Créer des politiques

Vous pouvez créer vos propres politiques basées sur les considérations spécifiques de votre réseau ICS. Vous pouvez déterminer précisément quels types d'événements doivent être portés à l'attention de votre personnel, ainsi que la manière dont les notifications sont transmises. Vous disposez d'une flexibilité totale pour déterminer le degré de précision ou d'étendue de la définition que vous souhaitez donner à chaque politique.

Remarque : les politiques sont définies à l'aide de groupes configurés dans votre système. Si la liste déroulante d'un certain paramètre n'affiche pas le groupe spécifique auquel vous souhaitez que la politique s'applique, vous pouvez créer un nouveau groupe en fonction de vos besoins. Voir Groupes.

La première étape de la création d'une politique est de sélectionner la catégorie et le type de la politique que vous souhaitez créer. L'assistant Créer une politique vous guide tout au long du processus de configuration. Chaque type de politique a son propre ensemble de paramètres de condition pertinents. L'assistant Créer une politique vous montre les paramètres de condition les plus pertinents pour le type de politique sélectionné.

Pour les paramètres Source, Cible et Planification, vous pouvez indiquer s'il faut placer le groupe spécifié sur une liste d'autorisation ou de blocage.

  • sélectionnez Inclure pour ajouter le groupe à la liste d'autorisation (c'est-à-dire l'inclure dans la politique), OU

  • sélectionnez Exclure pour ajouter le groupe spécifié à la liste de blocage (c'est-à-dire l'exclure de la politique).

Pour les paramètres de groupe d'assets et de segment réseau (c'est-à-dire les assets sources, cibles et affectés), vous pouvez utiliser des opérateurs logiques (et/ou) pour appliquer la politique à diverses combinaisons ou sous-ensembles de vos groupes prédéfinis. Par exemple, si vous souhaitez qu'une politique s'applique à tout périphérique qui est soit un appareil ICS soit un serveur ICS, sélectionnez Appareil ICS ou Serveurs ICS. Pour qu'une politique s'applique uniquement aux contrôleurs situés dans l'usine A, sélectionnez Contrôleurs et Périphériques de l'usine A.

Pour créer une politique avec des paramètres similaires à une politique existante, vous pouvez dupliquer la politique d'origine et apporter les modifications nécessaires. Voir la section Créer des politiques.

Remarque : après avoir créé une politique, si vous constatez qu'elle génère des événements pour des situations qui ne nécessitent pas d'attention, vous pouvez exclure certaines conditions spécifiques de la politique. Voir Événements.

Pour créer une politique :

  1. Sur l'écran Politiques, cliquez sur Créer une politique.

    L'assistant Créer une politique apparaît.

  2. Cliquez sur une catégorie de politique pour afficher les sous-catégories et/ou les types de politiques.

    Une liste de toutes les sous-catégories et/ou types inclus dans cette catégorie apparaît.

  3. Sélectionnez un type de politique.

  4. Cliquez sur Suivant.

    Une série de paramètres permettant de définir la politique apparaît. Elle comprend toutes les conditions pertinentes pour le type de politique sélectionné.

  5. Dans le champ Nom de la politique, saisissez un nom pour cette politique.

    Remarque : choisissez un nom décrivant la nature spécifique du type d'événement que la politique est censée détecter.

  6. Pour chaque paramètre :

    Important : vous ne pouvez pas modifier les groupes d'assets sources et cibles pour les événements du système de détection d'intrusion (IDS).

    1. Lorsque c'est pertinent, sélectionnez Inclure, option par défaut, pour ajouter l'élément sélectionné à la liste d'autorisations ou Exclure pour le placer dans la liste de blocage.

    2. Cliquez sur Sélectionner.

      Une liste déroulante des éléments pertinents (par exemple, groupe Asset, Segment réseau, groupe Port, groupe Planification, etc.) apparaît.

