Erkennt, wenn ein USB-Gerät mit einer Windows-basierte Workstation verbunden oder von dieser getrennt wird. Die Richtlinie gilt für Änderungen an einem Asset in der Gruppe „Betroffene Assets“ während des angegebenen Zeitraums.
IP-Konflikt	Zeitplan	Erkennt, wenn mehrere Assets im Netzwerk die gleiche IP-Adresse verwenden. Dies kann auf einen Cyberangriff hindeuten oder auf mangelhafte Netzwerkverwaltung zurückzuführen sein. Die Richtlinie gilt für IP-Konflikte, die OT Security während des angegebenen Zeitraums erkennt.
Netzwerk-Baseline-Abweichung	Quelle, Ziel, Protokoll, Zeitplan	Erkennt neue Verbindungen zwischen Assets, die während der Netzwerk-Baseline-Stichprobe nicht miteinander kommuniziert haben. Diese Option ist nur verfügbar, nachdem eine Netzwerk-Baseline im System eingerichtet wurde. Informationen zum Festlegen der anfänglichen Netzwerk-Baseline oder zum Aktualisieren der Netzwerk-Baseline finden Sie unter Festlegen einer Netzwerk-Baseline. Die Richtlinie gilt für die Kommunikation von einem Asset in der Quell-Asset-Gruppe zu einem Asset in der Ziel-Asset-Gruppe unter Verwendung eines Protokolls aus der Protokollgruppe während des angegebenen Zeitraums.
Neues Asset erfasst	Betroffenes Asset, Zeitplan	Erkennt neue Assets des in der Quell-Asset-Gruppe angegebenen Typs, die während des angegebenen Zeitraums in Ihrem Netzwerk angezeigt wird.
Offener Port	Betroffenes Asset, Port	Erkennt neue offene Ports in Ihrem Netzwerk. Ungenutzte offene Ports können ein Sicherheitsrisiko darstellen. Die Richtlinie gilt für Assets in der Gruppe „Betroffene Assets“ und für Ports, die sich in der Port-Gruppe befinden.
Spitze im Netzwerk-Traffic	Zeitfenster, Empfindlichkeitsstufe, Zeitplan	Erkennt anomale Spitzen im Netzwerk-Traffic-Volumen. Die Richtlinie gilt für Spitzen relativ zum angegebenen Zeitfenster und basierend auf der angegebenen Empfindlichkeitsstufe. Sie ist auch auf den angegebenen Zeitbereich begrenzt.
Spike in Konversation	Zeitfenster, Empfindlichkeitsstufe, Zeitplan	Erkennt anomale Spitzen in der Anzahl der Konversationen im Netzwerk. Die Richtlinie gilt für Spitzen relativ zum angegebenen Zeitfenster und basierend auf der angegebenen Empfindlichkeitsstufe. Sie ist auch auf den angegebenen Zeitbereich begrenzt.
RDP-Verbindung (authentifiziert)	Quelle, Ziel, Zeitplan	Im Netzwerk wurde eine RDP-Verbindung (Remote Desktop Protocol) mit Authentifizierungsdaten hergestellt. Die Richtlinie gilt für ein Asset in der Quell-Asset-Gruppe, das eine Verbindung zu einem Asset in der Ziel-Asset-Gruppe während des angegebenen Zeitraums herstellt.
RDP-Verbindung (nicht authentifiziert)	Quelle, Ziel, Zeitplan	Im Netzwerk wurde eine RDP-Verbindung (Remote Desktop Protocol) ohne Authentifizierungsdaten hergestellt. Die Richtlinie gilt für ein Asset in der Quell-Asset-Gruppe, das während des angegebenen Zeitraums eine Verbindung zu einem Asset in der Ziel-Asset-Gruppe herstellt.
Nicht autorisierte Konversation	Quelle, Ziel, Protokoll, Zeitplan	Erkennt Kommunikation, die zwischen Assets im Netzwerk gesendet wird. Die Richtlinie gilt für die Kommunikation von einem Asset in der Quell-Asset-Gruppe zu einem Asset in der Ziel-Asset-Gruppe unter Verwendung eines Protokolls aus der Protokollgruppe während des angegebenen Zeitraums.
Erfolgreiches ungesichertes FTP-Login	Quelle, Ziel, Zeitplan	OT Security betrachtet FTP als unsicheres Protokoll. Diese Richtlinie erkennt erfolgreiche Logins über FTP.
Fehlgeschlagenes ungesichertes FTP-Login	Quelle, Ziel, Zeitplan	OT Security betrachtet FTP als unsicheres Protokoll. Diese Richtlinie erkennt fehlgeschlagene Login-Versuche über FTP.
Erfolgreiches ungesichertes Telnet-Login	Quelle, Ziel, Zeitplan	OT Security betrachtet Telnet als unsicheres Protokoll. Diese Richtlinie erkennt erfolgreiche Logins über Telnet.
Fehlgeschlagenes ungesichertes Telnet-Login	Quelle, Ziel, Zeitplan	OT Security betrachtet Telnet als unsicheres Protokoll. Diese Richtlinie erkennt fehlgeschlagene Login-Versuche über Telnet.
Ungesicherter Telnet-Login-Versuch	Quelle, Ziel, Zeitplan	OT Security betrachtet Telnet als unsicheres Protokoll. Diese Richtlinie erkennt Login-Versuche über Telnet (für die der Ergebnisstatus nicht erkannt wurde).

