Violations de politique

Utilisez la page Violations de politique pour afficher tous les événements associés à la même politique, source et cible. Chaque détection figurant sur la page est une agrégation de plusieurs événements résultant de correspondances avec la même politique et partageant la même source et la même cible.

Pour accéder à la page Violations de politique :

  1. Dans le menu de navigation de gauche, cliquez sur Risques > Détections.

    La page Détections apparaît.

  2. Cliquez sur l'onglet Violations de politique.

    La page Violations de politique apparaît avec la liste des événements.

    L'onglet Violations de politique contient les détails suivants :

    Colonne Description
    ID ID de la violation.
    Statut Statut de la violation : active, réapparue ou résolue.
    Sévérité Sévérité de la violation : élevée, moyenne ou faible.
    Type de violation Type de violation. Par exemple, Unauthorized Conversation (Communication non autorisée) et Intrusion Detection (Détection d'intrusion).
    Catégorie de violation Catégorie à laquelle appartient le type de violation.
    Politique Politique à l'origine de la violation.
    Nom du plug-in Plug-ins associés à la violation.
    Tactiques Mitre ICS Raison ou motif d'une technique d'attaque Mitre spécifique visant les systèmes de contrôle industriels (ICS).
    Techniques Mitre ICS Méthode utilisée par un attaquant pour atteindre un but tactique.
    Asset source Asset au niveau duquel la violation est apparue.
    IP source Adresse IP de l'asset source.
    Asset cible Asset au niveau duquel la violation a pris fin.
    IP cible Adresse IP de l'asset cible.
    Protocole Protocole associé à la violation.
    Première correspondance Date/heure à laquelle la violation a été détectée pour la première fois.
    Dernière correspondance Date/heure à laquelle la violation a été détectée pour la dernière fois.
    Correspondances actives Nombre d'événements entraînant la violation.
    Type d'asset Type d'asset dans lequel la violation a été détectée.
    Criticité de l'asset Criticité de l'asset.
    Fournisseur de l'asset Fournisseur associé à l'asset.
    Famille d'assets Famille à laquelle l'asset appartient.
    Tags d'assets Tags associés à l'asset.
    Niveau Purdue Niveau Purdue de l'asset.
    Emplacement de l'asset Région où l'asset est situé.
    Résolue le Date à laquelle la violation a été résolue.
    Résolue par Utilisateur ayant résolu la violation.
    Commentaire Commentaires ajoutés par l'utilisateur lors de la résolution de la violation.

  3. (Facultatif) Vous pouvez effectuer les opérations suivantes sur la page Violations :

    • Personnaliser les colonnes comme décrit dans Personnaliser les tableaux.

    • Filtrer le tableau des détections. Voir Filtrer les tableaux.

    • Exporter les données au format CSV.

    • Utiliser le menu Actions pour effectuer les actions suivantes :

        • Pour résoudre une détection :

          1. Sélectionnez la ligne de la détection et cliquez sur Actions > Résoudre.

            Le panneau Résoudre apparaît.

          2. Saisissez un commentaire pour résoudre la détection.

          3. Cliquez sur Enregistrer.

            OT Security résout la détection et le panneau Détails du plug-in affiche le statut Résolu.

            Remarque : si l'événement se reproduit, OT Security rouvre la détection et son statut devient Réapparue.

        • Pour exclure la détection d'une politique :

          1. Sélectionnez la ligne de la détection et cliquez sur Actions > Exclure de la politique.

            Le panneau Exclure de la politique apparaît.

          2. Sélectionnez les conditions d'exclusion.

            Remarque : les conditions d'exclusion sont basées sur le dernier et le plus récent événement.

          3. Renseignez le champ Description de l'exclusion.

          4. Cliquez sur Enregistrer.

            OT Security exclut l'événement le plus récent de la politique.

        • Pour télécharger le dernier fichier de capture :

          1. Sélectionnez la ligne de la détection et cliquez sur Actions > Télécharger le dernier fichier de capture.

            OT Security télécharge le fichier de capture de l'événement le plus récent.

Détails du plug-in

Pour afficher les détails du plug-in de la détection :

  1. Dans l'onglet Violations de politique, cliquez sur la ligne de la détection pour afficher les détails de son plug-in.

    Le panneau des détails du plug-in apparaît avec les détails de la violation tirés de la page des plug-ins OT Security.

    Le panneau affiche les détails de la violation dans quatre onglets distincts : Détails, Source, Cibles et Politique.

Rechercher des événements

Pour rechercher des événements spécifiques à l'origine de la violation :

  1. Pour trouver les événements d'une détection spécifique, cliquez sur Copier l'ID de détection.

  2. Pour accéder à la page Événements, cliquez sur le lien Journal complet des événements .

    La page Tous les événements apparaît.

  3. Dans la zone de recherche, collez l'ID de détection que vous avez copié précédemment.

    OT Security répertorie les événements de la détection spécifique.