Créer des exclusions de politique

Si une politique génère des événements pour des conditions spécifiques qui ne posent pas de menaces de sécurité, vous pouvez exclure ces conditions de la politique (et ainsi arrêter la génération d'événements pour ces conditions particulières). Par exemple, si vous avez une politique qui détecte les changements d'état du contrôleur qui se produisent pendant les heures ouvrées, mais que vous déterminez que pour un contrôleur donné, il est normal que l'état change pendant ces périodes, vous pouvez exclure ce contrôleur de la politique.

Vous pouvez créer des exclusions à partir de la page Événements, en fonction des événements générés par vos politiques. Vous pouvez spécifier les conditions d'un événement spécifique que vous souhaitez exclure de la politique.

Pour reprendre la génération d'événements pour les conditions spécifiées ultérieurement, vous pouvez supprimer l'exclusion. Voir Politiques.

Pour créer une exclusion de politique :

  1. Sur la page Événements pertinente (Événements de configuration, Événements SCADA, Menaces réseau ou Événements réseau), sélectionnez l'événement pour lequel vous souhaitez créer une exclusion.

  2. Dans la barre d'en-tête, cliquez sur Actions ou effectuez un clic droit sur l'événement.

    Le menu Actions apparaît.

  3. Cliquez sur Exclure de la politique.

    La fenêtre Exclure de la politique apparaît.

  4. Dans la section Condition d'exclusion, toutes les conditions sont sélectionnées par défaut.

    Les événements qui remplissent l'une des conditions spécifiées sont exclus de la politique. Vous pouvez décocher la case à côté de chaque condition pour laquelle vous souhaitez continuer à générer des événements.

    Remarque : par exemple, dans la fenêtre ci-dessous, pour exclure de cette politique les assets et les adresses IP sources et cibles spécifiés tout en continuant à appliquer cette politique aux communications UDP entre les autres assets du réseau, vous devez désélectionner « Le protocole est UDP ».

    Remarque : l'ensemble des conditions qui peuvent être exclues diffère selon le type de politique. Voir le tableau ci-dessous.

  5. (Facultatif) Dans la zone Description de l'exclusion, vous pouvez ajouter un commentaire sur l'exclusion.

  6. Cliquez sur Exclure.

    Tenable OT Security crée l'exclusion.

    Le tableau suivant indique les conditions pouvant être exclues pour chaque type d'événement.

    Catégorie de politique Type d'événement Conditions d'exclusion
    Activités du contrôleur Configuration Events (Activities) (Événements de configuration (Activités))

    • Asset source

    • IP source

    • Asset cible

    • IP cible
    Validation du contrôleur Change in Key State (Changement d'état de la clé)

    Asset source
      Change in Controller State (Changement d'état du contrôleur) Asset source
      Change in FW version (Changement de version du firmware) Asset source
      Module not seen (Module non détecté) Asset source
      Snapshot mismatch (Déviation par rapport à l'instantané) Asset source
    Réseau Asset Not Seen (Asset non détecté) Asset source
      Change in USB configuration (Changement dans la configuration USB)

    • Asset source

    • Identifiant du périphérique USB
      IP conflict (Conflit IP)

    • Adresses MAC

    • Adresse IP
      Network Baseline Deviation (Déviation par rapport à la base de référence réseau)

    • Asset source

    • IP source

    • Asset cible

    • IP cible

    • Protocole
      Open Port (Port ouvert)

    • Asset source

    • IP source

    • Port
      RDP Connection (Connexion RDP)

    • Asset source

    • IP source

    • Asset cible

    • IP cible
      Unauthorized conversation (Communication non autorisée)

    • Asset source

    • IP source

    • Asset cible

    • IP cible

    • Protocole
      FTP Log In (Failed and Successful) (Connexion FTP (échec et réussite))

    • Asset source

    • IP source

    • Asset cible

    • IP cible
      Telnet Log In (Attempt, Failed and Successful) (Connexion Telnet (tentative, échec et réussite))

    • Asset source

    • IP source

    • Asset cible

    • IP cible
    Menace réseau Intrusion Detection (Détection d'intrusion)

    • Asset source

    • IP source

    • Asset cible

    • IP cible

    • SID
      ARP Scan (Scan ARP)

    • Asset source

    • IP source
      Port scan (Scan des ports)

    • Asset source

    • IP source
    SCADA Modbus illegal data address (Adresse de données Modbus non valide)

    • Asset source

    • IP source

    • Asset cible

    • IP cible
      Modbus illegal data value (Valeur de données Modbus non valide)

    • Asset source

    • IP source

    • Asset cible

    • IP cible
      Modbus illegal function (Fonction Modbus non valide)

    • Asset source

    • IP source

    • Asset cible

    • IP cible
      Unauthorized write (Écriture non autorisée)

    • Asset source

    • Asset cible

    • Nom du tag
     

    IEC60870-5-104 StartDT

    IEC60870-5-104 StartDT

    • Asset source

    • IP source

    • Asset cible

    • IP cible
      IEC60870-5-104 function code based events (Événements basés sur le code de fonction CEI60870-5-104)

    • Asset source

    • IP source

    • Asset cible

    • IP cible

    • COT
      DNP3 events (Événements DNP3)

    • Asset source

    • IP source

    • Asset cible

    • IP cible

    • Adresse DNP3 source

    • Adresse DNP3 cible