Netzwerkbedrohungs-Ereignistypen

Die folgende Tabelle beschreibt die verschiedenen Typen von Netzwerkbedrohungsereignissen.

Hinweis: Richtlinienbedingungen in Bezug auf betroffene Assets, Quellen oder Ziele können festgelegt werden, indem entweder eine Asset-Gruppe oder ein Netzwerksegment ausgewählt wird .

Ereignistyp	Richtlinienbedingungen	Beschreibung
Intrusion Detection	Quelle, betroffenes Asset, Regelgruppe, Zeitplan	Intrusion Detection-Richtlinien verwenden signaturbasierte OT- und IT-Bedrohungserkennung, um Netzwerk-Traffic zu identifizieren, der auf Bedrohungen durch Eindringlinge hinweist. Die Erkennung basiert auf Regeln, die in der Threats-Engine von Suricata katalogisiert sind. Die Regeln sind in Kategorien (ICS-Angriffe, Denial of Service und Malware) und Unterkategorien (ICS-Angriffe – Stuxnet, ICS-Angriffe – Black Energy) gruppiert. Das System wird mit einer Reihe von vordefinierten Gruppen verwandter Regeln geliefert. Sie können auch Ihre eigenen benutzerdefinierten Gruppierungen verschiedener Regeln konfigurieren. Hinweis: Für IDS-Ereignisse (Intrusion Detection System, Angriffserkennungssystem) können die Asset-Gruppen Quelle und Ziel nicht bearbeitet werden.
ARP-Scan	Betroffenes Asset, Zeitplan	Erkennt ARP-Scans (Netzwerkaufklärungsaktivität), die im Netzwerk ausgeführt werden. Die Richtlinie gilt für Scans, die während des angegebenen Zeitraums in der Gruppe „Betroffene Assets“ übertragen werden.
Port-Scan	Quell-Asset, Ziel-Asset, Zeitplan	Erkennt SYN-Scans (Netzwerkaufklärungsaktivität), die im Netzwerk ausgeführt werden, um offene (anfällige) Ports zu erkennen. Die Richtlinie gilt für Kommunikation von einem Asset in der Quell-Asset-Gruppe zu einem Asset in der Ziel-Asset-Gruppe während des angegebenen Zeitraums.

Ereignistyp

Richtlinienbedingungen

Beschreibung

Intrusion Detection

Quelle, betroffenes Asset, Regelgruppe, Zeitplan

Intrusion Detection-Richtlinien verwenden signaturbasierte OT- und IT-Bedrohungserkennung, um Netzwerk-Traffic zu identifizieren, der auf Bedrohungen durch Eindringlinge hinweist. Die Erkennung basiert auf Regeln, die in der Threats-Engine von Suricata katalogisiert sind. Die Regeln sind in Kategorien (ICS-Angriffe, Denial of Service und Malware) und Unterkategorien (ICS-Angriffe – Stuxnet, ICS-Angriffe – Black Energy) gruppiert. Das System wird mit einer Reihe von vordefinierten Gruppen verwandter Regeln geliefert. Sie können auch Ihre eigenen benutzerdefinierten Gruppierungen verschiedener Regeln konfigurieren.