    3. Sélectionnez l'élément souhaité.

      Remarque : si le groupe spécifique auquel vous souhaitez que la politique s'applique n'existe pas, vous pouvez créer un groupe en fonction de vos besoins. Voir Groupes.

    4. Pour les paramètres d'asset (c'est-à-dire assets sources, cibles et affectés), si vous souhaitez ajouter un groupe d'assets/segment réseau avec une condition « Ou », cliquez sur le bouton bleu « + Ou » à côté du champ et sélectionnez un autre groupe d'assets/segment réseau.

    5. Pour les paramètres d'asset (c'est-à-dire assets sources, cibles et affectés), si vous souhaitez ajouter un groupe d'assets/segment réseau avec une condition « Et », cliquez sur le bouton bleu « + Et » à côté du champ et sélectionnez un autre groupe d'assets/segment réseau.

  7. Cliquez sur Suivant.

    Une série de paramètres d'action de politique (c'est-à-dire les actions exécutées par le système lorsqu'une correspondance de politique se produit) apparaît.

  8. Dans la section Sévérité, cliquez sur le niveau de sévérité souhaité pour cette politique.

  9. Pour envoyer des journaux d'événements à un ou plusieurs serveurs Syslog, dans la section Syslog, cochez la case à côté de chaque serveur auquel vous souhaitez envoyer les journaux d'événements.

    Remarque : pour ajouter un serveur Syslog, voir Serveurs Syslog.

  10. Pour envoyer des notifications d'événement par e-mail, dans le champ Groupe de messagerie, sélectionnez le groupe de messagerie à notifier dans la liste déroulante.

    Remarque : pour ajouter un serveur SMTP, voir Serveurs SMTP.

  11. Dans la section Actions supplémentaires, lorsque l'action spécifiée est pertinente :

    • Pour désactiver la politique après la première correspondance, cochez la case Désactiver la politique après la première correspondance. (Cette action est pertinente pour certains types de politiques d'événements réseau et certains types de politiques d'événements SCADA.)

    • Pour lancer automatiquement un instantané de l'asset affecté chaque fois qu'une correspondance avec la politique est détectée, cochez la case Prendre un instantané après une correspondance avec la politique. (Cette action est pertinente pour certains types de politiques d'événements de configuration.)

  12. Cliquez sur Créer. La nouvelle politique est créée et automatiquement activée. La politique apparaît maintenant dans la liste de l'écran Politiques.

Création de politiques d'écriture non autorisée

Ce type de politique détecte les écritures non autorisées sur les tags de contrôleur. La définition de la politique nécessite de spécifier les groupes de tags pertinents et le type d'écriture qui génère une correspondance avec la politique.

Pour établir la définition d'une politique d'écriture non autorisée :

  1. Créez une politique d'écriture non autorisée comme décrit dans Créer des politiques.

  2. Dans la section Définition de la politique, dans le champ Groupe de tags, sélectionnez le groupe de tags auquel cette politique s'applique.

  3. Dans la section Valeur du tag, sélectionnez l'option souhaitée en cliquant sur le bouton radio et en remplissant les champs requis. Les options sont :

    • N'importe quelle valeur – Sélectionnez cette option pour détecter toute modification de la valeur du tag.

    • Différent de la valeur – Sélectionnez cette option pour détecter toute valeur autre que la valeur spécifiée. Saisissez la valeur spécifiée dans le champ à côté de cette sélection.

    • Hors plage autorisée – Sélectionnez cette option pour détecter toute valeur en dehors de la plage spécifiée. Saisissez les limites inférieure et supérieure de la plage autorisée dans les champs respectifs à côté de cette sélection.

      Remarque : les options Différent de la valeur et Hors plage autorisée ne sont disponibles que pour les types de tags standard (par exemple, entier, booléen, etc.), mais pas pour les tags ni les chaînes personnalisés.

  4. Effectuez les procédures de création de politique décrites dans Créer des politiques.