Afficher les politiques
L'écran Politiques répertorie toutes les politiques configurées dans votre système. Les listes sont regroupées par onglets distincts pour chaque catégorie de politique. La page répertorie les politiques pré-configurées et les politiques définies par l'utilisateur. Chaque politique s'accompagne d'un curseur qui indique son statut actuel, ainsi que de plusieurs paramètres indiquant la configuration de la politique.
Vous pouvez afficher/masquer des colonnes, trier et filtrer les listes d'assets, mais aussi rechercher des mots-clés. Pour plus d'informations sur la personnalisation de la liste, voir Éléments de l'interface utilisateur de la console de gestion.
Les paramètres de politique sont décrits dans le tableau suivant :
| Paramètre | Description |
|---|---|
| Statut | Indique si la politique est activée ou désactivée. Si le système a désactivé automatiquement une politique, car elle générait un trop grand nombre d'événements, une icône d'avertissement apparaît à côté du curseur. Activez ou désactivez une politique à l'aide du curseur de statut. |
| ID de la politique | Identifiant unique de la politique dans le système. Les ID de politique sont regroupés par catégorie, avec un préfixe différent pour chaque catégorie. Par exemple, P1 pour les activités de contrôleur, P2 pour les événements réseau, etc. |
| Nom | Le nom de la politique. |
| Sévérité | Le degré de sévérité de l'événement. Les valeurs possibles sont : Aucune, Faible, Moyenne ou Élevée. Voir la section Niveaux de sévérité pour une description des niveaux de sévérité. |
| Type d'événement | Le type spécifique d'événement qui déclenche cette politique d'événement. |
| Catégorie | La catégorie générale du type d'événement qui déclenche cette politique d'événement. Les valeurs possibles sont : Événements de configuration, Événements SCADA, Menaces réseau ou Événement réseau. Pour plus d'informations sur les différentes catégories, voir Catégories et sous-catégories de politiques. |
| Source | Condition de politique. Groupe d'assets source/segment réseau (c'est-à-dire, l'asset qui a lancé l'activité) auquel la politique s'applique. |
| Asset cible/affecté | Condition de politique. Le groupe d'assets cible/segment réseau (l'asset qui reçoit l'activité) auquel la politique s'applique. Pour les politiques qui impliquent un seul asset (pas de source ni de cible), ce paramètre affiche l'asset affecté par l'événement. |
| Planification | Condition de politique. Plage temporelle pour laquelle la politique s'applique. |
| Journal système | Le serveur Syslog (SIEM) où les événements de la politique sont enregistrés. |
| Le groupe de messagerie qui envoie les notifications d'événement pour cette politique. | |
| Sous-catégorie | La classification de la sous-catégorie de l'événement. La catégorie Événements de configuration est composée des sous-catégories Activités du contrôleur et Validation du contrôleur. Pour plus d'informations sur les différentes sous-catégories, voir Afficher les politiques. |
| Nombre d'événements par politique | Répertorie le nombre d'événements générés par chaque politique. Vous pouvez cliquer sur la colonne pour trier les éléments de la liste, afin de traiter les politiques qui ont le plus grand nombre violations/d'événements. |
| Exclusions | Répertorie le nombre d'exclusions ajoutées à chaque politique. Pour plus d'informations, voir Événements. |
Afficher les détails d'une politique
Vous pouvez ouvrir la page des détails d'une politique pour afficher des détails supplémentaires sur une politique. Cette page répertorie toutes les conditions et tous les événements déclenchés par la politique.
Pour ouvrir l'écran des détails de la politique pour une politique donnée :
-
Sur la page Politiques, sélectionnez la politique souhaitée.
-
Dans la zone déroulante Actions, sélectionnez Afficher.
L'écran des détails de la politique apparaît pour la politique sélectionnée.
Remarque : vous pouvez également accéder au menu Actions en effectuant un clic droit sur la politique pertinente.
La page des détails de la politique contient les éléments suivants :
-
Barre d'en-tête – Affiche le nom, le type et la catégorie de la politique. Cette page contient un curseur qui permet d'activer ou de désactiver la politique, ainsi que la liste déroulante des actions disponibles (Modifier, Dupliquer et Supprimer).
-
Onglet Détails – Affiche des détails sur la configuration de la politique dans les sections suivantes :
-
Définition de la politique – Affiche toutes les conditions de la politique. Cela inclut tous les champs pertinents selon le type de politique.
-
Actions de la politique – Affiche le niveau de sévérité ainsi que la cible (Syslog, e-mail) des notifications d'événement. Indique également si la fonction Désactiver la politique après la première correspondance est activée.
-
Général – Affiche la catégorie et le statut de la politique.
-
-
Onglet Événements déclenchés – Affiche une liste des événements déclenchés par cette politique. L'onglet affiche également des détails sur les assets impliqués dans l'événement et la nature de l'événement. Les informations affichées dans cet onglet sont identiques à celles dans la page Événements, mais seuls les événements de la politique spécifiée sont affichés. Pour une explication des informations sur les événements, voir Affichage des événements.
Onglet Exclusions – Si une politique génère des événements pour des conditions spécifiques qui ne posent pas de menaces de sécurité, vous pouvez exclure ces conditions de la politique (et ainsi arrêter la génération d'événements pour ces conditions particulières). Vous pouvez ajouter des exclusions sur la page Événements. Voir Événements. L'onglet Exclusions affiche toutes les exclusions appliquées à la politique. Pour chaque exclusion, il affiche les conditions spécifiques exclues. À partir de cet onglet, vous pouvez supprimer une exclusion, permettant ainsi au système de reprendre la génération d'événements pour les conditions spécifiées.
-