Hinweis: Für IDS-Ereignisse (Intrusion Detection System, Angriffserkennungssystem) können die Asset-Gruppen Quelle und Ziel nicht bearbeitet werden.

ARP-Scan

Betroffenes Asset, Zeitplan

Erkennt ARP-Scans (Netzwerkaufklärungsaktivität), die im Netzwerk ausgeführt werden. Die Richtlinie gilt für Scans, die während des angegebenen Zeitraums in der Gruppe „Betroffene Assets“ übertragen werden.

Port-Scan

Quell-Asset, Ziel-Asset, Zeitplan

Erkennt SYN-Scans (Netzwerkaufklärungsaktivität), die im Netzwerk ausgeführt werden, um offene (anfällige) Ports zu erkennen. Die Richtlinie gilt für Kommunikation von einem Asset in der Quell-Asset-Gruppe zu einem Asset in der Ziel-Asset-Gruppe während des angegebenen Zeitraums.

SCADA-Ereignistypen

Die folgende Tabelle beschreibt die verschiedenen Typen von SCADA-Ereignistypen.

Hinweis: Richtlinienbedingungen in Bezug auf betroffene Assets, Quellen oder Ziele können festgelegt werden, indem entweder eine Asset-Gruppe oder ein Netzwerksegment ausgewählt wird .

Ereignistyp	Richtlinienbedingungen	Beschreibung
Unzulässige Modbus-Datenadresse	Quell-Asset, Ziel-Asset, Zeitplan	Erkennt den Fehlercode „Unzulässige Datenadresse“ im Modbus-Protokoll. Die Richtlinie gilt für Kommunikation von einem Asset in der Quell-Asset-Gruppe zu einem Asset in der Ziel-Asset-Gruppe während des angegebenen Zeitraums.
Unzulässiger Modbus-Datenwert	Quell-Asset, Ziel-Asset, Zeitplan	Erkennt den Fehlercode „Unzulässiger Datenwert“ im Modbus-Protokoll. Die Richtlinie gilt für Kommunikation von einem Asset in der Quell-Asset-Gruppe zu einem Asset in der Ziel-Asset-Gruppe während des angegebenen Zeitraums.
Unzulässige Modbus-Funktion	Quell-Asset, Ziel-Asset, Zeitplan	Erkennt den Fehlercode „Unzulässige Funktion“ im Modbus-Protokoll. Die Richtlinie gilt für Kommunikation von einem Asset in der Quell-Asset-Gruppe zu einem Asset in der Ziel-Asset-Gruppe während des angegebenen Zeitraums.
Nicht autorisierter Schreibvorgang	Quell-Asset, Tag-Gruppe, Tag-Wert, Zeitplan	Erkennt nicht autorisierte Tag-Schreibvorgänge für die angegebenen Tags auf einem Controller (derzeit unterstützt für Rockwell- und S7-Controller) in der angegebenen Quell-Asset-Gruppe. Sie können die Richtlinie so konfigurieren, dass sie jeden neuen Schreibvorgang, eine Änderung von einem angegebenen Wert oder einen Wert außerhalb eines angegebenen Bereichs erkennt. Die Richtlinie gilt nur während des angegebenen Zeitraums.
ABB – Nicht autorisierter Schreibvorgang	Quell-Asset, Ziel-Asset, Zeitplan	Erkennt über MMS an ABB 800xA-Controller gesendete Schreibbefehle, die außerhalb des zulässigen Bereichs liegen.
IEC 60870-5-104-Befehle (Start/Stopp der Datenübertragung, Abfragebefehl, Zählerabfragebefehl, Uhrensynchronisationsbefehl, Befehl zur Prozessrücksetzung, Testbefehl mit Zeitmarke)	Quell-Asset, Ziel-Asset, Zeitplan	Erkennt bestimmte Befehle, die an übergeordnete oder untergeordnete IEC-104-Einheiten gesendet werden und als riskant gelten.
DNP3-Befehle	Quell-Asset, Ziel-Asset, Zeitplan	Erkennt alle Hauptbefehle, die über das DNP3-Protokoll gesendet werden. Zum Beispiel „Select“, „Operate“ und „Warm/Cold Restart“. Erkennt auch Fehler, die auf interne Indikatoren wie nicht unterstützte Funktionscodes und Parameterfehler zurückzuführen sind.