Richtlinienverstöße

Auf der Seite Richtlinienverstöße werden alle Ereignisse angezeigt, die mit derselben Richtlinie, derselben Quelle und demselben Ziel verknüpft sind. Jede Feststellung auf der Seite ist eine Aggregation von mehreren Ereignissen, die durch dieselben Richtlinientreffer mit identischer Quelle und Zieladresse verursacht wurden.

So greifen Sie auf die Seite Richtlinienverstöße zu:

  1. Klicken Sie im linken Navigationsmenü auf Risiken > Feststellungen.

    Die Seite Feststellungen wird angezeigt.

  2. Klicken Sie auf die Registerkarte Richtlinienverstöße.

    Die Seite Richtlinienverstöße wird mit der Liste der Ereignisse angezeigt.

    Die Registerkarte Richtlinienverstöße enthält die folgenden Angaben:

    Spalte Beschreibung
    ID Die ID des Verstoßes.
    Status Der Status des Verstoßes: „Aktiv“, „Erneut aufgetreten“ oder „Aufgelöst“.
    Schweregrad Der Schweregrad des Verstoßes: „Hoch“, „Mittel“ oder „Gering“.
    Verstoßtyp Die Art des Verstoßes. Zum Beispiel „Nicht autorisierte Konversation“ und „Intrusion Detection“.
    Verstoßkategorie Die Kategorie, zu der der Verstoßtyp gehört.
    Richtlinie Die Richtlinie, die den Verstoß verursacht hat.
    Plugin-Name Die mit dem Verstoß verbundenen Plugins.
    Mitre ICS-Taktiken Der Grund hinter einer bestimmten Mitre Attack-Technik für industrielle Steuerungssysteme (ICS).
    Mitre ICS-Techniken Die Methode, mit der ein Gegner ein taktisches Ziel erreicht.
    Quell-Asset Das Asset, von dem der Verstoß ausgegangen ist.
    Quell-IP Die IP-Adresse des Quell-Assets.
    Ziel-Asset Das Asset, bei dem der Verstoß endete.
    Ziel-IP Die IP-Adresse des Ziel-Assets.
    Protokoll Das mit dem Verstoß verbundene Protokoll.
    Erster Treffer Der Zeitpunkt, zu dem der Verstoß zum ersten Mal erkannt wurde.
    Letzter Treffer Der Zeitpunkt, zu dem der Verstoß zum letzten Mal erkannt wurde.
    Aktive Treffer Die Anzahl der Ereignisse, die zu dem Verstoß geführt haben.
    Asset-Typ Die Art des Assets, bei dem der Verstoß erkannt wurde.
    Asset-Kritikalität Die Kritikalität des Assets.
    Asset-Anbieter Der mit dem Asset verbundene Anbieter.
    Asset-Familie Die Familie, zu der das Asset gehört.
    Asset-Tags Die mit dem Asset verknüpften Tags.
    Purdue-Level Der Purdue-Level des Assets.
    Asset-Standort Die Region, in der sich das Asset befindet.
    Aufgelöst am Das Datum, an dem der Verstoß aufgelöst wurde.
    Aufgelöst von Der Benutzer, der den Verstoß aufgelöst hat.
    Kommentar Die Kommentare, die der Benutzer bei der Auflösung des Verstoßes eingegeben hat.

  3. (Optional) Sie können auf der Seite Verstöße die folgenden Aktionen ausführen:

    • Passen Sie Spalten wie in Tabellen anpassen beschrieben an.

    • Filtern Sie die Tabelle „Feststellungen“. Siehe Tabellen filtern.

    • Exportieren Sie die Daten im CSV-Format.

    • Verwenden Sie das Menü Aktionen, um Folgendes zu tun:

        • So lösen Sie eine Feststellung auf:

          1. Wählen Sie die Zeile der Feststellung aus und klicken Sie auf Aktionen > Auflösen.

            Der Bereich Auflösen wird angezeigt.

          2. Geben Sie einen Kommentar zur Auflösung der Feststellung ein.

          3. Klicken Sie auf Speichern.

            OT Security löst die Feststellung auf und im Bereich Plugin-Details wird für den Status Aufgelöst angezeigt.

            Hinweis: Wenn das Ereignis erneut auftritt, öffnet OT Security die Feststellung erneut und für den Status wird Erneut aufgetreten angezeigt.

        • So schließen Sie die Feststellung aus einer Richtlinie aus:

          1. Wählen Sie die Zeile der Feststellung aus und klicken Sie auf Aktionen > Aus Richtlinie ausschließen.

            Der Bereich Aus Richtlinie ausschließen wird angezeigt.

          2. Wählen Sie die Ausschlussbedingungen aus.

            Hinweis: Die Ausschlussbedingungen basieren auf dem letzten und jüngsten Ereignis.

          3. Geben Sie eine Ausschlussbeschreibung ein.

          4. Klicken Sie auf Speichern.

            OT Security schließt das letzte Ereignis aus der Richtlinie aus.

        • So laden Sie die letzte Erfassungsdatei herunter:

          1. Wählen Sie die Zeile der Feststellung aus und klicken Sie auf Aktionen > Letzte Erfassungsdatei herunterladen.

            OT Security lädt die Erfassungsdatei für das letzte Ereignis herunter.

Plugin-Details

So zeigen Sie die Details des Plugins für die Feststellung an:

  1. Klicken Sie auf der Registerkarte Richtlinienverstöße auf die Zeile der Feststellung, um die zugehörigen Plugin-Details anzuzeigen.

    Der Bereich mit den Plugin-Details wird mit Angaben zu den Verstößen von der OT Security-Plugins-Seite angezeigt.

    Im Bereich werden die Details des Verstoßes auf vier separaten Registerkarten angezeigt: Details, Quelle, Ziele und Richtlinie.

Nach Ereignissen suchen

So suchen Sie nach bestimmten Ereignissen, die den Verstoß verursacht haben:

  1. Um die Ereignisse für eine bestimmte Feststellung zu suchen, klicken Sie auf Feststellungs-ID kopieren .

  2. Klicken Sie auf den Link Vollständiges Ereignisprotokoll , um zur Seite Ereignisse zu wechseln.

    Die Seite Alle Ereignisse wird angezeigt.

  3. Fügen Sie im Feld Suche die zuvor kopierte Feststellungs-ID ein.

    OT Security listet die Ereignisse für die jeweilige Feststellung auf.