Événements

Les événements sont des notifications générées dans le système pour attirer l'attention sur une activité potentiellement dangereuse sur le réseau. Les politiques que vous configurez dans le système OT Security génèrent des événements dans l'une des catégories suivantes : Événements de configuration, Événements SCADA, Menaces réseau ou Événements réseau. OT Security attribue un niveau à chaque politique, indiquant la sévérité de l'événement.

Lorsque vous activez une politique, tout événement dans le système qui correspond aux conditions de la politique déclenche une entrée dans le journal d'événement. Plusieurs événements ayant les mêmes caractéristiques sont regroupés en un seul cluster.

Affichage des événements

Tous les événements qui se sont produits dans le système apparaissent sur la page Tous les événements. Des sous-ensembles spécifiques d'événements apparaissent sur des fenêtres distinctes pour chacune des catégories d'événements suivantes : Événements de configuration, Événements SCADA, Menaces réseau et Événements réseau.

Pour chacune des pages d'événements (Événements de configuration, Événements SCADA, Menaces réseau et Événements réseau), vous pouvez personnaliser les paramètres d'affichage en sélectionnant les colonnes à afficher et la position de chaque colonne. Vous pouvez regrouper les événements en fonction du type d'événement, de la sévérité, du nom de la politique, etc. Vous pouvez également trier et filtrer les listes d'événements, mais aussi effectuer une recherche. Pour plus d'informations sur les fonctionnalités de personnalisation, voir Personnaliser les tableaux (Personnaliser les tables).

Vous pouvez utiliser le bouton Actions dans la barre d'en-tête pour effectuer les actions suivantes :

  • Résoudre – Marque cet événement comme résolu.

  • Télécharger PCAP – Télécharge le fichier PCAP pour cet événement.

  • Exclure – Crée une exclusion de politique pour cet événement.

La partie inférieure de la page affiche des informations sur l'événement sélectionné, divisées en onglets. Seuls les onglets correspondant au type de l'événement sélectionné sont affichés. Les onglets suivants sont affichés pour différents types d'événements : Détails, Code, Source, Cible, Politique, Ports scannés et Statut.

Remarque : vous pouvez faire glisser le séparateur de panneau vers le haut ou vers le bas pour agrandir/réduire l'affichage du panneau inférieur.

Vous pouvez télécharger le fichier de capture de paquet associé à chaque événement. Voir Réseau. Les informations affichées pour chaque liste d'événements sont décrites dans le tableau suivant :

Paramètre Description
Nom Le nom de l'appareil sur le réseau. Cliquez sur le nom de l'asset pour afficher l'écran de ses détails. Voir Inventaire.
Adresses

L'adresse IP et/ou MAC de l'asset.

Remarque : un asset peut avoir plusieurs adresses IP.

Type Le type d'asset. Voir Types d'assets pour une explication des différents types d'assets.
Fond de panier L'unité de fond de panier à laquelle le contrôleur est connecté. Des détails supplémentaires sur la configuration du fond de panier sont affichés sur l'écran des détails de l'asset.
Emplacement Pour les contrôleurs situés sur des fonds de panier, affiche le numéro de l'emplacement auquel le contrôleur est attaché.
Fournisseur Le fournisseur d'assets.
Famille Nom de la famille du produit tel que défini par le fournisseur du contrôleur.
Firmware La version du firmware actuellement installée sur le contrôleur.
Localisation L'emplacement de l'asset tel que vous le saisissez dans les détails de l'asset OT Security. Voir Inventaire.
Dernière détection La date et l'heure auxquelles l'appareil a été détecté pour la dernière fois par OT Security. Il s'agit de la dernière fois que l'appareil s'est connecté au réseau ou a effectué une activité.
OS Le système d'exploitation exécuté sur l'asset.
Identifiant de journal Identifiant généré par le système pour faire référence à l'événement.
Date/Heure La date et l'heure auxquelles l'événement s'est produit.
Type d'événement Décrit le type d'activité qui a déclenché l'événement. Les événements sont générés par les politiques configurées dans le système. Pour une explication des différents types de politiques, voir Types de politiques.
Sévérité

Affiche le niveau de sévérité de l'événement. Voici une explication des valeurs possibles :

Aucun – Aucune raison de s'inquiéter.

Info – Aucune raison de s'inquiéter dans l'immédiat. À vérifier au moment opportun.

Avertissement – Risque modéré qu'une activité potentiellement dangereuse se soit produite. À traiter au moment opportun.

Critique – Risque élevé qu'une activité potentiellement dangereuse se soit produite. À traiter immédiatement.

