Créer des exclusions de politique
Si une politique génère des événements pour des conditions spécifiques qui ne posent pas de menaces de sécurité, vous pouvez exclure ces conditions de la politique (et ainsi arrêter la génération d'événements pour ces conditions particulières). Par exemple, si vous avez une politique qui détecte les changements d'état du contrôleur qui se produisent pendant les heures ouvrées, mais que vous déterminez que pour un contrôleur donné, il est normal que l'état change pendant ces périodes, vous pouvez exclure ce contrôleur de la politique.
Vous pouvez créer des exclusions à partir de la page Événements, en fonction des événements générés par vos politiques. Vous pouvez spécifier les conditions d'un événement spécifique que vous souhaitez exclure de la politique.
Pour reprendre la génération d'événements pour les conditions spécifiées ultérieurement, vous pouvez supprimer l'exclusion. Voir Politiques.
Pour créer une exclusion de politique :
-
Sur la page Événements pertinente (Événements de configuration, Événements SCADA, Menaces réseau ou Événements réseau), sélectionnez l'événement pour lequel vous souhaitez créer une exclusion.
-
Dans la barre d'en-tête, cliquez sur Actions ou effectuez un clic droit sur l'événement.
Le menu Actions apparaît.
-
Cliquez sur Exclure de la politique.
La fenêtre Exclure de la politique apparaît.
-
Dans la section Condition d'exclusion, toutes les conditions sont sélectionnées par défaut.
Les événements qui remplissent l'une des conditions spécifiées sont exclus de la politique. Vous pouvez décocher la case à côté de chaque condition pour laquelle vous souhaitez continuer à générer des événements.
Remarque : par exemple, dans la fenêtre ci-dessous, pour exclure de cette politique les assets et les adresses IP sources et cibles spécifiés tout en continuant à appliquer cette politique aux communications UDP entre les autres assets du réseau, vous devez désélectionner « Le protocole est UDP ».Remarque : l'ensemble des conditions qui peuvent être exclues diffère selon le type de politique. Voir le tableau ci-dessous.
-
(Facultatif) Dans la zone Description de l'exclusion, vous pouvez ajouter un commentaire sur l'exclusion.
-
Cliquez sur Exclure.
OT Security crée l'exclusion.
Le tableau suivant indique les conditions pouvant être exclues pour chaque type d'événement.
Catégorie de politique Type d'événement Conditions d'exclusion Activités du contrôleur Configuration Events (Activities) (Événements de configuration (Activités)) -
Asset source
-
IP source
-
Asset cible
-
IP cible
Validation du contrôleur Change in Key State (Changement d'état de la clé) Asset source
Change in Controller State (Changement d'état du contrôleur) Asset source Change in FW version (Changement de version du firmware) Asset source Module not seen (Module non détecté) Asset source Snapshot mismatch (Déviation par rapport à l'instantané) Asset source Réseau Asset Not Seen (Asset non détecté) Asset source Change in USB configuration (Changement dans la configuration USB) -
Asset source
-
Identifiant du périphérique USB
IP conflict (Conflit IP) -
Adresses MAC
-
Adresse IP
Network Baseline Deviation (Déviation par rapport à la base de référence réseau) -
Asset source
-
IP source
-
Asset cible
-
IP cible
-
Protocole
Open Port (Port ouvert) -
Asset source
-
IP source
-
Port
RDP Connection (Connexion RDP) -
Asset source
-
IP source
-
Asset cible
-
IP cible
Unauthorized conversation (Communication non autorisée) -
Asset source
-
IP source
-
Asset cible
-
IP cible
-
Protocole
FTP Log In (Failed and Successful) (Connexion FTP (échec et réussite)) -
Asset source
-
IP source
-
Asset cible
-
IP cible
Telnet Log In (Attempt, Failed and Successful) (Connexion Telnet (tentative, échec et réussite)) -
Asset source
-
IP source
-
Asset cible
-
IP cible
Menace réseau Intrusion Detection (Détection d'intrusion) -
Asset source
-
IP source
-
Asset cible
-
IP cible
-
SID
ARP Scan (Scan ARP) -
Asset source
-
IP source
Port scan (Scan des ports) -
Asset source
-
IP source
SCADA Modbus illegal data address (Adresse de données Modbus non valide) -
Asset source
-
IP source
-
Asset cible
-
IP cible
Modbus illegal data value (Valeur de données Modbus non valide) -
Asset source
-
IP source
-
Asset cible
-
IP cible
Modbus illegal function (Fonction Modbus non valide) -
Asset source
-
IP source
-
Asset cible
-
IP cible
Unauthorized write (Écriture non autorisée) -
Asset source
-
Asset cible
-
Nom du tag
IEC60870-5-104 StartDT
IEC60870-5-104 StartDT
-
Asset source
-
IP source
-
Asset cible
-
IP cible
IEC60870-5-104 function code based events (Événements basés sur le code de fonction CEI60870-5-104) -
Asset source
-
IP source
-
Asset cible
-
IP cible
-
COT
DNP3 events (Événements DNP3) -
Asset source
-
IP source
-
Asset cible
-
IP cible
-
Adresse DNP3 source
-
Adresse DNP3 cible
-