Nom de la politique Le nom de la politique qui a généré l'événement. Le nom est un lien vers la liste de politiques.
Asset source Le nom de l'asset qui a lancé l'événement. Ce champ est un lien vers les listes d'assets.
Adresse source L'adresse IP ou MAC de l'asset qui a lancé l'événement.
Asset cible Le nom de l'asset qui a été affecté par l'événement. Ce champ est un lien vers les listes d'assets.
Adresse cible L'adresse IP ou MAC de l'asset qui a été affecté par l'événement.
Protocole Lorsque c'est pertinent, montre le protocole utilisé pour la communication qui a généré cet événement.
Catégorie d'événement

Affiche la catégorie générale de l'événement.

Remarque : l'écran Tous les événements affiche tous les types d'événements. Chaque écran d'événement affiche uniquement les événements de la catégorie spécifiée.

Les catégories d'événements sont expliquées brièvement ci-dessous (pour une explication plus détaillée, voir Catégories et sous-catégories de politiques) :

  • Événements de configuration – Cela comprend deux sous-catégories

  • Événements de validation du contrôleur – Ces politiques concernent les changements ayant lieu au sein des contrôleurs du réseau.

  • Événements d'activité du contrôleur – Ces politiques concernent les activités qui se produisent sur le réseau (c'est-à-dire les « commandes » mises en œuvre entre les assets du réseau).

  • Événements SCADA – Ces politiques identifient les modifications apportées au plan de données des contrôleurs. Événements de menaces réseau – Ces politiques identifient le trafic réseau qui indique des menaces d'intrusion.

  • Événements réseau – Ces politiques concernent les assets du réseau et les flux de communication entre les assets.

Statut Indique si l'événement a été marqué comme résolu ou non.
Résolu par Pour les événements résolus, indique quel utilisateur a marqué l'événement comme résolu.
Résolu le Pour les événements résolus, indique quand l'événement a été marqué comme résolu.
Commentaire Affiche tous les commentaires qui ont été ajoutés lorsque l'événement a été résolu.

Affichage des détails d'un événement

Le bas de l'écran Événements affiche des détails supplémentaires sur l'événement sélectionné. Les informations sont divisées en onglets. Seuls les onglets pertinents pour l'événement sélectionné sont affichés. Les informations détaillées incluent des liens vers des informations supplémentaires sur les entités affectées (asset source, asset cible, politique, groupe, etc.).

  • En-tête – Affiche un aperçu des informations essentielles sur l'événement.

  • Détails – Donne une brève description de l'événement ainsi qu'une explication de l'importance de ces informations et des mesures suggérées à prendre pour atténuer les dommages potentiels causés par l'événement. De plus, il affiche les assets sources et cibles qui ont été impliqués dans l'événement.

  • Détails de la règle (pour les événements de détection d'intrusion) – Affiche des informations sur la règle Suricata qui s'applique à l'événement.

  • Code – Cet onglet est affiché pour les activités du contrôleur telles que le chargement et le téléchargement de code, la configuration matérielle et la suppression de code. Il affiche des informations détaillées sur le code pertinent, et notamment des blocs de code, des séquences et des tags spécifiques. Les éléments de code sont affichés dans une structure arborescente avec des flèches pour développer/réduire les détails affichés.

  • Source – Affiche des informations détaillées sur l'asset source pour cet événement.

  • Cible – Affiche des informations détaillées sur l'asset cible pour cet événement.

  • Asset affecté – Affiche des informations détaillées sur l'asset affecté par cet événement.

  • Ports scannés (pour les événements de scan de port) – Affiche les ports qui ont été scannés.

  • Adresse scannée (pour les événements de scan ARP) – Affiche les adresses qui ont été scannées.

  • Politique – Affiche des informations détaillées sur la politique qui a déclenché l'événement.

  • Statut – Indique si l'événement a été marqué comme résolu ou non. Pour les événements résolus, affiche des détails sur l'utilisateur qui l'a marqué comme résolu et quand il a été résolu.

Affichage des clusters d'événements

Pour faciliter le suivi des événements, plusieurs événements aux caractéristiques communes sont regroupés pour former un cluster. Le regroupement est basé sur le type d'événement (c'est-à-dire ceux qui partagent la même politique), les assets source et cible, et la plage temporelle dans laquelle les événements se produisent. Pour plus d'informations sur la configuration des clusters d'événements, voir Groupes d'événements.

Les événements regroupés sont indiqués par une flèche à côté de l'identifiant de journal. Pour afficher le détail des événements d'un cluster, cliquez sur l'enregistrement pour développer la liste.